Nils Rostedt

Portscan-hyökkäyssuma, onko muilla

8 viestiä aiheessa

Moi,

parin viimepäivän aikana Norton on yhtenään varoitellut "attempt to attack your computer", nimeltään Portscan. Toinenkin hyökkäysyritys toistuu jatkuvasti, nimeltääm "default block EPMAP".

 

Kommentteja? Ei ole aiemmin näkynyt. En ole muuttanut mitään Nortonin asetuksia, sen sijaan olen poistanut muutaman käyttämättömän ohjelman koneesta.

 

IP-osoitteet vaihtuvat joka hyökkäyksessä, mutta 88.195, 88.175, 88.185  ja 92.40-alkuiset esiintyvät varsin usein.

 

 

 

Jaa viesti


Link to post
Jaa muulla sivustolla

Tervicko!

 

Eipä ole itsellä viime päivinä ollut, mutta noita kun Ripe:stä kattelee niin yksi on Soneraa, kaksi ranskalaista Proxadia ja vika taisi olla hollantilainen operaattori. Osoitteet kuulunevat ko. operaattorien laajakaistaverkoille.

 

Itselläni nuo varsinaiset hyökkäykset ovat tulleet pääsääntöisesti Taiwanin, Korean ja Kiinan suunnalta. Kuka niitä oikeasti tekee, sitä ei tiedä, koska kyseessä voi olla bottikone.

 

Satunnaisiin pommeihin ei oikein mitään voi, mutta jos määrät alkavat olla häiritseviä, niin yhteys operaattoriin.

 

t. Pasi R, evp

11v. operaattorilla palveluksessa

Jaa viesti


Link to post
Jaa muulla sivustolla

Portiskannaus on aika tavallinen juttu. Se on semmoista hakuammuntaa, koitetaan satunnaisista osoitteista löytää avoimia portteja ja jos löytyy, merkataan ylös, että tuohon voisi koittaa murtautua. Joskus kauan sitten minä raportoin välillä skannaajien ISP:lle, mutta ei se koskaan ketään kiinnostanut. Epmap on portti 135, jota Microsoftin etäproseduurikutsu käyttää. Alkeellisimmissakin suojauksissa se on suljettu Internetistä tulevilta pyynnöiltä.

Jaa viesti


Link to post
Jaa muulla sivustolla

Portiskannaus on aika tavallinen juttu. Se on semmoista hakuammuntaa, koitetaan satunnaisista osoitteista löytää avoimia portteja ja jos löytyy, merkataan ylös, että tuohon voisi koittaa murtautua. Joskus kauan sitten minä raportoin välillä skannaajien ISP:lle, mutta ei se koskaan ketään kiinnostanut. Epmap on portti 135, jota Microsoftin etäproseduurikutsu käyttää. Alkeellisimmissakin suojauksissa se on suljettu Internetistä tulevilta pyynnöiltä.

 

Tervicko!

 

Jep, määrien täytyy olla melko suuria/häiritseviä ennen kuin tapahtuu mitään...valitettavasti. Ns. turhat portit olisi helppo suodattaa runkoverkoissa, mutta op:t pelkäävät taas runkolaitteiden cpu-kuormituksia. Tämän päivän tehoilla ei vain pitäisi olla enää mikään ongelma. Nykyreitittimet/reitittävät kytkimet osaavat hoitaa tuollaiset perussuodatukset jo raudassa, jolloin vaikutus tehoihin olisi minimaalinen.

 

Kyse on enemmänkin poliittisen tahdon puutteesta! Saadaan myytyä laajakaistan kyljessä ns. tietoturvapaketteja softapalomuureineen jne.

 

Meillä homman hoitaa kaksi rautapalomuuria. Eka hoitaa kotiverkon, vpn:t jne ja toka pelkästään acars-pannun liikenteen. Logitus on täten hieman eri luokkaa, samoin suodatusvaihtoehdot.

