[Pluto-security] Tentativi di intrusione

Stefano Callegari pluto-security@lists.pluto.linux.it
Tue, 22 Oct 2002 14:55:48 +0200


Immagino che per voi questa sarà un'inezia ma vorrei alcuni
suggerimenti.

Da un po' di giorni sono "sotto osservazione". Il log mi dice che il fw
ricaccia dei tentativi di ingresso da alcuni IP riconducibili a Tiscali
(già postato ad abuse), un brasialiano, un polacco e da un'altro o più
_sconosciuti_.

Questo è quanto mi ha indicato il whois di ripe (www.ripe.net).

Tutti vogliono attaccare la mia porta 137 (ma và!) che è ovviamente
sigillata.

Questa è una riga incriminata:

Oct 22 14:43:31 tecnico kernel: IPT INPUT packet died: IN=ippp0 OUT=
MAC= SRC=200.161.73.47 DST=**me** LEN=78 TOS=0x00 PREC=0x00
TTL=106 ID=4306 PROTO=UDP SPT=1027 DPT=137 LEN=58

e l'attaccante è proprio uno degli sconosciuti.

Che faccio? 

Il polacco non ha l'abuse. Gli scrivo comunque? (A chi?)

Mando tutto a Tiscali, il mio ISP?

E' una cosa normale? (in fondo sono pacchetti udp)

Grazie.
-- 
Stefano Callegari <omnilux.lighting@tiscali.it>
Omnilux Srl
Via Frassanedo, 2 - I 35020 Villatora di Saonara (PD)
+39 049 8792281