[Pluto-security] Tentativo di accesso

Stefano Callegari pluto-security@lists.pluto.linux.it
Fri, 17 Jan 2003 15:41:04 +0100


Il 17Jan 14:49, Fabio Panigatti <ml-panigatti@minerprint.it> scrisse:
> > Jan 16 23:07:14 tecnico kernel: IPT INPUT packet died: IN=ppp0 OUT=
> > MAC= SRC=66.246.52.202 DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00
> > TTL=51 ID=0 DF PROTO=TCP SPT=0 DPT=1681 WINDOW=0 RES=0x00 ACK RST
> > URGP=0

Rispondo anche a Dido visto che siete arrivai entrmbi alle stesso
conclusioni. Grazie.

> 
> Non e' una scansione ne un tentativo di accesso. E' un RST, inviato in
> risposta (probabilmente) a un tuo pacchetto. La macchina a quell'ip e'
[cut]
> soltanto un esempio. Potrebbe non essere andata cosi', ma e' al 99% un
> incidente involontario.

Posso stare tranquillo :-)
  
> > Jan 17 12:39:07 tecnico kernel: IPT INPUT packet died: IN=ppp0 OUT=
> > MAC= SRC=12.34.241.21 DST=xxx.xxx.xxx.xxx LEN=270 TOS=0x00 PREC=0x00
> > TTL=111 ID=15914 PROTO=UDP SPT=27416 DPT=6970 LEN=250
> 
> Traffico realaudio. E' normale quando ci sono client realplayer in lan.

E in effetti ho in lan un videoascoltatore che da ieri si guarda il
lancio dello shuttle. E l'indirizzo di lilo è quello del collegamento.

> > I sorgenti sono sempre gli stessi ma risultano non assegnati (quindi
> > con chi me la prendo?). Come ci si comporta in questi casi?
> 
> Non so cosa usi, ma a me risultano assegnati.

Ho usato il whois del ripe (www.ripe.net indicatomi da un ISP per un
problema simile con virus) che anche in altre occasioni mi ha risposto
che gli indirizzi che avevo inserito non erano assegnati.

Cosa mi consigliate?

> > Come ci si comporta in questi casi?
> 
> Si aspetta che logrotate faccia il suo corso e poi ci si dimentica :-)

Finchè siamo a queste conclusioni mi secca solo che il log aumenta, il
guaio è quando avverrà un serio attacco (nella speranza di passarlo
indenne :-) ).

Ciao
-- 
Stefano Callegari <stefano@omniluxlighting.it>
Omnilux Srl
Via Frassanedo, 2 - I 35020 Villatora di Saonara (PD)
+39 049 8792281