|
| Firewall log Fra : Alex |
Dato : 09-08-01 00:09 |
|
Hej.
Nogen kan forklare mig hvad er det sker her :
FWOUT,2001/08/09,00:28:49 +2:00
GMT,192.168.128.58:1025,132.163.135.131:123,UDP
FWIN,2001/08/09,00:30:31 +2:00 GMT,212.69.74.193:2645,192.168.128.58:80,TCP
(flags:S)
FWIN,2001/08/09,00:43:11 +2:00 GMT,212.180.68.35:4714,192.168.128.58:80,TCP
(flags:S)
PE,2001/08/09,00:44:30 +2:00 GMT,ZoneAlarm Pro,209.122.173.160:80,N/A
FWIN,2001/08/09,00:51:19 +2:00 GMT,212.176.17.90:4069,192.168.128.58:80,TCP
(flags:S)
FWIN,2001/08/09,00:51:27 +2:00 GMT,212.10.16.188:3146,192.168.128.58:80,TCP
(flags:S)
FWIN,2001/08/09,00:56:13 +2:00 GMT,212.10.194.230:3374,192.168.128.58:80,TCP
(flags:S)
FWIN,2001/08/09,01:04:45 +2:00 GMT,211.186.94.138:1444,192.168.128.58:80,TCP
(flags:S)
Det bliver ved !!! mega langt hver dag mange gange ..
jeg kan se at de rammer alle på port 80 .. nogen har en forklaring på det ?
Takker
hilsen
Alex.
| |
Rasmus Bøg Hansen (09-08-2001)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 09-08-01 00:40 |
|
Alex wrote:
> Hej.
> Nogen kan forklare mig hvad er det sker her :
>
>
> FWOUT,2001/08/09,00:28:49 +2:00
> GMT,192.168.128.58:1025,132.163.135.131:123,UDP
Sin maskine spørger, hvad klokken er via NTP.
> FWIN,2001/08/09,00:30:31 +2:00
> GMT,212.69.74.193:2645,192.168.128.58:80,TCP (flags:S)
Din maskine nægter at modtage svar fra en webserver (formentlig
time-out).
> FWIN,2001/08/09,00:43:11 +2:00
> GMT,212.180.68.35:4714,192.168.128.58:80,TCP (flags:S)
Samme.
> FWIN,2001/08/09,00:51:19 +2:00
> GMT,212.176.17.90:4069,192.168.128.58:80,TCP (flags:S)
....
> FWIN,2001/08/09,00:51:27 +2:00
> GMT,212.10.16.188:3146,192.168.128.58:80,TCP (flags:S)
....
> FWIN,2001/08/09,00:56:13 +2:00
> GMT,212.10.194.230:3374,192.168.128.58:80,TCP (flags:S)
....
> FWIN,2001/08/09,01:04:45 +2:00
> GMT,211.186.94.138:1444,192.168.128.58:80,TCP (flags:S)
Slå den fra eller lad være med at bekymre dig så meget om indholdet...
Rasmus
--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I haven't lost my mind;
I have backed it up on tape somewhere........
--------------------------------- [ moffe at amagerkollegiet dot dk ] --
| |
Klaus (09-08-2001)
| Kommentar Fra : Klaus |
Dato : 09-08-01 08:26 |
|
Rasmus Bøg Hansen wrote:
> > FWIN,2001/08/09,00:30:31 +2:00
> > GMT,212.69.74.193:2645,192.168.128.58:80,TCP (flags:S)
>
> Din maskine nægter at modtage svar fra en webserver (formentlig
> time-out).
>
Jeg ville da mene at flags:S betød at SYN flaget var sat - dermed er det
ikke et svar men en forespørgsel fra en server inficeret med Code Red.
