[Pluto-security] Tentativo di accesso
Tommaso 'Dido' Di Donato
pluto-security@lists.pluto.linux.it
Fri, 17 Jan 2003 14:16:05 +0100
>Hai qualche informatore segreto alla Compaq? E che vuole la Compaq da
>me? :-)
No, per la verit=E0 ho usato il buon vecchio Google...
>Rispondo anche a Fabio :-)
>
>Ecco la riga dal /var/log/messages (unica)
>Jan 16 23:07:14 tecnico kernel: IPT INPUT packet died: IN=3Dppp0 OUT=3D
>MAC=3D SRC=3D66.246.52.202 DST=3Dxxx.xxx.xxx.xxx LEN=3D40 TOS=3D0x00=
PREC=3D0x00
>TTL=3D51 ID=3D0 DF PROTO=3DTCP SPT=3D0 DPT=3D1681 WINDOW=3D0 RES=3D0x00 ACK=
RST
>URGP=3D0
Strano.. La porta 6970 =E8 usata da RealAudio, ma su stream UDP... Inoltre,=
=20
un pacchetto con source port 0 =E8 al 90% delle probabilit=E0 un pacchetto=
=20
costruito ad hoc.. Il tipo di log pu=F2 derivare da:
-scansione tramite hping2, che usa come default il src port 0
-tentativo di spoofing del src ip
In ogni caso, non conosco cosa fa il programma della Compaq, forse fa una=20
sorta di network discovery, e allora potrebbe tornare tutto....
>In pi=F9 mi ritrovo anche parecchie di questa sulla UDP 6970
>
>Jan 17 12:39:07 tecnico kernel: IPT INPUT packet died: IN=3Dppp0 OUT=3D
>MAC=3D SRC=3D12.34.241.21 DST=3Dxxx.xxx.xxx.xxx LEN=3D270 TOS=3D0x00=
PREC=3D0x00
>TTL=3D111 ID=3D15914 PROTO=3DUDP SPT=3D27416 DPT=3D6970 LEN=3D250
>
>I sorgenti sono sempre gli stessi ma risultano non assegnati (quindi
>con chi me la prendo?). Come ci si comporta in questi casi?
Per la verit=E0, risultano assegnati, dal database IANA:
----------------
Search results for: 12.34.241.21
AT&T WorldNet Services ATT (NET-12-0-0-0-1)
12.0.0.0 - 12.255.255.255
United Space Alliance ATT133140-241 (NET-12-34-241-0-1)
12.34.241.0 - 12.34.241.255
# ARIN Whois database, last updated 2003-01-16 20:00
# Enter ? for additional hints on searching ARIN's Whois database.
----------------
>Grazie
De nada!
dido