 

t.PR

Jaa viesti


Link to post
Jaa muulla sivustolla

Joskus vuonna 2000 (tmv) palomuurinretaalena toiminut Black Ice herjaili silloin tällöin porttiskannauksista, ja joskus kerkesin jopa huolestua asiasta. Nykyään kun on rautapalomuuri joka ei näkyvästi reagoi mitenkään näihin skannauksiin, ei niihin tule kiinnitettyä enää huomiota.

 

Porttien sulkeminen operaattoreiden toimesta ei olisi järkevää.  Netissä on niin paljon ohjelmia jotka käyttävät eri portteja nettiyhteyksiinsä, että porttien sulkeminen/blokkaaminen aiheuttaisi heti yhteyskatkoja softapuolella joillekin käyttäjistä.

 

Porttiskannaus on tietysti tungettelua ja rikollisten puolelta haavoittuvuuksien haistelua, mutta joissain tapauksissa ihan laillistakin.  Heti ensimmäisenä tulee mieleen dynaamisen IPn päällä oleva kone, jossa pyörii joku nettipalvelu joka vaatii serveriyhteyksiä.  Kun sitten tämän koneen IP vaihtuu, niin usein se serveri pyrkii haistelemaan sitä konetta aikaisemmasta osoiteavaruudesta.

Jaa viesti


Link to post
Jaa muulla sivustolla

Tervicko!

 

Jep, totta puhut! Kiertäminen on kieltämättä helppoa ja joskus ihan jopa käyttäjälle tarjottua. Esim. skype laittaa muistaakseni oletuksena päälle "use 80 ja 443 -ports instead" puheluihin.

 

Itsekin "hauskuutan" itseäni joskus katselemalla muurilogeja. Minulla ei näy kuin kaksi porttia ulospäin acars-pannulta, mutta kyllä niitä yrityksiä riittää. Samoin omalla ftp-servollani näkyy vinkeitä username/password yrityksiä lähinnä eri valmistajien default-tunnareilla.

 

Yhteenvetona Nisselle...älä huolestu yrityksistä, jos ovat vähäisiä. Sehän on hyvä, että muuri hoitaa homman. Huolestu sitten, kun ei tule yhtään deny-ilmoitusta. :)

 

t.PR

Jaa viesti


Link to post
Jaa muulla sivustolla

Itse pidän palvelimellani vain SSH- ja HTTP-portteja auki isoon verkkoon. Kun vielä vaihdoin SSH:n oletusportin hatusta vedetyksi, loppui senkin kolkuttelu. Niitä yrityksiä oli tosiaan hauska seurata lokeista. Automaattihan se toki oli, joka tuntikausia yritti, mutta silti. Usernameksi oli tavanomaisten rootin ja adminin lisäksi tarjottu jos jonkinlaista keniä ja barbieta.  :laugh:

Jaa viesti


Link to post
Jaa muulla sivustolla

Kiitos infoista,

 

kumma kyllä tänään taas ei yhtään PortScan hyökkäystä. Lokissa on kyllä tänäänkin niitä EPMAP torjuntoja, mutta ne eivät aiheuta alert-ikkunan esiinpomppimista kuten nuo portscanit.

 

Mahdollisia selityksiä:

a) pommittaja luki FSNordic ja huomasi että täällä ollaankin varuillaan  ;)

b) siirryttiin pommittamaan muita pc:itä  :P

c) vihulainen pääsikin palomuurista läpi ja tekee nyt tihutöitään  ???

 

Jaa viesti


Link to post
Jaa muulla sivustolla

Luo uusi käyttäjätunnus tai kirjaudu sisään

Sinun täytyy olla jäsen osallistuaksesi keskusteluun

Luo käyttäjätili

Rekisteröi uusi käyttäjätili helposti ja nopeasti!


Luo uusi käyttäjätili

Kirjaudu sisään

Sinulla on jo käyttäjätili?


Kirjaudu sisään