forum.opennet.ru - "IPFW и моя параноя" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW и моя параноя"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW и моя параноя"
Сообщение от snirr on 23-Мрт-04, 22:00 (MSK)
Люди СРОЧНО! что это? в логах ipfw Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out via rl0 Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний ip. моя внутренняя сетка 10.0.0.х такой ощущение идет какой то скан потому как меняются порты и внутренние ip адреса то есть я это заметил когда внутренние ip была порядка 10.0.0.50:135 ....... 10.0.0.73:135 может чего в правилах ipfw не так если надо покажу ps извините что так путано и без любезностей просто шухер на меня напал
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

IPFW и моя параноя, jamper, 09:42 , 24-Мрт-04, (1)
IPFW и моя параноя, dex, 09:59 , 24-Мрт-04, (2)
- IPFW и моя параноя, nubius, 10:37 , 24-Мрт-04, (3)
  - IPFW и моя параноя, snirr, 11:10 , 24-Мрт-04, (4)
- IPFW и моя параноя, A Clockwork Orange, 11:16 , 24-Мрт-04, (5)
  - IPFW и моя параноя, snirr, 11:20 , 24-Мрт-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFW и моя параноя"

Сообщение от jamper on 24-Мрт-04, 09:42  (MSK)

>была порядка  10.0.0.50:135  ....... 10.0.0.73:135
>
так это твоя сетка ломится 10.0.0.x -> xxx.xxx.xxx.xxx
а 135 порт это чтото из виндового вроде даже нетбиос
так что это не параноя а нормальная работа винды :-)
А вот если xxx.xxx.xxx.xxx -> 10.0.0.x.135 и xxx.xxx.xxx.xxx не твой адрес, а твой гейт не на винде ... то смело пиши гневное писмьо xxx.xxx.xxx.xxx или его провайдеру :-) хотя могу и ошибатся

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFW и моя параноя"

Сообщение от dex on 24-Мрт-04, 09:59  (MSK)

>Люди СРОЧНО! что это? в логах ipfw
>
>Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out
>via rl0
Это означает что  xxx.xxx.xxx.xxx с портом 3039 хочет достучаться до 10.1.76.3 порт 135, это все происходит через интерфейс rl0 выходящий трафик с него
Такого не должно быть
покажи rc.firewall
>
>Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний
>ip. моя внутренняя сетка 10.0.0.х
>
>такой ощущение идет какой то скан потому как меняются порты и внутренние
>ip адреса  то есть я это заметил когда внутренние ip
>была порядка  10.0.0.50:135  ....... 10.0.0.73:135
>
>может чего в правилах ipfw не так если надо покажу
>
>
>ps извините что так путано и без любезностей просто шухер на меня
>напал

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "IPFW и моя параноя"

Сообщение от nubius on 24-Мрт-04, 10:37  (MSK)

>>Люди СРОЧНО! что это? в логах ipfw
>>
>>Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out
>>via rl0
>
>Это означает что  xxx.xxx.xxx.xxx с портом 3039 хочет достучаться до 10.1.76.3
>порт 135, это все происходит через интерфейс rl0 выходящий трафик с
>него
>
>Такого не должно быть
>покажи rc.firewall
>
>>
>>Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний
>>ip. моя внутренняя сетка 10.0.0.х
>>
>>такой ощущение идет какой то скан потому как меняются порты и внутренние
>>ip адреса  то есть я это заметил когда внутренние ip
>>была порядка  10.0.0.50:135  ....... 10.0.0.73:135
>>
>>может чего в правилах ipfw не так если надо покажу
>>
>>
>>ps извините что так путано и без любезностей просто шухер на меня
>>напал
Msblast - вот что это.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "IPFW и моя параноя"

Сообщение от snirr on 24-Мрт-04, 11:10  (MSK)

>Msblast - вот что это.
точно, точно! уже нашел и придавил гадину.
он гад, ломился через внешний интерфейс и искал там машинки с ip сетки 10.х.х.х
спасибо всем
сорри за беспокойство

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "IPFW и моя параноя"

Сообщение от A Clockwork Orange on 24-Мрт-04, 11:16  (MSK)

А провайдер то при чем тут?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "IPFW и моя параноя"

Сообщение от snirr on 24-Мрт-04, 11:20  (MSK)

>А провайдер то при чем тут?

