[Pluto-security] Tentativo di accesso

Fabio Panigatti pluto-security@lists.pluto.linux.it
Fri, 17 Jan 2003 14:49:59 +0100


> Jan 16 23:07:14 tecnico kernel: IPT INPUT packet died: IN=ppp0 OUT=
> MAC= SRC=66.246.52.202 DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00
> TTL=51 ID=0 DF PROTO=TCP SPT=0 DPT=1681 WINDOW=0 RES=0x00 ACK RST
> URGP=0

Non e' una scansione ne un tentativo di accesso. E' un RST, inviato in
risposta (probabilmente) a un tuo pacchetto. La macchina a quell'ip e'
e' un webserver di una societa' di hosting. Puo' darsi che qualcuno in
qualche pagina web abbia messo un <a href=pippoz.it:0/ciccio.html> per
errore e che il browser abbia tentato di accedere alla porta 0/tcp. E'
soltanto un esempio. Potrebbe non essere andata cosi', ma e' al 99% un
incidente involontario.
 
> Jan 17 12:39:07 tecnico kernel: IPT INPUT packet died: IN=ppp0 OUT=
> MAC= SRC=12.34.241.21 DST=xxx.xxx.xxx.xxx LEN=270 TOS=0x00 PREC=0x00
> TTL=111 ID=15914 PROTO=UDP SPT=27416 DPT=6970 LEN=250

Traffico realaudio. E' normale quando ci sono client realplayer in lan.
 
> I sorgenti sono sempre gli stessi ma risultano non assegnati (quindi
> con chi me la prendo?). Come ci si comporta in questi casi?

Non so cosa usi, ma a me risultano assegnati.

> Come ci si comporta in questi casi?

Si aspetta che logrotate faccia il suo corso e poi ci si dimentica :-)
A limite puoi andare a cercare nella cache del browser web se trovi un
href come quello dell'esempio sopra o puoi indagare su cosa puo' esser
uscito dalla tua macchina verso la porta 0/tcp (99 % e' andata cosi').
Per realplayer c'e' poco da fare, a meno di non aprire un po' di porte
udp in ingresso/forward.


Fabio