URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5292
[ Назад ]

Исходное сообщение
"Странные SYN_RECV с 80-го порта на 25-й"

Отправлено XAnder , 17-Дек-14 13:46 
На прошлой неделе синфлудили почтовый сервер нашей конторы. Отбился, благо был DoS, а не DDoS. Больше флуда не было. Стал присматривать за "netstat -nt | grep SYN_RECV" и увидел, что время от времени появляются одиночные подключения извне вида:

tcp        0      0 <мой IP>:25         <внешний IP>:80         SYN_RECV

Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному (лишь один раз наблюдал сразу два), то есть на попытку DoSа не похоже. Причём порт, с которого приходят пакеты - всегда 80 или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, но мало ли...

Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что это за гаврики, стоит ли опасаться, или просто заб[иы]ть.


Содержание

Сообщения в этом обсуждении
"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено fantom , 18-Дек-14 12:16 
>[оверквотинг удален]
>   0 <мой IP>:25      
>   <внешний IP>:80        
>  SYN_RECV

> Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному
> (лишь один раз наблюдал сразу два), то есть на попытку DoSа
> не похоже. Причём порт, с которого приходят пакеты - всегда 80
> или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого,
> но мало ли...
> Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что
> это за гаврики, стоит ли опасаться, или просто заб[иы]ть.

А что вас настораживает? 80 порт потенциального клиента???
Так это говорит лишь о том, что ПО подключающееся с той стороны запущено скорее всего с правами рута или админа (простым пользователям порты с номерами 1-1024 недоступны к использованию) и 80 порт никем не занят....


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено XAnder , 18-Дек-14 13:13 
> А что вас настораживает? 80 порт потенциального клиента???

Настораживают две вещи:
1. Это предположительно началось во время или сразу после явной DoS-атаки.
2. Таких "потенциальных" уже больше десятка. IP-адреса разные, со всего мира, без обратного DNS или с таким, что ясно - динамические. У всех порт 80 или 443. Похоже на работу ботнета.

> Так это говорит лишь о том, что ПО подключающееся с той стороны
> запущено скорее всего с правами рута или админа (простым пользователям порты
> с номерами 1-1024 недоступны к использованию) и 80 порт никем не
> занят....

Вот-вот, и это тоже настораживает. Это указывает на кривое или зловредное ПО. Если таких наберётся не десяток а сотня-другая, уже получим DDoS. Паранойя? Возможно...


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено name , 19-Дек-14 14:23 
что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой что порт занят.
А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена какая-то опция обхода NAT.

странное совпадение.


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено XAnder , 19-Дек-14 17:21 
> что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой
> что порт занят.
> А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена
> какая-то опция обхода NAT.
> странное совпадение.

Спасибо, интересно, не знал. По запросу "skype port 80 443" много гуглится. А может ли скайп за чем-нибудь полезть на 25-й порт? Про это я ничего не нашёл.

PS. Утром опять была вялая попытка SYN-флуда (IP Британских Виргинских островов).


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено XAnder , 24-Дек-14 18:12 
[...Ну, может быть, кому-то будет интересно...]

Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) наиболее ретивых. Полёт нормальный.

Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. Я, наверное, что-то не понимаю.

Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено fantom , 25-Дек-14 13:09 
> [...Ну, может быть, кому-то будет интересно...]
> Написал программку для отслеживания этого дела и занесения в чёрный список (ipset)
> наиболее ретивых. Полёт нормальный.
> Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53.
> Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в
> Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли.
> Я, наверное, что-то не понимаю.
> Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com
> и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.

В syn в качестве src можно подставить любой IP...


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено XAnder , 29-Дек-14 09:29 
Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только с 80-го) порта на 25-й — и этих чудиков как ветром сдуло. За четыре дня ни одного не было. И это при том, что другие использовавшиеся ими порты (443, 53, 82 и ещё 22) я не блокировал.

Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться прислать письмо через соединение с исходящим портом 80?


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено reader , 29-Дек-14 11:24 
> Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только
> с 80-го) порта на 25-й — и этих чудиков как ветром
> сдуло. За четыре дня ни одного не было. И это при
> том, что другие использовавшиеся ими порты (443, 53, 82 и ещё
> 22) я не блокировал.
> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
> прислать письмо через соединение с исходящим портом 80?

обычно нет, читайте про ip_local_port_range


"Странные SYN_RECV с 80-го порта на 25-й"
Отправлено XAnder , 30-Дек-14 17:51 
>> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
>> прислать письмо через соединение с исходящим портом 80?
> обычно нет, читайте про ip_local_port_range

Как «обычно»-то я знаю. Нет ли каких-нибудь «необычных», но встречающихся? Не только Линукс. Вроде бы нет. Но мало ли кто-нибудь встречал.