Провайдер ни причем
вирус ИЗНУТРИ через ВНЕШНИЙ интерфейс пытался создать соединение по 135 порту перебирая ip из подсети 10.x.x.x
(или я неправильно понял лог)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW и моя параноя"
Сообщение от jamper on 24-Мрт-04, 09:42 (MSK)
>была порядка 10.0.0.50:135 ....... 10.0.0.73:135 > так это твоя сетка ломится 10.0.0.x -> xxx.xxx.xxx.xxx а 135 порт это чтото из виндового вроде даже нетбиос так что это не параноя а нормальная работа винды :-) А вот если xxx.xxx.xxx.xxx -> 10.0.0.x.135 и xxx.xxx.xxx.xxx не твой адрес, а твой гейт не на винде ... то смело пиши гневное писмьо xxx.xxx.xxx.xxx или его провайдеру :-) хотя могу и ошибатся
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "IPFW и моя параноя"
Сообщение от dex on 24-Мрт-04, 09:59 (MSK)
>Люди СРОЧНО! что это? в логах ipfw > >Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out >via rl0 Это означает что xxx.xxx.xxx.xxx с портом 3039 хочет достучаться до 10.1.76.3 порт 135, это все происходит через интерфейс rl0 выходящий трафик с него Такого не должно быть покажи rc.firewall > >Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний >ip. моя внутренняя сетка 10.0.0.х > >такой ощущение идет какой то скан потому как меняются порты и внутренние >ip адреса то есть я это заметил когда внутренние ip >была порядка 10.0.0.50:135 ....... 10.0.0.73:135 > >может чего в правилах ipfw не так если надо покажу > > >ps извините что так путано и без любезностей просто шухер на меня >напал
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "IPFW и моя параноя"
	Сообщение от nubius on 24-Мрт-04, 10:37 (MSK)
	>>Люди СРОЧНО! что это? в логах ipfw >> >>Mar 23 21:40:17 mail /kernel: ipfw: 440 Deny TCP xxx.xxx.xxx.xxx:3039 10.1.76.3:135 out >>via rl0 > >Это означает что xxx.xxx.xxx.xxx с портом 3039 хочет достучаться до 10.1.76.3 >порт 135, это все происходит через интерфейс rl0 выходящий трафик с >него > >Такого не должно быть >покажи rc.firewall > >> >>Сегодня вечером заметил в логах кучу cообщений такого вида. xxx.xxx.xxx.xxx мой внешний >>ip. моя внутренняя сетка 10.0.0.х >> >>такой ощущение идет какой то скан потому как меняются порты и внутренние >>ip адреса то есть я это заметил когда внутренние ip >>была порядка 10.0.0.50:135 ....... 10.0.0.73:135 >> >>может чего в правилах ipfw не так если надо покажу >> >> >>ps извините что так путано и без любезностей просто шухер на меня >>напал Msblast - вот что это.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "IPFW и моя параноя"
	Сообщение от snirr on 24-Мрт-04, 11:10 (MSK)
	>Msblast - вот что это. точно, точно! уже нашел и придавил гадину. он гад, ломился через внешний интерфейс и искал там машинки с ip сетки 10.х.х.х спасибо всем сорри за беспокойство
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "IPFW и моя параноя"
	Сообщение от A Clockwork Orange on 24-Мрт-04, 11:16 (MSK)
	А провайдер то при чем тут?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "IPFW и моя параноя"
	Сообщение от snirr on 24-Мрт-04, 11:20 (MSK)
	>А провайдер то при чем тут? Провайдер ни причем вирус ИЗНУТРИ через ВНЕШНИЙ интерфейс пытался создать соединение по 135 порту перебирая ip из подсети 10.x.x.x (или я неправильно понял лог)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх