DPT=19060

0

1

Всё время сканируют неясно кто и зачем.

Обычно порулярны 22,23,443 порты. А тут за час вышел в топ 6 за 3 недели разрозненных данных, до этого вообще не наблюдался.

Ссылка

←	Были ли у вас проблемы с --throw-keyids (anonymous recipient)?

Настройка Firewall для XL2TPD & Samba

→

неясно кто и зачем.

Боты сканируют системы в поисках нужных им демонов с известными уязвимостями. Иногда боты получают заказы на весьма специфический софт.

Deleted
(26.07.19 07:34:54 MSK)

Ссылка

DPT=48891

Просто поток льётся, за 10 минут набрал больше чем за месяц все остальные. Как TCP так и UDP, 1077 адресов за 11 минут.

sr11 ★
(26.07.19 11:25:42 MSK) автор топика

Ссылка

DPT=42773

TCP,UDP. Полез тоже здорово, до этого также не светился.

sr11 ★
(26.07.19 12:00:35 MSK) автор топика

Ответ на: DPT=42773 от sr11 26.07.19 12:00:35 MSK

Послушай, что они туда пытаются писать, может что интересное всплывёт.

crutch_master ★★★★★
(26.07.19 12:02:17 MSK)
Последнее исправление: crutch_master 26.07.19 12:02:33 MSK (всего исправлений: 1)

DPT=6881

TCP,UDP. Этот был лидером предыдущие дни, сейчас тоже активен.

sr11 ★
(26.07.19 12:13:30 MSK) автор топика

Ссылка

Ответ на: комментарий от crutch_master 26.07.19 12:02:17 MSK

honeypot

Не умею, но да, интересно.

Пробросить порты, запустить netcat?

Я на DSL модеме смотрю, логи на комп пустил.

Боязно.

sr11 ★
(26.07.19 12:16:55 MSK) автор топика

Ответ на: honeypot от sr11 26.07.19 12:16:55 MSK

Пробросить порты, запустить netcat?

Наверное типа того.

Боязно.

Что там бояться, дампы систему не взломают.

crutch_master ★★★★★
(26.07.19 12:19:38 MSK)

DPT=7382

Этот только TCP и с одного адреса, но настырный, до того не светился.

sr11 ★
(26.07.19 12:48:20 MSK) автор топика

Ссылка

Стихло

# iptables -v --line-numbers -t filter -L
Chain INPUT (policy ACCEPT 3360 packets, 185K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       39  3030 LOG        all  --  ppp_0_0_35_1 any     anywhere             anywhere            state RELATED,ESTABLISHED LOG level debug prefix `input:accepted: ' 
2     3581  216K DROP       udp  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED udp dpt:42773 
3     4250  222K DROP       tcp  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED tcp dpt:42773 
4     5444  279K DROP       tcp  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED tcp dpt:6881 
5      636 83868 DROP       udp  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED udp dpt:6881 
6    17826 1364K DROP       udp  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED udp dpt:48891 
7    52415 2676K DROP       tcp  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED tcp dpt:48891 
8    17145  997K LOG        all  --  ppp_0_0_35_1 any     anywhere             anywhere            state INVALID,NEW,UNTRACKED LOG level debug prefix `forward: ' 
9      151 11744 ACCEPT     all  --  ppp_0_0_35_1 any     anywhere             anywhere            state RELATED,ESTABLISHED 
10   20155 1175K DROP       all  --  ppp_0_0_35_1 any     anywhere             anywhere

Кроме уже перечисленных были активны DPT=49001, DPT=64446

В лидерах снова 22, 443, 23.

sr11 ★
(27.07.19 04:42:50 MSK) автор топика

Ответ на: Стихло от sr11 27.07.19 04:42:50 MSK

Ага, держи нас в курсе

Deleted
(27.07.19 04:55:40 MSK)

Ссылка

Ответ на: комментарий от crutch_master 26.07.19 12:19:38 MSK

dump

Если интересно, вот, но не из шторма. Кое-что потёр.

0000   00 00 00 79 79 79 00 00 00 78 78 78 08 00 45 20   ...yyy...xxx..E 
0010   01 b2 00 00 40 00 34 11 c8 f3 67 5e 00 00 c0 a8   .²..@.4.Èóg^..À¨
0020   00 05 13 cd 13 c4 01 9e 11 f7 4f 50 54 49 4f 4e   ...Í.Ä...÷OPTION
0030   53 20 73 69 70 3a 31 30 30 40 38 32 2e 31 36 32   S sip:100@82.162
0040   2e 78 2e 78 78 78 78 20 53 49 50 2f 32 2e 30 0d   .x.xxxx SIP/2.0.
0050   0a 56 69 61 3a 20 53 49 50 2f 32 2e 30 2f 55 44   .Via: SIP/2.0/UD
0060   50 20 31 32 37 2e 30 2e 30 2e 31 3a 35 30 36 39   P 127.0.0.1:5069
0070   3b 62 72 61 6e 63 68 3d 7a 39 68 47 34 62 4b 2d   ;branch=z9hG4bK-
0080   32 31 30 30 38 37 31 37 38 32 3b 72 70 6f 72 74   2100871782;rport
0090   0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68   ..Content-Length
00a0   3a 20 30 0d 0a 46 72 6f 6d 3a 20 22 73 69 70 76   : 0..From: "sipv
00b0   69 63 69 6f 75 73 22 3c 73 69 70 3a 31 30 30 40   icious"<sip:100@
00c0   31 2e 31 2e 31 2e 31 3e 3b 74 61 67 3d 33 35 33   1.1.1.1>;tag=353
00d0   32 36 31 33 32 36 32 33 36 33 31 33 38 33 31 33   2613262363138313
00e0   33 36 33 33 34 30 31 33 32 33 30 33 38 33 34 33   3633401323038343
00f0   31 33 36 33 37 33 35 33 30 33 37 0d 0a 41 63 63   13637353037..Acc
0100   65 70 74 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e   ept: application
0110   2f 73 64 70 0d 0a 55 73 65 72 2d 41 67 65 6e 74   /sdp..User-Agent
0120   3a 20 66 72 69 65 6e 64 6c 79 2d 73 63 61 6e 6e   : friendly-scann
0130   65 72 0d 0a 54 6f 3a 20 22 73 69 70 76 69 63 69   er..To: "sipvici
0140   6f 75 73 22 3c 73 69 70 3a 31 30 30 40 31 2e 31   ous"<sip:100@1.1
0150   2e 31 2e 31 3e 0d 0a 43 6f 6e 74 61 63 74 3a 20   .1.1>..Contact: 
0160   73 69 70 3a 31 30 30 40 31 32 37 2e 30 2e 30 2e   sip:100@127.0.0.
0170   31 3a 35 30 36 39 0d 0a 43 53 65 71 3a 20 31 20   1:5069..CSeq: 1 
0180   4f 50 54 49 4f 4e 53 0d 0a 43 61 6c 6c 2d 49 44   OPTIONS..Call-ID
0190   3a 20 35 34 37 35 33 38 34 31 38 39 34 33 32 39   : 54753841894329
01a0   32 31 33 30 32 34 35 36 32 34 0d 0a 4d 61 78 2d   2130245624..Max-
01b0   46 6f 72 77 61 72 64 73 3a 20 37 30 0d 0a 0d 0a   Forwards: 70....

sr11 ★
(28.07.19 07:13:38 MSK) автор топика