Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-05-11 18:12:06

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Ruch na porcie 445

Ostatnio ktoś mi się dobijał (i dalej dobija) do mojego pc na porcie 445. Dorobiłem sobie logi tak by wszystkie nowe połączenia tcp w iptables, których i tak nie przepuszczam, były logowane. Logi wyglądają mniej więcej tak:

Kod:

May 11 17:47:40 morfikownia kernel: [ 7965.630039] *** TCP_NEW *** IN=eth0 OUT= MAC=00:e0:4c:75:03:09:00:17:10:03:14:51:08:00 SRC=10.1.10.121 DST=10.1.4.41 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=32604 DF PROTO=TCP SPT=4581 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 11 17:47:40 morfikownia kernel: [ 7965.994921] *** TCP_NEW *** IN=eth0 OUT= MAC=00:e0:4c:75:03:09:00:17:10:03:14:51:08:00 SRC=10.1.10.121 DST=10.1.4.41 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=32649 DF PROTO=TCP SPT=4581 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
May 11 17:47:41 morfikownia kernel: [ 7966.540787] *** TCP_NEW *** IN=eth0 OUT= MAC=00:e0:4c:75:03:09:00:17:10:03:14:51:08:00 SRC=10.1.10.121 DST=10.1.4.41 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=32678 DF PROTO=TCP SPT=4581 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0

Połączenia jak widać są na port 445. Na necie sobie znalazłem info, że

TCP port 445 is used for direct TCP/IP MS Networking access without the need for a NetBIOS layer. This service is only implemented in the more recent verions of Windows (e.g. Windows 2K / XP). The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT/2K/XP. In Windows NT it ran on top of NetBT (NetBIOS over TCP/IP, ports 137, 139 and 138/udp). In Windows 2K/XP, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NetBT. For this they use TCP port 445.

Port 445 should be blocked at the firewall level. It can also be disabled by deleting the HKLM\System\CurrentControlSet\Services \NetBT\Parameters\TransportBindName (value only) in the Windows Registry.
Leaving port 445 open will leave you vulnerable to some worms, such as W32.Deloader and IraqiWorm (aka Iraq_oil.exe ), W32.HLLW.Moega, W32.Sasser.Worm, W32.Korgo.AB (09.24.2004), Backdoor.Rtkit.B (10.01.2004), Trojan.Netdepix.B (01.16.2005), as well as the Windows Null Session Exploit.

MS Security Bulletin [MS03-026] outlines a critical RPC vulnerability that can be exploited via ports 135, 139, 445, 593 (or any other specifically configured RPC port). You should filter the above mentioned ports at the firewall level and not allow RPC over an unsecure network, such as the Internet.[/quote]
Zawsze są 3 próby połączeń w odstępach około 1s. Po tych 3 próbach jest spokój na jakieś parędziesiąt minut, po czym znowu są 3 próby połączeń i tak dalej.

Co ciekawe są tam różne źródłowe adresy ip — 10.1.10.121, 10.1.11.2, 10.1.14.191 ale mac pozostaje ciągle w formie: MAC=00:e0:4c:75:03:09:00:17:10:03:14:51:08:00 czyli mój mac (00:e0:4c:75:03:09) i mac tego kogoś (00:17:10:03:14:51)

Czy to jakieś wirusy się dobijają do mojego pc i zgłaszać to komuś, ja wiem mojemu isp?

Offline

 

#2  2014-05-11 19:58:44

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ruch na porcie 445

Jak chcesz, żeby Ci podziękowali za uwagę, i posłali Cię po neoszajsę,
to możesz zgłaszać każde skanowanie, i każdego wirusa, który się dobija na porty samby i MSSQL. :D

Generalnie po to masz firewalla, żeby się w ogóle taki bzdurami nie zajmować.
Chyba, że znowu masz jakieś mrówki z mukhbaratu  w kompie. :D
W każdym razie, jeśli to jest Linux, (i jest porządnie skonfigurowany),
a nie Win$hit, to takie połączenia powinny trafić do krainy wiecznych dropów, nie ma się czym zajmować.

