[Pluto-security] Tentativi di intrusione

Dido pluto-security@lists.pluto.linux.it
Tue, 22 Oct 2002 15:25:28 +0200


A giudicare "a spanne", direi che =E8 il vurus BugBear.. Ovviamente non=
 posso=20
dirlo per certo, ma:
- in questi giorni BugBear sta esplodendo
- BugBear usa proprio la condivisione file microsoft (porta 137 udp)
facendo due + due...
In genere, le porte 137, 138 e 139 dovrebbero _sempre_ essere chiuse sui=20
router periferici, quindi questo tipo di attacco dovrebbe preoccuparti=
 poco...
Questa la mia mia esperienza, spero possa servirti...

Dido


>Da un po' di giorni sono "sotto osservazione". Il log mi dice che il fw
>ricaccia dei tentativi di ingresso da alcuni IP riconducibili a Tiscali
>(gi=E0 postato ad abuse), un brasialiano, un polacco e da un'altro o pi=F9
>_sconosciuti_.

<snip>

>Tutti vogliono attaccare la mia porta 137 (ma v=E0!) che =E8 ovviamente
>sigillata.
>
>Questa =E8 una riga incriminata:
>
>Oct 22 14:43:31 tecnico kernel: IPT INPUT packet died: IN=3Dippp0 OUT=3D
>MAC=3D SRC=3D200.161.73.47 DST=3D**me** LEN=3D78 TOS=3D0x00 PREC=3D0x00
>TTL=3D106 ID=3D4306 PROTO=3DUDP SPT=3D1027 DPT=3D137 LEN=3D58
>
>e l'attaccante =E8 proprio uno degli sconosciuti.
>
>Che faccio?
>
>Il polacco non ha l'abuse. Gli scrivo comunque? (A chi?)
>
>Mando tutto a Tiscali, il mio ISP?
>
>E' una cosa normale? (in fondo sono pacchetti udp)