[Pluto-security] tentativo di attacco - forse

Damiano Conte pluto-security@lists.pluto.linux.it
Fri, 25 Oct 2002 11:24:08 +0200 

Visto e considerato che questo IP non risponde al comando resolveip e 
meno ancora al comando host -a indirizzo_ip mentre al comando fping si, 
direi che in via precauzionale dropperei tutti i pacchetti che arrivano 
da tale IP.
Poi con calma installerei un bel IDS (se non lo hai installato) e terrei 
sotto controllo i file sotto la /var/log.

Comunque, mi sembra di aver letto da qualche parte che molti provider 
che danno connettivita' ADSL ogni tanto lanciano dei pacchetti di 
verifica per controllare se un loro cliente usa la loro connettivita' 
per dare servizi WEB o altro.


Ciao

Dido wrote:
> Ciao!
> 
>> ho trovato questo log nel firewall:
> 
> 
> Volce singola, o tanti ripetuti? In caso siano tanti, sempre la stessa DPT?
> 
> 
>> Oct 24 12:27:03 caronte kernel: *__NEW__*IN=eth0 OUT= 
>> MAC=00:10:4b:bb:66:e9:00:90:d0:32:dc:4f:08:00 SRC=213.145.29.200 
>> DST=192.X.X.X LEN=52 TOS=0x00 PREC=0x00 TTL=115 ID=24208 DF PROTO=TCP 
>> SPT=80 DPT=33067 WINDOW=32093 RES=0x00 ACK FIN URGP=0
>>
>> significa che qualcuno ha bucato il router (non molto difficile) ed ha 
>> cercato di entrare nel firewall.
>> la porta di destinazione è 33067 tcp, vi dice nulla??? secondo voi è 
>> un tentativo di intrusione, o solo una cazzata?
> 
> 
> l'ip 213.145.29.200 corrisponde a un sito che hai visitato?
> La porta 33067tcp è quella su cui ascolta il protocollo rdesktop.. 
> quindi è probabile che qualcuno stesse verificando se ha la porta aperta.
> Innanzi tutto bisognerebbe sapere se iptables è configurato per 
> rigettare le nuove connessioni, o no.
> Il pacchetto droppato non è di inizio connessione (manca il SYN), per cui:
> - o appartiene a una connessione che tu hai precedentemente iniziato
> - o è stato manipolato.
> 
> Questa è una tecnica che si utilizza, si manda un pacchetto di ack (che 
> quindi a un firewall non stateful sembra si risposta), con porta origine 
> la 80 (molti firewall non stateful accettano di default il traffico 
> proveniente dalla 80), e porta di destinazione quella da testare: in 
> base a un eventuale pacchetto di risposta, sai in che stato è la porta. 
> Fondamentalmente è un port scan (lo puoi fare anche con nmap)...
> Spero possa esserti di aiuto...
> 
> Dido
> 
> 
> _______________________________________________
> pluto-security mailing list
> pluto-security@lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security
> 
> 


-- 

Non esistono domande stupide,
esistono errori stupidi causati
da chi non ha fatto domande !!!