To by było na tyle.
;-)

Ostatnio edytowany przez Jacekalex (2014-05-11 20:12:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2014-05-11 20:45:11

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

No ale nie wszyscy maja fw, xD To taka troska o bezpieczeństwo w sieci lokalnej, żeby wirusów nie było i by żyło się lepiej. ^^ Może ci ludzie nie wiedzą, że mają wirusy? xD

Ostatnio edytowany przez morfik (2014-05-11 20:45:36)

Offline

 

#4  2014-05-11 20:50:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ruch na porcie 445

XP podłączony do sieci praktycznie zawsze cośtam łapie, niezależnie od użytego Antywira, można się przyzwyczaić. ;P


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2014-05-11 21:00:50

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: Ruch na porcie 445

[quote=Jacekalex]XP podłączony do sieci praktycznie zawsze cośtam łapie, niezależnie od użytego Antywira, można się przyzwyczaić. ;P[/quote]
bullshit :]
NIe raz miałem XP bez AV i FW i nie łapałem nic ;)


LRU: #472938
[b]napisz do mnie:[/b] ola@mojmail.eu
[url=http://valhalla.org.pl]Hołmpejdż[/url] | [url=http://valhalla.org.pl/foto]Galerie[/url] | [url=http://valhalla.org.pl/tech]"Twórczość"[/url] || [url=http://img.munn.in]Free Image Hosting[/url]

Offline

 

#6  2014-05-11 21:12:09

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ruch na porcie 445

[quote=winnetou][quote=Jacekalex]XP podłączony do sieci praktycznie zawsze cośtam łapie, niezależnie od użytego Antywira, można się przyzwyczaić. ;P[/quote]
bullshit :]
NIe raz miałem XP bez AV i FW i nie łapałem nic ;)[/quote]
Może u Ciebie, ja mam na myśli demokratyczną większość ludzi.
Poza tym nie wszystkie diabelstwa zawiadamiają o swojej obecność, widziałem kiedyś takie cudo, że wiatraki w kompie szalały, po podłączeniu przez amperomierz okazało się, że komp ciągnie przeszło dwa ampery,
a pokazywał obciążenie procka na poziomie 2-3%.
I przy okazji  srał pakietami udp tak, że się router zatykał, czego  w systemie też nie było widać.
Antywirus nic nie widział, ale po reinstalacji systemu sytuacja została opanowana.
I to był nie XP, ale super bezpieczny Windows 7 Profesional, który podobno jest dużo bezpieczniejszy od XP.

Także to że komuś się udało, nie oznacza żadnej reguły, to że antywir nic nie znajduje, też niczego jeszcze nie oznacza.

Ostatnio edytowany przez Jacekalex (2014-05-11 21:14:56)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2014-05-11 21:25:36

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

Ja przeskanowałem ten ip co tam mi ciągle śle coś na ten port 445 i tam chyba nie ma windowsa xD :

Kod:

Nmap scan report for 10.1.14.191
Host is up (0.016s latency).
Not shown: 995 filtered ports
PORT    STATE  SERVICE
21/tcp  open   ftp
80/tcp  open   http
135/tcp closed msrpc
139/tcp closed netbios-ssn
443/tcp open   https
MAC Address: 00:17:10:03:14:51 (Casa Systems)
Device type: general purpose
Running (JUST GUESSING): FreeBSD 9.X|7.X|8.X (89%), Linux 2.6.X (85%)
OS CPE: cpe:/o:freebsd:freebsd:9 cpe:/o:linux:linux_kernel:2.6 cpe:/o:freebsd:freebsd:7 cpe:/o:freebsd:freebsd:8
Aggressive OS guesses: FreeBSD 9.1-RELEASE (89%), FreeBSD 9.0-RELEASE (85%), Linux 2.6.18 - 2.6.22 (85%), FreeBSD 7.1-RELEASE - 9.0-CURRENT (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 0.467 days (since Sun May 11 09:46:49 2014)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=262 (Good luck!)
IP ID Sequence Generation: Busy server or unknown class

Offline

 

#8  2014-05-11 21:30:18

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ruch na porcie 445

Pewnie jakiś router, większość podobnych urządzeń bazuje albo na Linuxie, albo na FreeBSD, od najmniejszych jednoportowych z 4 portowym switchem za kilkadziesiąt zł, aż po Junipery czy Cisco.

