URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 42038
[ Назад ]

Исходное сообщение
"IPFW и моя параноя"
Отправлено snirr , 23-Мрт-04 22:00

Люди СРОЧНО! что это? в логах ipfw
Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out via rl0
Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний ip. моя внутренняя сетка 10.0.0.х
такой ощущение идет какой то скан потому как меняются порты и внутренние ip адреса то есть я это заметил когда внутренние ip была порядка 10.0.0.50:135 ....... 10.0.0.73:135
может чего в правилах ipfw не так если надо покажу

ps извините что так путано и без любезностей просто шухер на меня напал

Содержание

IPFW и моя параноя,jamper, 09:42 , 24-Мрт-04
IPFW и моя параноя,dex, 09:59 , 24-Мрт-04
- IPFW и моя параноя,nubius, 10:37 , 24-Мрт-04
  - IPFW и моя параноя,snirr, 11:10 , 24-Мрт-04
- IPFW и моя параноя,A Clockwork Orange, 11:16 , 24-Мрт-04
  - IPFW и моя параноя,snirr, 11:20 , 24-Мрт-04

Сообщения в этом обсуждении

"IPFW и моя параноя"
Отправлено jamper , 24-Мрт-04 09:42

>была порядка 10.0.0.50:135 ....... 10.0.0.73:135
>
так это твоя сетка ломится 10.0.0.x -> xxx.xxx.xxx.xxx
а 135 порт это чтото из виндового вроде даже нетбиос
так что это не параноя а нормальная работа винды :-)
А вот если xxx.xxx.xxx.xxx -> 10.0.0.x.135 и xxx.xxx.xxx.xxx не твой адрес, а твой гейт не на винде ... то смело пиши гневное писмьо xxx.xxx.xxx.xxx или его провайдеру :-) хотя могу и ошибатся

"IPFW и моя параноя"
Отправлено dex , 24-Мрт-04 09:59

>Люди СРОЧНО! что это? в логах ipfw
>
>Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out
>via rl0
Это означает что  xxx.xxx.xxx.xxx с портом 3039 хочет достучаться до 10.1.76.3 порт 135, это все происходит через интерфейс rl0 выходящий трафик с него
Такого не должно быть
покажи rc.firewall
>
>Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний
>ip. моя внутренняя сетка 10.0.0.х
>
>такой ощущение идет какой то скан потому как меняются порты и внутренние
>ip адреса  то есть я это заметил когда внутренние ip
>была порядка  10.0.0.50:135  ....... 10.0.0.73:135
>
>может чего в правилах ipfw не так если надо покажу
>
>
>ps извините что так путано и без любезностей просто шухер на меня
>напал

"IPFW и моя параноя"
Отправлено nubius , 24-Мрт-04 10:37

>>Люди СРОЧНО! что это? в логах ipfw
>>
>>Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out
>>via rl0
>
>Это означает что  xxx.xxx.xxx.xxx с портом 3039 хочет достучаться до 10.1.76.3
>порт 135, это все происходит через интерфейс rl0 выходящий трафик с
>него
>
>Такого не должно быть
>покажи rc.firewall
>
>>
>>Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний
>>ip. моя внутренняя сетка 10.0.0.х
>>
>>такой ощущение идет какой то скан потому как меняются порты и внутренние
>>ip адреса  то есть я это заметил когда внутренние ip
>>была порядка  10.0.0.50:135  ....... 10.0.0.73:135
>>
>>может чего в правилах ipfw не так если надо покажу
>>
>>
>>ps извините что так путано и без любезностей просто шухер на меня
>>напал
Msblast - вот что это.

"IPFW и моя параноя"
Отправлено snirr , 24-Мрт-04 11:10

>Msblast - вот что это.
точно, точно! уже нашел и придавил гадину.
он гад, ломился через внешний интерфейс и искал там машинки с ip сетки 10.х.х.х
спасибо всем
сорри за беспокойство

"IPFW и моя параноя"
Отправлено A Clockwork Orange , 24-Мрт-04 11:16

А провайдер то при чем тут?

"IPFW и моя параноя"
Отправлено snirr , 24-Мрт-04 11:20

>А провайдер то при чем тут?

Провайдер ни причем
вирус ИЗНУТРИ через ВНЕШНИЙ интерфейс пытался создать соединение по 135 порту перебирая ip из подсети 10.x.x.x
(или я неправильно понял лог)