|
|
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Стоит старенький интернет-шлюз Dl-604, в локалке два компа. На Dl-604 заблокированы все порты кроме двух (используются для организации VPN-канала, среди них нет порта 54346). В последнее время "весь мир" стал ломиться на этот интернет-шлюз на порт 54346 (см.рис), 30 листов встроенного журнала логов заполняются буквально за минуту. Вопрос: кто знает, кого "они" ищут на этом порту? З.Ы. Инет по этому порту молчит (нашёл что это может быть какой-то сервер лицензий) З,Ы.З.Ы. На локальных машинках смотрел через netstat, tcpView на этом порту никого нет. Антивирусы тоже молчат. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 09:15 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
abwabw, Может, torrent-клиент? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 09:29 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
x1ca4064abwabw, Может, torrent-клиент? Почему? Где мог засветится мой IP? На локальных компах торрента точно не было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 10:07 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
abwabwПочему? Где мог засветится мой IP? На локальных компах торрента точно не было. Возможно, это компы, которые подключились через VPN и стали использовать Ваш роутер как шлюз по умолчанию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 10:24 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
еще варианты - либо те компы, которые ломятся, заражены чем-то одинаковым - либо комп во внутренней сети заражен чем-то, что шлет на эти адреса информацию, они пытаются подсоединиться по порту снаружи, и получают облом от роутера. "внутреннюю" заразу можно опознать, если отключить все компы во внутренней сетке, а потом посмотреть на лог роутера именно в это время. Если снаружи все равно кто-то долбится, то значит внутри заразы нет. У меня вот такая фигня - кто-то в домашний роутер (Домолинк) лезет каждые ~10 минут Dec 5 21:04:42 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=109.225.50.220 DST=94.242.132.10 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=40996 DF PROTO=TCP SPT=23960 DPT=16756 WINDOW=65535 RES=0x00 SYN URGP=0 MARK=0x8000000 240 Dec 5 21:12:58 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=93.120.189.11 DST=94.242.132.10 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=58945 DF PROTO=TCP SPT=1836 DPT=59426 WINDOW=65535 RES=0x00 SYN URGP=0 MARK=0x8000000 238 Dec 5 21:22:45 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=123.204.127.127 DST=94.242.132.10 LEN=64 TOS=0x08 PREC=0x60 TTL=47 ID=33299 DF PROTO=TCP SPT=4071 DPT=8080 WINDOW=44620 RES=0x00 SYN URGP=0 MARK=0x8000000 238 Dec 5 21:33:33 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=94.242.79.26 DST=94.242.132.10 LEN=64 TOS=0x00 PREC=0x00 TTL=115 ID=42009 DF PROTO=TCP SPT=43470 DPT=135 WINDOW=2304 RES=0x00 SYN URGP=0 MARK=0x8000000 235 Dec 5 21:43:21 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=95.28.134.101 DST=94.242.132.10 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=18941 DF PROTO=TCP SPT=2026 DPT=53090 WINDOW=65535 RES=0x00 SYN URGP=0 MARK=0x8000000 238 Dec 5 21:54:03 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=188.244.43.130 DST=94.242.132.10 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=37592 DF PROTO=TCP SPT=4186 DPT=56532 WINDOW=65535 RES=0x00 SYN URGP=0 MARK=0x8000000 239 Dec 5 22:03:23 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=31.146.29.96 DST=94.242.132.10 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=30902 DF PROTO=TCP SPT=4014 DPT=53090 WINDOW=65535 RES=0x00 SYN URGP=0 MARK=0x8000000 237 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:01 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
x1ca4064abwabw, Может, torrent-клиент? Многим торрент-клиентам в настройках можно указывать и динамическое изменение портов! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:10 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
kdvDec 5 21:22:45 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=123.204.127.127 DST=94.242.132.10 LEN=64 TOS=0x08 PREC=0x60 TTL=47 ID=33299 DF PROTO=TCP SPT=4071 DPT=8080 WINDOW=44620 RES=0x00 SYN URGP=0 MARK=0x8000000 238Явно скан на предмет анонимного прокси kdvDec 5 21:33:33 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=94.242.79.26 DST=94.242.132.10 LEN=64 TOS=0x00 PREC=0x00 TTL=115 ID=42009 DF PROTO=TCP SPT=43470 DPT=135 WINDOW=2304 RES=0x00 SYN URGP=0 MARK=0x8000000 235сосед не отключил виндового клиента от внешнего интерфейса. остальное скорее всего торренты. рекомендую забить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:23 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