Poza tym nmap i xprobe nie są nieomylne w tych testach.

Ostatnio edytowany przez Jacekalex (2014-05-11 22:13:09)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2014-05-11 21:56:29

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: Ruch na porcie 445

Standard. Na moich routerach cały czas widać próby skanowania portu 445. Jest to port zasobów windowsowych (skanują w poszukiwaniu niezabezpieczonych Windows Share na publicznie dostępnych maszynach). Jeśli chodzi o adres mac, to jest to zawsze adres najbliższego routera (adres IP jest globalny, natomiast adres mac pozostaje lokalny w obrębie domeny rozgłoszeniowej), więc mac addres możesz śmiało zignorować (prawdopodobnie router Twojego ISP).

Offline

 

#10  2014-05-11 22:49:56

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

Ok, wyciąłem ten port tak by mi w logach się info na jego temat nie pojawiało ale by nadal nowe połączenia były logowane (te z innych portów) i chyba tyle.

Offline

 

#11  2014-05-16 13:49:53

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

A tu fajny kfiatek mi wyrzuciło na vpn riseup:

Kod:

kernel: [  637.808374] *** TCP_NEW *** IN=tun0 OUT= MAC= SRC=116.10.191.170 DST=172.27.100.15 LEN=40 TOS=0x08 PREC=0x20 TTL=103 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0

Trust no one xD

Offline

 

#12  2014-12-22 19:23:23

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ruch na porcie 445

1351

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:58)

Offline

 

#13  2014-12-22 21:12:41

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

Od tamtego czasu trochę mi się sieć zmieniła i obecnie jestem wpięty bezpośrednio do internetu. xD Co do radzenia to ja mam u siebie w domu dostęp z WAN cały zablokowany, z ssh będącym za fwknop + pewne adresy ip spoza sieci mają możliwość łączyć się z moim routerem ale to też nie tak dowolnie. Poza tym, to ja tutaj mam taki pseudo mechanizm zrobiony w oparciu o ipset i xt_recent, co wszystkie próby połączeń na nieotwarte porty banuje i sobie tworzy z tego nawet ciekawą listę z czasami połączeń. I taki delikwent dostaje bana na xxx godzin i jeśli jeszcze raz się w tym czasie połączy wszytko jedno na jaki port nawet na otwarty to i tak nie zostanie wpuszczony.

Tutaj przykład xt_recent:

Kod:

root@the-mountain:~# cat /proc/net/xt_recent/tcp-portscan
src=218.77.79.55 ttl: 242 last_seen: 7706 oldest_pkt: 1 7706
src=150.70.97.99 ttl: 53 last_seen: 70353 oldest_pkt: 1 70353
src=36.224.11.77 ttl: 48 last_seen: 190411 oldest_pkt: 2 190360, 190411
src=93.223.190.222 ttl: 55 last_seen: 61430 oldest_pkt: 1 61430
src=87.228.85.157 ttl: 56 last_seen: 44464 oldest_pkt: 1 44464
src=77.56.178.38 ttl: 54 last_seen: 219314 oldest_pkt: 2 219267, 219314
src=71.46.67.134 ttl: 50 last_seen: 53312 oldest_pkt: 1 53312
src=150.70.173.52 ttl: 54 last_seen: 5677 oldest_pkt: 1 5677
src=91.240.101.54 ttl: 120 last_seen: 2250 oldest_pkt: 3 2142, 2197, 2250
src=87.220.234.37 ttl: 51 last_seen: 4294950617 oldest_pkt: 1 4294950617
src=87.207.42.80 ttl: 119 last_seen: 223038 oldest_pkt: 8 208189, 208241, 208297, 218148, 218201, 222917, 222974, 223038, 4995, 5053, 8914, 8966, 13703, 38108, 38162, 54184, 54237, 54290, 61848, 61901, 65376, 65428, 65483, 73708, 73761, 81546, 81599, 118742, 118795, 122564, 122617, 122670, 126888, 126941, 126994, 130651, 130723, 136113, 136166, 140265, 140318, 177745, 182963, 183018, 186589, 186642, 190523, 198907, 198960, 199013
src=206.248.171.96 ttl: 52 last_seen: 49537 oldest_pkt: 1 49537
src=218.77.79.43 ttl: 242 last_seen: 34995 oldest_pkt: 1 34995
src=89.77.96.116 ttl: 120 last_seen: 43472 oldest_pkt: 3 43362, 43415, 43472
src=95.31.24.16 ttl: 52 last_seen: 55745 oldest_pkt: 2 55701, 55745
src=95.160.203.110 ttl: 119 last_seen: 114315 oldest_pkt: 5 108332, 108422, 108534, 114227, 114315
src=61.160.224.128 ttl: 241 last_seen: 24154 oldest_pkt: 1 24154
src=213.135.97.101 ttl: 51 last_seen: 7521 oldest_pkt: 1 7521
src=185.50.50.248 ttl: 121 last_seen: 85509 oldest_pkt: 3 85402, 85456, 85509

