/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Suspekte proxy-scans ?
Fra : Brian Ipsen


Dato : 27-04-02 21:43

Hej!

Jeg har oobserveret en stak entries i min firewall log i stil med
disse:

Apr 27 20:26:08 worf kernel: IN=eth0 SRC=216.152.64.142
DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
Apr 27 20:26:11 worf kernel: IN=eth0 SRC=216.152.64.142
DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
Apr 27 20:26:18 worf kernel: IN=eth0 SRC=216.152.64.142
DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080

IP adresserne resolver til noget på domænet webchat.org - men hvorfor
prøver deres maskiner at finde en åben proxy hos mig ?? Den ene host
er endda angivet som proxycheck.webchat.org - er det ikke rimeligt
suspekt opførsel ???

/Brian

 
 
Peder Vendelbo Mikke~ (27-04-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-04-02 22:34

Brian Ipsen skrev:

> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
> prøver deres maskiner at finde en åben proxy hos mig ?

Du har vel læst på denne side?

<URL: http://webchat.org/klproxy.shtml >
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >


Brian Ipsen (28-04-2002)
Kommentar
Fra : Brian Ipsen


Dato : 28-04-02 06:47

On Sat, 27 Apr 2002 23:33:57 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:

>> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
>> prøver deres maskiner at finde en åben proxy hos mig ?
>
>Du har vel læst på denne side?
>
><URL: http://webchat.org/klproxy.shtml >

Nej - men det var lige den information, jeg søgte ! Mange tak

/Brian

Kasper Dupont (27-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 27-04-02 22:46

Brian Ipsen wrote:
>
> Hej!
>
> Jeg har oobserveret en stak entries i min firewall log i stil med
> disse:
>
> Apr 27 20:26:08 worf kernel: IN=eth0 SRC=216.152.64.142
> DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
> Apr 27 20:26:09 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
> Apr 27 20:26:11 worf kernel: IN=eth0 SRC=216.152.64.142
> DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33337 DPT=8080
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33339 DPT=3128
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33338 DPT=8000
> Apr 27 20:26:12 worf kernel: IN=eth0 SRC=216.152.64.163
> DST=62.242.9.138 PROTO=TCP SPT=33340 DPT=1080
> Apr 27 20:26:18 worf kernel: IN=eth0 SRC=216.152.64.142
> DST=62.242.9.138 PROTO=TCP SPT=2717 DPT=1080

Dem har jeg også en masse af. Jeg ved ikke hvad det er.
(Din log har et lidt andet format end min. Er det ipchains
du bruger?)

>
> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
> prøver deres maskiner at finde en åben proxy hos mig ?? Den ene host
> er endda angivet som proxycheck.webchat.org - er det ikke rimeligt
> suspekt opførsel ???

Det ser lidt mistænkeligt ud, gad vide om det er en eller
anden orm? Alle destinationsportene er upriviligerede, så
du kunne evt. oprette en dummybruger og sætte et program
til at lytte på porten og gemme et par forespørgsler i en
fil. (Det forudsætter naturligvis, at du lukker dem
gennem firewallen.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Jesper Louis Anderse~ (27-04-2002)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 27-04-02 23:15

On Sat, 27 Apr 2002 23:46:19 +0200, Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Dem har jeg også en masse af. Jeg ved ikke hvad det er.
> (Din log har et lidt andet format end min. Er det ipchains
> du bruger?)

> Det ser lidt mistænkeligt ud, gad vide om det er en eller
> anden orm? Alle destinationsportene er upriviligerede, så
> du kunne evt. oprette en dummybruger og sætte et program
> til at lytte på porten og gemme et par forespørgsler i en
> fil. (Det forudsætter naturligvis, at du lukker dem
> gennem firewallen.)

Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
undgaa at folk anvender miskonfigurerede proxies som indgang til irc

--
jesper

Kasper Dupont (28-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-04-02 08:36

Jesper Louis Andersen wrote:
>
> Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
> undgaa at folk anvender miskonfigurerede proxies som indgang til irc

Hvorfor scanner de så alle mulige tilfældige maskiner?
Burde de ikke kun scanne deres klienter?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Christian E. Lysel (29-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 29-04-02 00:32

Kasper Dupont wrote:

>>Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
>>undgaa at folk anvender miskonfigurerede proxies som indgang til irc
> Hvorfor scanner de så alle mulige tilfældige maskiner?
> Burde de ikke kun scanne deres klienter?


Jo.

Grunden til de scanner deres klienter er jo for at undgå at det er
"udnyttet" maskiner der bruger irc.

Dog er disse scanninger sandsynligvis fra nogle der vil finde en maskine
de kan "udnytte" til fx at deltage i irc, uden at efterlade sig alt for
tydelige spor.




Klaus Ellegaard (28-04-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 28-04-02 19:08

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Det er nok bare en irc-proxy-scanner i aktion. Det goer man normalt for at
>> undgaa at folk anvender miskonfigurerede proxies som indgang til irc

>Hvorfor scanner de så alle mulige tilfældige maskiner?
>Burde de ikke kun scanne deres klienter?

Det er sikkert bare nogen, der vil finde en proxy at misbruge helt
generelt. Relativt meget (news) spam bliver i dag sendt via åbne
proxyer.

Mvh.
   Klaus.

Henrik Boegh (28-04-2002)
Kommentar
Fra : Henrik Boegh


Dato : 28-04-02 09:39

Brian Ipsen told the rest of dk.edb.sikkerhed:

[...]

> IP adresserne resolver til noget på domænet webchat.org - men hvorfor
> prøver deres maskiner at finde en åben proxy hos mig ?? Den ene host
> er endda angivet som proxycheck.webchat.org - er det ikke rimeligt
> suspekt opførsel ???

Jo - hvis du kan sige dig helt sikker for at der ikke er nogle bag dit
chains/tables-setup som benytter en webchat-service. Og husk det
behøver ikke nødvendigvis være umiddelbart tydeligt at det er en
webchat.org service.

> /Brian

--
H e n r i k B o e g h ^ http://henrik.boegh.net/?index=usenet
God is love, but get it in writing.
-- Gypsy Rose Lee


Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste