---

Hej ng.

/var/log/messages har de sidste 4-5 dage været fyldt op med følgende:

localhost kernel: New not syn: IN=eth0 OUT=
MAC=00:60:08:0f:3e:6a:00:a0:c5:f9:ce:72:08:00 SRC=83.92.3.235
DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=65259 PROTO=TCP
SPT=1720 DPT=135 WINDOW=64240 RES=0x00 RST URGP=0

Den forekommer ca. 10 gange gange i timen, hver gang med forskellig SRC
adresse og forskellig SPT.

Jeg har søgt på google og fundet følgende diskussion:
http://www.derkeiler.com/Newsgroups/comp.os.linux.security/2003-01/0501.html

Her bliver der foreslået at det måske er nogen der har spoofet IP
adressen og at med derfor modtager svaret derfra - derfor ventede jeg lige
et par dage for at se om det gik i sig selv.

Men nu er der som sagt gået 4-5 dage, og jeg er ved at være lidt
nærvøs for hvad jeg skal stille op...

Nogen gode forslag?

Jeg er ikke sikker på om der er noget "farligt" ved dette, men når det
nu har fyldt loggen op så længe ville det da være rart hvis man kunne
afværge det.

/Kasper

---

Kasper Nordal Lund wrote:
>
> Hej ng.
>
> /var/log/messages har de sidste 4-5 dage været fyldt op med følgende:
>
> localhost kernel: New not syn: IN=eth0 OUT=
> MAC=00:60:08:0f:3e:6a:00:a0:c5:f9:ce:72:08:00 SRC=83.92.3.235
> DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=65259 PROTO=TCP
> SPT=1720 DPT=135 WINDOW=64240 RES=0x00 RST URGP=0

I løbet af det sidste år er der kommet 260 af den slags
i min log. De 113 af dem kom i Juni måned. Så det er
ikke helt usædvanligt.

Hvad formålet kan være har jeg svært ved at gennemskue.

Jeg ville skrive "netstat -ntlp" for at undersøge om der
er noget der lytter på port 135. Det er der sandsynligvis
ikke. Og så vidt jeg ved er det typisk Windows, der har
noget kørende på den port.

Spørgsmålet er så, om denne pakke selv er et forsøg på et
angreb, eller om det er en sagsløs maskines svar på et
forsøg på et angreb med en spoofet source IP.

Pakken har RST bitten sat, så hvis den i sig selv er et
forsøg på et angreb, så ligner det et forsøg på et DoS
angreb ved at afbryde legitime forbindelser. Det ville så
bare kræve, at man kunne gætte både source og destination
IP og portadresse. Altså ikke noget særligt realistisk
angreb.

Hvis vi antager, at pakken er et svar på et angreb
foretaget med spoofet IP, så er det ikke et angreb mod en
server på port 135, men derimod et angreb fra port 135
imod en tilfældig port adresse. Det giver heller ikke ret
meget mening.

Hvis vi forestillede os, at pakken indgik som en del af
et idle scan forsøg, så ville den i så fald indikere at
et idle scan af din computer havde fundet porten åben.
Hvilket nok ikke er tilfældet, så jeg tror også vi kan
udelukke den mulighed.

Det kan heller ikke være et forsøg på at fingerprinte
eller på anden måde probe din maskine, for man svarer ikke
på RST pakker.

Det var så alle mine bud på hvad det ikke kan være, jeg
har desværre ikke noget bud på hvad det kan være.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Nordal Lund wrote:
> Men nu er der som sagt gået 4-5 dage, og jeg er ved at være lidt
> nærvøs for hvad jeg skal stille op...

Hvad bruger du din log til?

Logger du med et formål, eller skal du til at finde ud af hvorfor du logger?

> Nogen gode forslag?

Ignorer forsøg på en port du ikke har nogle services kørende på.

> Jeg er ikke sikker på om der er noget "farligt" ved dette, men når det
> nu har fyldt loggen op så længe ville det da være rart hvis man kunne
> afværge det.

Jeg gætter på det er en orm, der forsøger at finde sårbar windows maskiner.

---

"Christian E. Lysel" wrote:
>
> Jeg gætter på det er en orm, der forsøger at finde sårbar windows maskiner.