Sobie planuję jeszcze w przyszłości zrobić jakieś permanentne banlisty, i takich delikwentów jak tam wyżej (87.207.42.80) dopisywać na stałe, bo każdy numerek to osobna próba dobijania się do mojego routera. Z tym, że przydałoby się jakoś to przełożyć na ludzki język. xD

Ten adres 239.255.255.250 to jest ssdp i to są twoje pakiety, u mnie też takie coś się pojawiało, nie pamiętam co za usługa to generuje -- na wiki piszą coś o UPnP i to chyba qbittorrent z włączoną opcją UPnP takie coś wysyłał. Dokładnie nie pamiętam, a samo UPnP mam u siebie powyłączane. xD

A co do torrentów jeszcze, to samo niewłączanie torrentów nic nie daje, bo twoje ip jest zarejestrowane na trackerze i widnieje tam xx dni -- różnie w zależności od konfiguracji trackera ale raczej bez problemu powinieneś rozpoznać ruch na torrent, bo tylko na jeden określony port pakiety powinny być kierowane.

Co do tych SPT 443 (i inne znane usług) i wysokich DPT -- to wskazuje na jakiś błąd z konfiguracją sieci chyba. Tak jakbyś się łączył do jakiegoś serwera www po https i po zamknięciu (wygaśnięciu) połączenia tamten serwer ci słał jakiś pakiet, a że połączenie nie jest już established, to iptables traktuje to połączenie jako new i blokuje je. Tam masz nawet, że pakiet jest RST, czyli zresetowanie połączenia.

Ostatnio edytowany przez morfik (2014-12-22 21:20:54)

Offline

 

#14  2014-12-22 22:14:57

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ruch na porcie 445

1352

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:59)

Offline

 

#15  2014-12-22 22:29:15

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Ruch na porcie 445

Otwarty masz ten port? Można honeypota do zabawy postawić.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#16  2014-12-22 22:40:18

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

No ten ostatni to jakiś bot pewnie. U siebie też to mam -- dlatego też lepiej nie dawać ssh na port 22, bo tam co chwila jakiś bot się dobija. xD

Offline

 

#17  2014-12-22 22:51:10

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Ruch na porcie 445

Ja mam hokeypota na 22 porcie przez i zbieram logi co wymyślają script kiddie z kraju środka. W sumie mógłbym dać [url=https://github.com/mati75/IdiotShell]IdiotShell[/url] też by była zabawa.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#18  2014-12-22 23:02:23

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ruch na porcie 445

[quote=mati75]Ja mam hokeypota na 22 porcie przez i zbieram logi co wymyślają script kiddie z kraju środka. W sumie mógłbym dać [url=https://github.com/mati75/IdiotShell]IdiotShell[/url] też by była zabawa.[/quote]
Honeypota powiadasz ;)

Kod:

iptables -t raw -S | grep wypad
-A PREROUTING -m set --match-set wypad src -j SET --add-set wypad src --exist --timeout 86400
-A PREROUTING ! -i lo -p tcp -m multiport --dports 22,113,445,1433,1512,2175,2176,3306,5432 -j SET --add-set wypad src
-A PREROUTING -m set --match-set wypad src -j DROP

