Атака клонов
-
Откликнитесь те, у кого команда awk '/.6000 >/ {gsub(/.6000 >/, ""); print $6}' /var/log/filter.log | sort -u выдает что-нибудь.. Недели 3 уже идет проверка TCP портов 135, 445, 1433, 3306 с разных IP. Порт источника всегда 6000, что и привлекло внимание. Не пойму что за напасть такая. Пока насобирал эти адреса:
27.50.132.11
59.77.0.71
31.162.14.173
31.162.164.117
31.162.179.47
31.162.184.66
31.162.185.195
31.180.238.2
46.29.198.10
46.45.193.102
46.63.241.145
59.188.28.218
60.2.67.158
60.191.40.242
61.147.103.179
61.147.103.21
61.147.110.68
61.147.112.194
61.152.104.233
61.152.94.201
61.160.212.113
61.160.221.200
61.160.223.147
61.160.223.234
64.62.209.71
78.25.157.18
79.120.37.198
80.246.82.245
82.193.152.161
83.142.160.82
83.142.167.117
85.21.245.129
91.144.154.216
92.39.104.174
92.126.207.139
93.190.16.138
94.75.139.172
95.158.202.247
95.158.211.212
95.158.213.166
95.158.213.219
95.158.217.28
95.167.112.26
95.167.6.52
95.181.40.134
95.188.66.231
95.188.73.129
109.62.128.163
109.62.140.195
109.62.144.170
109.62.191.242
109.73.33.26
111.67.204.53
111.123.7.193
113.105.170.24
116.55.229.248
116.255.191.62
117.21.173.82
117.25.156.34
117.41.182.181
117.41.184.89
117.41.184.92
118.123.5.208
119.147.138.13
121.11.83.46
121.12.107.13
121.14.155.89
122.80.15.18
121.78.235.8
122.224.11.57
122.226.56.97
122.228.219.174
129.9.13.13
171.37.10.167
173.242.116.67
173.254.228.226
176.213.220.244
178.35.185.142
178.47.117.244
178.47.120.229
178.161.136.194
178.213.241.248
180.168.219.250
182.236.164.71
184.82.148.69
184.105.237.201
188.19.158.142
194.125.238.197
199.36.77.34
202.101.107.7
210.13.82.250
210.14.143.121
211.107.136.84
211.162.64.133
213.141.145.170
218.60.130.70
218.61.18.172
218.61.18.188
218.65.209.211
218.85.139.155
219.136.252.114
219.150.247.74
220.85.233.130
220.164.166.75
220.168.203.124
220.226.188.41
221.1.220.99
221.232.129.12
222.73.219.217
222.73.42.23
222.76.219.245
222.110.56.161
222.174.71.78
222.186.42.186
222.186.52.106
222.186.52.179
222.186.52.247
222.186.52.254
222.189.238.115интенсивность небольшая.
-
по этим портам (1433, 3306) SQL вроде работает, по 445 (возможно) сетевые черви, 135 порт RPC
-
Откликнитесь
у нас здесь, что форум по сетевой безопасности? Не надо засорять форум!
С этим и так успешно справляются малолетние балбесы, кои не в состоянии открыть доступ к сенсу извне, опубликовать находящийся во внутренней сети ftp сервер и решить прочие элементарные вопросы. >:( -
Откликнитесь
у нас здесь, что форум по сетевой безопасности? Не надо засорять форум!
С этим и так успешно справляются малолетние балбесы, кои не в состоянии открыть доступ к сенсу извне, опубликовать находящийся во внутренней сети ftp сервер и решить прочие элементарные вопросы. >:(О, лесник пришел, счас
всех прогонит…наведет порядок.. Распоясались тут, малолетние балбесы!
Кстати, вкурив Forum rules, что-то не заметил криминала. Даже "If you decide to open a new thread choose the correct board!" не катит, ибо, хотя читать выходит и так и эдак, писать пока получается только по-русски. Я ж не виноват, что в русской ветке нет аналога "General Discussion", где "Feel free to talk about anything and everything…"
Давайте в этой ветке оффтопить, все-равно где-то надо)) -
Да ладно Вам - форум довольно демократичен, если не спам или сабж вообще ни каким боком к pfSense (про рыбок к примеру).
По теме - я бы просто логи отключил и все. Пока не ддосят - не является проблемой.
-
По теме - я бы просто логи отключил и все. Пока не ддосят - не является проблемой.
Нет, проблемы нет никакой)) Просто стало интересно насколько это явление распространено. Сканят ведь постоянно, но впервые вижу, что порт источника постоянный.
-
Возможно троян, замаскированный под какой-нибудь сервис с рабочим портом 6000. География адресов довольно широкая.
-
По теме - я бы просто логи отключил и все. Пока не ддосят - не является проблемой.
Нет, проблемы нет никакой)) Просто стало интересно насколько это явление распространено. Сканят ведь постоянно, но впервые вижу, что порт источника постоянный.
Проблема распространена, можно забить и забыть.