54346 X11/materm ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:31 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
kdvУ меня вот такая фигня - кто-то в домашний роутер (Домолинк) лезет каждые ~10 минут Dec 5 21:22:45 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=123.204.127.127 DST=94.242.132.10 LEN=64 TOS=0x08 PREC=0x60 TTL=47 ID=33299 DF PROTO=TCP SPT=4071 DPT=8080 WINDOW=44620 RES=0x00 SYN URGP=0 MARK=0x8000000 238 Dec 5 21:33:33 (none) user.alert kernel: Intrusion -> IN=ppp1 OUT= MAC= SRC=94.242.79.26 DST=94.242.132.10 LEN=64 TOS=0x00 PREC=0x00 TTL=115 ID=42009 DF PROTO=TCP SPT=43470 DPT=135 WINDOW=2304 RES=0x00 SYN URGP=0 MARK=0x8000000 235 К тебе лезут целенаправлено, по крайней мере эти два порта: NETBIOS и PROXY ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:38 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
У меня дома и на работе, за сутки несколько тысяч предупреждение, подобного рода + MS SQL, AD и некоторые другие, характерные для атак. Уже более 10 лет. Иногда "сканирование" всего диапазона портов. По несколько сотен в секунду. Файрвол ISA-2006 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:41 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Иногда это слишком широкая маска ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:46 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Скан портов я вообще не логирую, тупо дропаю и все. Как по мне так скан портов, это все равно что разглядывание витрины, нехай глядят на то она и витрина. Вот к ssh пароли подбирают: Dec 25 13:38:46 inet-router sshd[25741]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:46 inet-router sshd[25741]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1279 ssh2 Dec 25 13:38:47 inet-router sshd[25739]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:38:47 inet-router sshd[25739]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2412 ssh2 Dec 25 13:38:47 inet-router sshd[25741]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:47 inet-router sshd[25741]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1279 ssh2 Dec 25 13:38:48 inet-router sshd[25739]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:38:48 inet-router sshd[25739]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2412 ssh2 Dec 25 13:38:50 inet-router sshd[25751]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:51 inet-router sshd[25751]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:51 inet-router sshd[25751]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1282 ssh2 Dec 25 13:38:52 inet-router sshd[25751]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:52 inet-router sshd[25751]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1282 ssh2 Dec 25 13:38:55 inet-router sshd[25759]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:56 inet-router sshd[25753]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:38:56 inet-router sshd[25759]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:56 inet-router sshd[25759]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1285 ssh2 Dec 25 13:38:56 inet-router sshd[25753]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:38:56 inet-router sshd[25753]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2417 ssh2 Dec 25 13:38:57 inet-router sshd[25759]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:38:57 inet-router sshd[25759]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1285 ssh2 Dec 25 13:38:57 inet-router sshd[25753]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:38:57 inet-router sshd[25753]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2417 ssh2 Dec 25 13:39:00 inet-router sshd[25769]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:39:00 inet-router sshd[25771]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:02 inet-router sshd[25769]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:39:02 inet-router sshd[25769]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1290 ssh2 Dec 25 13:39:02 inet-router sshd[25771]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:02 inet-router sshd[25771]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2423 ssh2 Dec 25 13:39:02 inet-router sshd[25771]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:02 inet-router sshd[25771]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2423 ssh2 Dec 25 13:39:03 inet-router sshd[25769]: error: PAM: Authentication failure for root from 121.188.181.79 Dec 25 13:39:03 inet-router sshd[25769]: Failed keyboard-interactive/pam for root from 121.188.181.79 port 1290 ssh2 Dec 25 13:39:07 inet-router sshd[25782]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:07 inet-router sshd[25782]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:07 inet-router sshd[25782]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2427 