Kod:

root ~> ipset list wypad
Name: wypad
Type: hash:net
Revision: 4
Header: family inet hashsize 1024 maxelem 65536 timeout 3600
Size in memory: 18656
References: 4
Members:
24.227.135.10 timeout 74819
183.129.200.156 timeout 62780
186.96.81.56 timeout 68778
107.160.36.130 timeout 2417
192.126.113.49 timeout 85894

Ja wolę taką zabawkę, jak powyżej. :D


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#19  2014-12-22 23:26:14

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ruch na porcie 445

1354

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:05:02)

Offline

 

#20  2014-12-26 11:18:23

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ruch na porcie 445

1371

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:05:29)

Offline

 

#21  2014-12-27 17:57:38

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

No ja czasem komuś wyśle pakiet na 192.160.1.1 przez pomyłkę i to na port 22. xD Także wiesz, na świecie jest parę mld ludzi i jeszcze więcej maszyn i prawdopodobieństwo, że któraś "zbłądzi" jest dość duże, zwłaszcza, że szereg z nich jest projektowanych do tego celu. Z torrentami, to tak jak pisałem, parę dni przerwy to też nie załatwia sprawy, jeśli, któryś port z powyższych to twój torrentowy, to jakiś tracker dalej ma cię na liście -- mnie czasem to i 2 tygodnie trzymają. xD

Offline

 

#22  2014-12-30 00:39:11

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ruch na porcie 445

1376

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:05:37)

Offline

 

#23  2014-12-30 11:32:18

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ruch na porcie 445

Może  faktycznie rejestrowanie adresów ip na trakcerach może mieć coś wspólnego z nasileniem się skanów, w końcu chyba wszyscy mają dostęp do aktualnej listy adresów ip -- czy boty by sobie odpuściły ją? xD

Ja u siebie po nieco ponad 6 dniach uptime mam takie staty na zaporze (torrent odpalony prawie nonstop):

Kod:

root@the-mountain:~# iptables -nvL | grep -i scan
 2872  143K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            recent: SET name: tcp-portscan side: source mask: 255.255.255.255 reject-with tcp-reset
 2017  225K REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            recent: SET name: udp-portscan side: source mask: 255.255.255.255 reject-with icmp-port-unreachable
 2908  149K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            recent: UPDATE seconds: xxx name: tcp-portscan side: source mask: 255.255.255.255 reject-with tcp-reset
 5698  724K REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            recent: UPDATE seconds: xxx name: udp-portscan side: source mask: 255.255.255.255 reject-with icmp-port-unreachable

Te pierwsze dwie regułki dopisują adres do listy i zwracają odpowiedni komunikat, te dwie ostatnie zwracają taki sam komunikat jeśli czas następnego połączenia z tych adresów na liście nie jest większy niż xxx sekund. Jak widać, trochę pakietów wpadało tam przez 6dni .

A lista ip, z których nadeszły połączenia ma:

Kod:

root@the-mountain:~# wc -l /proc/net/xt_recent/*
      500 /proc/net/xt_recent/tcp-portscan
      500 /proc/net/xt_recent/udp-portscan

Max wpisów ile mogła osiągnąć, z tym, że te najstarsze są usuwane. Ale no 500-1000 różnych adresów ip w 6 dni? W sumie to kto wie ile ich było bo liczniki się przekręciły. Ja chyba powinienem się martwić. xD

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.013 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00152 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.183.21' WHERE u.id=1
0.00087 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.183.21', 1733033423)
0.00054 SELECT * FROM punbb_online WHERE logged<1733033123
0.00060 DELETE FROM punbb_online WHERE ident='185.191.171.18'
0.00096 SELECT topic_id FROM punbb_posts WHERE id=266711
0.00009 SELECT id FROM punbb_posts WHERE topic_id=25793 ORDER BY posted
0.00067 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25793 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00272 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25793 ORDER BY p.id LIMIT 0,25
0.00079 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25793
Total query time: 0.009 s