[Pluto-security] tentativo di attacco - forse

[Andrea Dinale]

Dido wrote:

> Volce singola, o tanti ripetuti? In caso siano tanti, sempre la stessa DPT?

singola per fortuna.

> l'ip 213.145.29.200 corrisponde a un sito che hai visitato?

personalmente no, ma potrebbe essere uno stato uno dei miei utenti, ho 
controllato con ripe, l'ip appartiene ai domini di una dell'azienda 
blixter (mai sentita prima).

> La porta 33067tcp è quella su cui ascolta il protocollo rdesktop.. 

però!!

> quindi è probabile che qualcuno stesse verificando se ha la porta aperta.
> Innanzi tutto bisognerebbe sapere se iptables è configurato per 
> rigettare le nuove connessioni, o no.

si le connessioni nuove che provengono dall'esterno sono drop, accetto 
solo RELATED ESTABLISHED.

> Il pacchetto droppato non è di inizio connessione (manca il SYN), per cui:
> - o appartiene a una connessione che tu hai precedentemente iniziato
> - o è stato manipolato.

credo la seconda che hai detto!!, se faceva partre di una connessione 
related, sarebbe passato

> Questa è una tecnica che si utilizza, si manda un pacchetto di ack (che 
> quindi a un firewall non stateful sembra si risposta), con porta origine 
> la 80 (molti firewall non stateful accettano di default il traffico 
> proveniente dalla 80), e porta di destinazione quella da testare: in 
> base a un eventuale pacchetto di risposta, sai in che stato è la porta. 
> Fondamentalmente è un port scan (lo puoi fare anche con nmap)...
> Spero possa esserti di aiuto...

Si, di grande aiuto, credo che sia stato un portscan, cmq terrò 
sott'occhio la situazione.

TNX

Andrea