Re: strani collegamenti nei logs

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2001 ml@sikurezza.org
Soggetto: Re: strani collegamenti nei logs
Mittente: Fabio Pietrosanti (naif)
Data: 30 Aug 2001 11:42:41 -0000

La porta 88 sorgente evidenzia una risposta del server kerberos
( magari di windows 2000 ) installato su 10.127.127.6 nei confronti
del client 217.58.208.150 .

Server: 10.127.127.6
Client: 217.58.208.150

Ho anche notato che 217.58.208.150 ha un server kerberos attivo:

root@naif:~# hping -S -c 1 -p 88 217.58.208.150
eth0 default routing interface selected (according to /proc)
HPING 217.58.208.150 (eth0 217.58.208.150): S set, 40 headers + 0 data bytes
46 bytes from 217.58.208.150: flags=SA seq=0 ttl=117 id=10255 win=16616 rtt=27.8 ms

Senza conoscere l'infrastruttura sottostante, posso ipotizzare che
217.58.208.150 si collega al server 10.127.127.6 ( che ha una mappatura
di NAT statica su internet ) attraversando un Firewall Statefull
( nello specifico dai log vediamo "3Com LAN" ) che poi, per uno dei migliaia di
motivi possibili,  elimina questa sessione dalla sua "connection table" .

Ovviamente e' una ipotesi molto azzardata avendo ben pochi dettagli sugli host
coinvolti, la topologia della rete, il tipo di firewall utilizzato, e il basso
livello di dettaglio dei log presentati.

Saluti

On Tue, Aug 28, 2001 at 03:57:40PM +0200, Federico Bernardi wrote:
> Premetto una mia discreta ignoranza nella sicurezza.
> facendo un'analisi dei log del mio firewall , ho notato che da un paio di IP
> e 20gg. che a intervalli regolari avvengono tentativi di connessione
> utilizzando varie porte (1761,2878,4433,3577,etc.) ...potrebbe essere
> qualcuno infettato da Code Red o cosa ? La cosa particolare e che i
> tentativi avvengono a gruppi di 4-max 20 pacchetti, ad ogni ora, con porta
> variabile.....
> Cosa ne pensate ?
> allego un esempio
> 
> [28/Aug/2001 09:08:55] Packet filter: ACL 2:2 3Com LAN : deny packet in: TCP
> 10.127.127.6:88 -> 217.58.208.150:3857
> [28/Aug/2001 09:08:58] Packet filter: ACL 2:2 3Com LAN : deny packet in: TCP
> 10.127.127.6:88 -> 217.58.208.150:3857
> [28/Aug/2001 09:08:58] Packet filter: ACL 2:2 3Com LAN : deny packet in: TCP
> 10.127.127.6:88 -> 217.58.208.150:3857
> [28/Aug/2001 09:09:05] Packet filter: ACL 2:2 3Com LAN : deny packet in: TCP
> 10.127.127.6:88 -> 217.58.208.150:3857
> [28/Aug/2001 09:09:08] Packet filter: ACL 2:2 3Com LAN : deny packet in: TCP
> 10.127.127.6:88 -> 217.58.208.150:3857
> [28/Aug/2001 09:09:14] Packet filter: ACL 2:2 3Com LAN : deny packet in: TCP
> 10.127.127.6:88 -> 217.58.208.150:3857
> 
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: Firewall, router,..., Fabio Pietrosanti (naif)
- successivo: Tinyproxy, c'è da fidarsi?, Lorenzo Porro
- indice

Argomento:
- precedente: strani collegamenti nei logs, Federico Bernardi
- successivo: RE: strani collegamenti nei logs, Federico Bernardi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005