---

Hej.

Den sidste tid har jeg oplevet en massiv scanning på port 3602 (UDP).
På nogle tidspunkter af døgnet er det mere ned 175 scanninger i timen!

Er der nogen der ved hvad det kan være? Er der p.t. nogle sårbare systemer
som bliver udnyttet på denne port eller hvad er det der sker.

Jeg har søgt på Google efter et svar, men er ikke rigtig blevet klogere på
det.

Mvh.
Claus

---

In article <405d67c0$0$280$edfadb0f@dread11.news.tele.dk>, Claus S. wrote:
> Den sidste tid har jeg oplevet en massiv scanning på port 3602 (UDP).
> På nogle tidspunkter af døgnet er det mere ned 175 scanninger i timen!

Og?

Du er ikke den eneste, http://www.dshield.org/port_report.php?port=3602

Den mest agressive er,
http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

> Er der nogen der ved hvad det kan være? Er der p.t. nogle sårbare systemer
> som bliver udnyttet på denne port eller hvad er det der sker.

Nej.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Claus S." wrote:
>
> Hej.
>
> Den sidste tid har jeg oplevet en massiv scanning på port 3602 (UDP).
> På nogle tidspunkter af døgnet er det mere ned 175 scanninger i timen!
>
> Er der nogen der ved hvad det kan være? Er der p.t. nogle sårbare systemer
> som bliver udnyttet på denne port eller hvad er det der sker.
>
> Jeg har søgt på Google efter et svar, men er ikke rigtig blevet klogere på
> det.

Det kan måske være Witty. Hvad er pakkernes source
port, og hvor store er de?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:405D9392.B827CACE@daimi.au.dk...
>
> Det kan måske være Witty. Hvad er pakkernes source
> port, og hvor store er de?

Source porten skifter fra ip til ip. Desværre kan jeg ikke sige noget om
størrelsen på pakkerne, da det ikke fremgår af log'en.

>
> --
> Kasper Dupont -- der bruger for meget tid paa usenet.
> For sending spam use mailto:aaarep@daimi.au.dk
> /* Would you like fries with that? */

Mvh.
Claus Sørensen

---

"Claus S." <***locutus_dk***@mailcity.com> skrev i en
meddelelse
news:405d67c0$0$280$edfadb0f@dread11.news.tele.dk...

Hej Claus,

> Den sidste tid har jeg oplevet en massiv scanning på port
3602 (UDP).
> På nogle tidspunkter af døgnet er det mere ned 175
scanninger i timen!

Hvis afsender porten er UDP 4000, så er det med stor
sandsynlighed Witty, eller en variant.

Venligst
Peter Kruse

---

In article <405d999c$0$257$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Hvis afsender porten er UDP 4000, så er det med stor
> sandsynlighed Witty, eller en variant.

Fra den node der scanner mest er der ikke nogle sammenhæng på
source porten,

http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5r7ah.pdh.chel@weebo.dmz.spindelnet.dk...
> In article <405d999c$0$257$edfadb0f@dread16.news.tele.dk>,
Peter Kruse wrote:

Hej Christian,

> Fra den node der scanner mest er der ikke nogle sammenhæng
på
> source porten,

Nej, det er korrekt. Der er sidenhed udgivet flere
varianter. Bemærk iøvrigt at denne variant altid sender til
UDP 3602.

Venligst
Peter Kruse

---

In article <405d9fd0$0$225$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
>> Fra den node der scanner mest er der ikke nogle sammenhæng
> på
>> source porten,
>
> Nej, det er korrekt. Der er sidenhed udgivet flere

Hvad er da sammenhængen på source porten?,
http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5r8dp.pdh.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Hvad er da sammenhængen på source porten?,
>
http://www.dshield.org/ipdetails_ascii.php?ip=068.071.186.195&v=

At den vælger en vilkårlig source port mellem 1025-5000 og
at den smider dem i tre klynger inden den skifter source
port?

Jeg er ikke helt sikker på hvad du mener.

Venligst
Peter Kruse

---

In article <405da73f$0$254$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Jeg er ikke helt sikker på hvad du mener.

Jeg troede du kunne se en sammenhæng mellem tallene.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnc5ra90.902.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Jeg troede du kunne se en sammenhæng mellem tallene.

Enlighten me
Måske fordi den inficerede maskine står bag en NAT router.

Venligst
Peter

---

Peter Kruse wrote:
>
> Måske fordi den inficerede maskine står bag en NAT router.

Hvordan bliver en maskine bag en NAT router inficeret?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <405DB7DC.7BAA2F0D@daimi.au.dk>, Kasper Dupont wrote:
> Hvordan bliver en maskine bag en NAT router inficeret?

Af en bærbar?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> In article <405DB7DC.7BAA2F0D@daimi.au.dk>, Kasper Dupont wrote:
> > Hvordan bliver en maskine bag en NAT router inficeret?
>
> Af en bærbar?

Altså en bærbar, der først er koblet på nettet
uden at være bag nogen firewall/NAT, og derefter
bliver flyttet og sluttet til netværket bagved
en NAT router uden at den bærbare har været
slukket/genstartet derimellem.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:405DBDCC.A1458BD3@daimi.au.dk...

Hej Kasper,

> Altså en bærbar, der først er koblet på nettet
> uden at være bag nogen firewall/NAT, og derefter
> bliver flyttet og sluttet til netværket bagved
> en NAT router uden at den bærbare har været
> slukket/genstartet derimellem.



Det kan selvfølgelig - og mere sandsynligt - ske via en
dårligt konfigureret hjemmearbejdsplads, som forbinder sig
til firmaets netværk via f.eks. IPsec.

Venligst
Peter Kruse