Portsenrty

0

0

Здравствуйте Знатоки!

В Линуксе недавно. Если возможно, помогите разобраться. В логах обнаружил подозрительные записи, что это? Звездочками пометил реальные ип адреса.

Feb 12 20:15:42 ollin portsentry[18111]: attackalert: TCP SYN/Normal scan from host: host91-*-*-*.etth.*-*.net/91.*.*.* to TCP port: 445

Feb 12 20:15:42 ollin portsentry[18111]: attackalert: Host 91.*.*.* has been blocked via dropped route using command: «/sbin/iptables -I INPUT -s 91.*.*.* -j DROP»

Feb 12 20:24:21 ollin portsentry[18111]: attackalert: TCP SYN/Normal scan from host: 92.*.*.*/92.*.*.* to TCP port: 445

Feb 12 20:24:21 ollin portsentry[18111]: attackalert: Host 92.*.*.* has been blocked via dropped route using command: «/sbin/iptables -I INPUT -s 92.*.*.* -j DROP»

Feb 12 20:49:01 ollin portsentry[18111]: attackalert: TCP SYN/Normal scan from host: 92.*.*.*/92.*.*.* to TCP port: 445

Feb 12 20:49:01 ollin portsentry[18111]: attackalert: Host 92.*.*.* has been blocked via dropped route using command: «/sbin/iptables -I INPUT -s 92.*.*.* -j DROP»

Feb 12 20:56:18 ollin pulseaudio[13648]: ratelimit.c: 1041 events suppressed

Feb 12 20:57:12 ollin portsentry[18111]: attackalert: TCP SYN/Normal scan from host: 92.*.*.*/92.*.*.* to TCP port: 445

Feb 12 20:57:12 ollin portsentry[18111]: attackalert: Host 92.*.*.* has been blocked via dropped route using command: «/sbin/iptables -I INPUT -s 92.*.*.* -j DROP»

Ссылка

←	Проверка существования дублирующих ip/mac

Skype + Apparmor

→

Посканировали тебе 445 порт (точнее была сетевая активность, похожая на сканирование) с нескольких адресов, которые были за это заблокированы с помощью файрвола.

~~Lumi~~ ★★★★★
(13.02.10 13:26:25 MSK)

Ответ на: комментарий от Lumi 13.02.10 13:26:25 MSK

Благодарю! Чайникс! :)

ollin
(13.02.10 19:09:58 MSK) автор топика

Ответ на: комментарий от ollin 13.02.10 19:09:58 MSK

И еще, стоит ли считать эту активность атакой? И необходимо ли предупреждать провайдера о таких попытках?

ollin
(13.02.10 19:12:58 MSK) автор топика

Ответ на: комментарий от ollin 13.02.10 19:12:58 MSK

Замучаешься предупреждать или провайдер тебя забанит.
А если серьезно, то это похоже на активность вирусов или просто виндовых машин, рыскающих в поисках соседа.

Marmirus ★★
(13.02.10 19:25:31 MSK)

Ссылка

О ужас, кто-то еще юзает этот музейный экспонат!
facepalm.png

nnz ★★★★
(13.02.10 20:15:15 MSK)

Ответ на: комментарий от nnz 13.02.10 20:15:15 MSK

А что, разве есть решения лучше, чем портсенри?

ollin
(13.02.10 20:19:02 MSK) автор топика

Ответ на: комментарий от ollin 13.02.10 20:19:02 MSK

Конечно. netfilter (recent, ipset, psd).

nnz ★★★★
(13.02.10 20:31:47 MSK)

Звиздец, оно еще существует.

~~qsloqs~~ ★★
(13.02.10 20:43:17 MSK)

Ссылка

Ответ на: комментарий от nnz 13.02.10 20:31:47 MSK

Простите! Если не сложно, обьясните чем одно лучше другого.

ollin
(13.02.10 20:55:29 MSK) автор топика

Ответ на: комментарий от ollin 13.02.10 20:55:29 MSK

http://ru.wikipedia.org/wiki/Iptables#.D0.9A.D1.80.D0.B8.D1.82.D0.B5.D1.80.D0...

Проводя аналогию с ныне почившим проектом PortSentry, первый наш пример соответствует режиму PortSentry «Advanced Stealth Scan Detection», а второй — «Enhanced Stealth Scan Detection». (Правда, заметим, что в режиме Advanced Stealth Scan Detection блокировка производится после первого попадания пакета на нерабочий порт — для достижения такого же эффекта в нашем примере достаточно выкинуть проверки на seconds и hitcount из блокирующих правил.) Однако, использование iptables/recent имеет значительное преимущество перед примитивными userspace-системами наподобие PortSentry — возможность интеграции с системой conntrack, что позволяет избежать ошибочной блокировки, например, при использовании высоких портов для NAT.

nnz ★★★★
(13.02.10 21:29:18 MSK)

Ответ на: комментарий от nnz 13.02.10 21:29:18 MSK

Теперь все ясно. У вас хороший форум. Благодарю.

ollin
(13.02.10 21:52:39 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проверка существования дублирующих ip/mac

Security

Skype + Apparmor

→

Похожие темы