ssh2 Dec 25 13:39:09 inet-router sshd[25782]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:09 inet-router sshd[25782]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2427 ssh2 Dec 25 13:39:12 inet-router sshd[25788]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:14 inet-router sshd[25788]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:14 inet-router sshd[25788]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2435 ssh2 Dec 25 13:39:14 inet-router sshd[25788]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:14 inet-router sshd[25788]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2435 ssh2 Dec 25 13:39:21 inet-router sshd[25794]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:22 inet-router sshd[25794]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:22 inet-router sshd[25794]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2441 ssh2 Dec 25 13:39:23 inet-router sshd[25794]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:23 inet-router sshd[25794]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2441 ssh2 Dec 25 13:39:26 inet-router sshd[25800]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:28 inet-router sshd[25800]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:28 inet-router sshd[25800]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2449 ssh2 Dec 25 13:39:28 inet-router sshd[25800]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:28 inet-router sshd[25800]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2449 ssh2 Dec 25 13:39:32 inet-router sshd[25806]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:34 inet-router sshd[25806]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:34 inet-router sshd[25806]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2454 ssh2 Dec 25 13:39:36 inet-router sshd[25806]: error: PAM: Authentication failure for root from 121.136.16.83 Dec 25 13:39:36 inet-router sshd[25806]: Failed keyboard-interactive/pam for root from 121.136.16.83 port 2454 ssh2 Dec 25 13:49:55 inet-router sshd[25830]: Did not receive identification string from 115.236.16.116 Dec 26 03:23:04 inet-router sshd[28403]: Invalid user admin from 94.178.172.31 Dec 26 06:17:48 inet-router sshd[28957]: Invalid user upload from 60.13.74.178 Dec 26 06:17:54 inet-router sshd[28961]: Invalid user raul from 60.13.74.178 Dec 26 06:18:00 inet-router sshd[28965]: Invalid user marketing from 60.13.74.178 Dec 26 06:18:08 inet-router sshd[28969]: Invalid user teste from 60.13.74.178 Dec 26 06:18:20 inet-router sshd[28973]: Invalid user comercial from 60.13.74.178 $IPTABLES -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 360000 -j ACCEPT Стало существенно меньше. :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:50 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Когда это идет с огромной скоростью и несколько сотен/тысяч обращений в секунду это совсем другая цель. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 13:55 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Anatoly PodgoretskyКогда это идет с огромной скоростью и несколько сотен/тысяч обращений в секунду это совсем другая цель.Ну я не настолько крупная рыба, чтоб кому-то стало интересно меня ДОСить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 14:13 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Ivan_PisarevskyAnatoly PodgoretskyКогда это идет с огромной скоростью и несколько сотен/тысяч обращений в секунду это совсем другая цель.Ну я не настолько крупная рыба, чтоб кому-то стало интересно меня ДОСить. Или просто использовать твою машину для других целей :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 14:29 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Ivan_PisarevskyAnatoly PodgoretskyКогда это идет с огромной скоростью и несколько сотен/тысяч обращений в секунду это совсем другая цель.Ну я не настолько крупная рыба, чтоб кому-то стало интересно меня ДОСить. Кому интересен домашний хомяк? Ан нет, устраивают даже ДДОС атаку длительную. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 14:43 |
|
||
|
Хто сидит на порту 54346???
|
|||
|---|---|---|---|
|
#18+
Anatoly PodgoretskyIvan_Pisarevskyпропущено... Ну я не настолько крупная рыба, чтоб кому-то стало интересно меня ДОСить. Кому интересен домашний хомяк? Ан нет, устраивают даже ДДОС атаку длительную. Провайдер сказал в пике до 1 гигабита ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.12.2011, 14:44 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=37595184&tid=1497301]: |
0ms |
get settings: |
9ms |
get forum list: |
21ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
163ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
77ms |
get tp. blocked users: |
1ms |
| others: | 218ms |
| total: | 510ms |
| 0 / 0 |