Hvordan kan man finde noget som helst med en RST pakke?

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Dupont wrote:
> "Christian E. Lysel" wrote:
>
>>Jeg gætter på det er en orm, der forsøger at finde sårbar windows maskiner.
>
> Hvordan kan man finde noget som helst med en RST pakke?

A sender en spoofet pakke (med afsender adresse C) til B, som svare til C.

A kan etablere en TCP session med B, i blinde, hvis B køre med en dårlig
TCP implementation.

http://lcamtuf.coredump.cx/newtcp/

---

"Christian E. Lysel" wrote:
>
> A sender en spoofet pakke (med afsender adresse C) til B, som svare til C.
>
> A kan etablere en TCP session med B, i blinde, hvis B køre med en dårlig
> TCP implementation.

Det ved jeg godt, men jeg kan bare ikke se hvordan
det kan resultere i den pakke der ses i loggen.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Dupont wrote:
> "Christian E. Lysel" wrote:
>
>>A sender en spoofet pakke (med afsender adresse C) til B, som svare til C.
>>
>>A kan etablere en TCP session med B, i blinde, hvis B køre med en dårlig
>>TCP implementation.
>
> Det ved jeg godt, men jeg kan bare ikke se hvordan
> det kan resultere i den pakke der ses i loggen.
>

I ovenstående er han C.

---

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
> > "Christian E. Lysel" wrote:
> >
> >>A sender en spoofet pakke (med afsender adresse C) til B, som svare til C.
> >>
> >>A kan etablere en TCP session med B, i blinde, hvis B køre med en dårlig
> >>TCP implementation.
> >
> > Det ved jeg godt, men jeg kan bare ikke se hvordan
> > det kan resultere i den pakke der ses i loggen.
> >
>
> I ovenstående er han C.

Hvorfor skulle en orm angribe tilfældige portnumre? Jeg kan
se 260 af dem i min egen log med 256 forskellige portnumre.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Kasper Nordal Lund <Kasper@nospam.dk> writes:

> localhost kernel: New not syn: IN=eth0 OUT=
> MAC=00:60:08:0f:3e:6a:00:a0:c5:f9:ce:72:08:00 SRC=83.92.3.235
> DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=65259 PROTO=TCP
> SPT=1720 DPT=135 WINDOW=64240 RES=0x00 RST URGP=0

Det er nok bare en windows orm af en slags.

> Men nu er der som sagt gået 4-5 dage, og jeg er ved at være lidt
> nærvøs for hvad jeg skal stille op...
>
> Nogen gode forslag?

Undlad at logge pakker til port 135, så slipper du for at se på det.

--
Christian Laursen

---

Tak for svarene, indtil videre har jeg disablet logning af disse pakker,
dvs. at jeg vælger at ignorere situationen.



On Sat, 10 Sep 2005 14:13:27 +0200, Kasper Nordal Lund wrote:

> Hej ng.
>
> /var/log/messages har de sidste 4-5 dage været fyldt op med følgende:
>
> localhost kernel: New not syn: IN=eth0 OUT=
> MAC=00:60:08:0f:3e:6a:00:a0:c5:f9:ce:72:08:00 SRC=83.92.3.235
> DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=65259 PROTO=TCP
> SPT=1720 DPT=135 WINDOW=64240 RES=0x00 RST URGP=0
>
> Den forekommer ca. 10 gange gange i timen, hver gang med forskellig SRC
> adresse og forskellig SPT.
>
> Jeg har søgt på google og fundet følgende diskussion:
> http://www.derkeiler.com/Newsgroups/comp.os.linux.security/2003-01/0501.html
>
> Her bliver der foreslået at det måske er nogen der har spoofet IP
> adressen og at med derfor modtager svaret derfra - derfor ventede jeg lige
> et par dage for at se om det gik i sig selv.
>
> Men nu er der som sagt gået 4-5 dage, og jeg er ved at være lidt
> nærvøs for hvad jeg skal stille op...
>
> Nogen gode forslag?
>
> Jeg er ikke sikker på om der er noget "farligt" ved dette, men når det
> nu har fyldt loggen op så længe ville det da være rart hvis man kunne
> afværge det.
>
> /Kasper