/klaus
| |
Rasmus Bøg Hansen (09-08-2001)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 09-08-01 08:37 |
|
Klaus wrote:
> Rasmus Bøg Hansen wrote:
>> > FWIN,2001/08/09,00:30:31 +2:00
>> > GMT,212.69.74.193:2645,192.168.128.58:80,TCP (flags:S)
>>
>> Din maskine nægter at modtage svar fra en webserver (formentlig
>> time-out).
>>
> Jeg ville da mene at flags:S betød at SYN flaget var sat - dermed er
> det ikke et svar men en forespørgsel fra en server inficeret med Code
> Red.
Undskyld, jeg så forkert - destinationsadressen er jo også en privat IP og dermed næppe fra internettet
Rasmus
--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Life is that property, which a being will lose as a result of falling out of
a cold and mysterious cave 30 miles above ground level.
- HitchHikers Guide to the Galaxy, Douglas Adams
--------------------------------- [ moffe at amagerkollegiet dot dk ] --
| |
Thomas (09-08-2001)
| Kommentar Fra : Thomas |
Dato : 09-08-01 10:08 |
|
Rasmus Bøg Hansen wrote:
> Alex wrote:
>
>> Hej.
>> Nogen kan forklare mig hvad er det sker her :
[...]
>> FWIN,2001/08/09,00:30:31 +2:00
>> GMT,212.69.74.193:2645,192.168.128.58:80,TCP (flags:S)
>
> Din maskine nægter at modtage svar fra en webserver (formentlig
> time-out).
Den anden vej rundt...
Det er en forspørgelse til RBH's server på port 80. Forklaringen på at
det er en RFC-1918 adresse er formodentlig at den står bag et stykke
udstyr der NAT'er hans forbindelse.
--
Don't waste space
| |
Alex (09-08-2001)
| Kommentar Fra : Alex |
Dato : 09-08-01 17:14 |
|
> Rasmus Bøg Hansen wrote:
>>
> >> FWIN,2001/08/09,00:30:31 +2:00
> >> GMT,212.69.74.193:2645,192.168.128.58:80,TCP (flags:S)
> >
> > Din maskine nægter at modtage svar fra en webserver (formentlig
> > time-out).
>
> Den anden vej rundt...
>
> Det er en forspørgelse til RBH's server på port 80. Forklaringen på at
> det er en RFC-1918 adresse er formodentlig at den står bag et stykke
> udstyr der NAT'er hans forbindelse.
>
> --
> Don't waste space
Ok , og det betyder ? ¿
Hva skal jeg så gøre for at firewall stopper med at blinke hele tiden ?
ps : den sidste adresse ip 192.168.128.58 er min internt ip .
thx
Alexandre
| |
Thomas Jespersen (09-08-2001)
| Kommentar Fra : Thomas Jespersen |
Dato : 09-08-01 20:03 |
|
"Alex" <Imaginere@hotmail.com> writes:
> Hva skal jeg så gøre for at firewall stopper med at blinke hele tiden ?
Du kan ikke gøre noget, det er sikkert "Code Red" inficerede maskiner
der forespørger din maskine om du kører en webserver. Hvis du kører
IIS er du muligvis inficeret nu. Du kan læse om "Code Red" om hvordan
du patcher dit system her:
http://www.cert.org/advisories/CA-2001-19.html
| |
RaYmAn (09-08-2001)
| Kommentar Fra : RaYmAn |
Dato : 09-08-01 18:31 |
|
> Den anden vej rundt...
>
> Det er en forspørgelse til RBH's server på port 80. Forklaringen på at
> det er en RFC-1918 adresse er formodentlig at den står bag et stykke
> udstyr der NAT'er hans forbindelse.
ikke helt...
Stofanet (Som Alex har) bruger 1:1 Statisk NAT.
Dvs. at hans pc ser sig selv som en den 192.168. addresse og når man
tilslutter til den eksterne ip vil alt blive nattet til hans lokale ip..
Så derfor er det en forbindelse ude fra ind til ham.
Mvh Jens Andersen
| |
|
|