Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Атака клонов

    Scheduled Pinned Locked Moved Russian
    8 Posts 5 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rubic
      last edited by

      Откликнитесь те, у кого команда awk '/.6000 >/ {gsub(/.6000 >/, ""); print $6}' /var/log/filter.log | sort -u выдает что-нибудь.. Недели 3 уже идет проверка TCP портов 135, 445, 1433, 3306 с разных IP. Порт источника всегда 6000, что и привлекло внимание. Не пойму что за напасть такая. Пока насобирал эти адреса:

      27.50.132.11
      59.77.0.71
      31.162.14.173
      31.162.164.117
      31.162.179.47
      31.162.184.66
      31.162.185.195
      31.180.238.2
      46.29.198.10
      46.45.193.102
      46.63.241.145
      59.188.28.218
      60.2.67.158
      60.191.40.242
      61.147.103.179
      61.147.103.21
      61.147.110.68
      61.147.112.194
      61.152.104.233
      61.152.94.201
      61.160.212.113
      61.160.221.200
      61.160.223.147
      61.160.223.234
      64.62.209.71
      78.25.157.18
      79.120.37.198
      80.246.82.245
      82.193.152.161
      83.142.160.82
      83.142.167.117
      85.21.245.129
      91.144.154.216
      92.39.104.174
      92.126.207.139
      93.190.16.138
      94.75.139.172
      95.158.202.247
      95.158.211.212
      95.158.213.166
      95.158.213.219
      95.158.217.28
      95.167.112.26
      95.167.6.52
      95.181.40.134
      95.188.66.231
      95.188.73.129
      109.62.128.163
      109.62.140.195
      109.62.144.170
      109.62.191.242
      109.73.33.26
      111.67.204.53
      111.123.7.193
      113.105.170.24
      116.55.229.248
      116.255.191.62
      117.21.173.82
      117.25.156.34
      117.41.182.181
      117.41.184.89
      117.41.184.92
      118.123.5.208
      119.147.138.13
      121.11.83.46
      121.12.107.13
      121.14.155.89
      122.80.15.18
      121.78.235.8
      122.224.11.57
      122.226.56.97
      122.228.219.174
      129.9.13.13
      171.37.10.167
      173.242.116.67
      173.254.228.226
      176.213.220.244
      178.35.185.142
      178.47.117.244
      178.47.120.229
      178.161.136.194
      178.213.241.248
      180.168.219.250
      182.236.164.71
      184.82.148.69
      184.105.237.201
      188.19.158.142
      194.125.238.197
      199.36.77.34
      202.101.107.7
      210.13.82.250
      210.14.143.121
      211.107.136.84
      211.162.64.133
      213.141.145.170
      218.60.130.70
      218.61.18.172
      218.61.18.188
      218.65.209.211
      218.85.139.155
      219.136.252.114
      219.150.247.74
      220.85.233.130
      220.164.166.75
      220.168.203.124
      220.226.188.41
      221.1.220.99
      221.232.129.12
      222.73.219.217
      222.73.42.23
      222.76.219.245
      222.110.56.161
      222.174.71.78
      222.186.42.186
      222.186.52.106
      222.186.52.179
      222.186.52.247
      222.186.52.254
      222.189.238.115

      интенсивность небольшая.

      1 Reply Last reply Reply Quote 0
      • N
        NegoroX
        last edited by

        по этим портам (1433, 3306) SQL вроде работает, по 445 (возможно) сетевые черви,  135 порт RPC

        1 Reply Last reply Reply Quote 0
        • A
          aleksvolgin
          last edited by

          Откликнитесь

          у нас здесь, что форум по сетевой  безопасности? Не надо засорять форум!
          С этим и так успешно справляются малолетние балбесы, кои не в состоянии открыть доступ к сенсу извне, опубликовать находящийся во внутренней сети ftp сервер и решить прочие элементарные вопросы.  >:(

          1 Reply Last reply Reply Quote 0
          • R
            rubic
            last edited by

            @aleksvolgin:

            Откликнитесь

            у нас здесь, что форум по сетевой  безопасности? Не надо засорять форум!
            С этим и так успешно справляются малолетние балбесы, кои не в состоянии открыть доступ к сенсу извне, опубликовать находящийся во внутренней сети ftp сервер и решить прочие элементарные вопросы.  >:(

            О, лесник пришел, счас всех прогонит… наведет порядок.. Распоясались тут, малолетние балбесы!
            Кстати, вкурив Forum rules, что-то не заметил криминала. Даже "If you decide to open a new thread choose the correct board!" не катит, ибо, хотя читать выходит и так и эдак, писать пока получается  только по-русски. Я ж не виноват, что в русской ветке нет аналога "General Discussion", где "Feel free to talk about anything and everything…"
            Давайте в этой ветке оффтопить, все-равно где-то надо))

            1 Reply Last reply Reply Quote 0
            • D
              dvserg
              last edited by

              Да ладно Вам - форум довольно демократичен, если не спам или сабж вообще ни каким боком к pfSense (про рыбок к примеру).

              По теме - я бы просто логи отключил и все. Пока не ддосят - не является проблемой.

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • R
                rubic
                last edited by

                @dvserg:

                По теме - я бы просто логи отключил и все. Пока не ддосят - не является проблемой.

                Нет, проблемы нет никакой)) Просто стало интересно насколько это явление распространено. Сканят ведь постоянно, но впервые вижу, что порт источника постоянный.

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg
                  last edited by

                  Возможно троян, замаскированный под какой-нибудь сервис с рабочим портом 6000. География адресов довольно широкая.

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • R
                    remark
                    last edited by

                    @rubic:

                    @dvserg:

                    По теме - я бы просто логи отключил и все. Пока не ддосят - не является проблемой.

                    Нет, проблемы нет никакой)) Просто стало интересно насколько это явление распространено. Сканят ведь постоянно, но впервые вижу, что порт источника постоянный.

                    Проблема распространена, можно забить и забыть.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.