 Странные SYN_RECV с 80-го порта на 25-й,  XAnder, 17-Дек-14, 13:46 [смотреть все]На прошлой неделе синфлудили почтовый сервер нашей конторы. Отбился, благо был DoS, а не DDoS. Больше флуда не было. Стал присматривать за "netstat -nt | grep SYN_RECV" и увидел, что время от времени появляются одиночные подключения извне вида:tcp 0 0 <мой IP>:25 <внешний IP>:80 SYN_RECV
Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному (лишь один раз наблюдал сразу два), то есть на попытку DoSа не похоже. Причём порт, с которого приходят пакеты - всегда 80 или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, но мало ли... Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что это за гаврики, стоит ли опасаться, или просто заб[иы]ть.
|
- Странные SYN_RECV с 80-го порта на 25-й, fantom, 12:16 , 18-Дек-14 (1)
>[оверквотинг удален]
> 0 <мой IP>:25
> <внешний IP>:80
> SYN_RECV
> Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному
> (лишь один раз наблюдал сразу два), то есть на попытку DoSа
> не похоже. Причём порт, с которого приходят пакеты - всегда 80
> или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого,
> но мало ли...
> Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что
> это за гаврики, стоит ли опасаться, или просто заб[иы]ть.А что вас настораживает? 80 порт потенциального клиента???
Так это говорит лишь о том, что ПО подключающееся с той стороны запущено скорее всего с правами рута или админа (простым пользователям порты с номерами 1-1024 недоступны к использованию) и 80 порт никем не занят....
- Странные SYN_RECV с 80-го порта на 25-й, XAnder, 13:13 , 18-Дек-14 (2)
> А что вас настораживает? 80 порт потенциального клиента???Настораживают две вещи:
1. Это предположительно началось во время или сразу после явной DoS-атаки.
2. Таких "потенциальных" уже больше десятка. IP-адреса разные, со всего мира, без обратного DNS или с таким, что ясно - динамические. У всех порт 80 или 443. Похоже на работу ботнета. > Так это говорит лишь о том, что ПО подключающееся с той стороны
> запущено скорее всего с правами рута или админа (простым пользователям порты
> с номерами 1-1024 недоступны к использованию) и 80 порт никем не
> занят.... Вот-вот, и это тоже настораживает. Это указывает на кривое или зловредное ПО. Если таких наберётся не десяток а сотня-другая, уже получим DDoS. Паранойя? Возможно...
- Странные SYN_RECV с 80-го порта на 25-й, name, 14:23 , 19-Дек-14 (3)
что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой что порт занят.
А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена какая-то опция обхода NAT.странное совпадение.
- Странные SYN_RECV с 80-го порта на 25-й, XAnder, 17:21 , 19-Дек-14 (4)
> что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой
> что порт занят.
> А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена
> какая-то опция обхода NAT.
> странное совпадение.Спасибо, интересно, не знал. По запросу "skype port 80 443" много гуглится. А может ли скайп за чем-нибудь полезть на 25-й порт? Про это я ничего не нашёл. PS. Утром опять была вялая попытка SYN-флуда (IP Британских Виргинских островов).
- Странные SYN_RECV с 80-го порта на 25-й, XAnder, 18:12 , 24-Дек-14 (5)
[...Ну, может быть, кому-то будет интересно...]Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) наиболее ретивых. Полёт нормальный. Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. Я, наверное, что-то не понимаю. Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.
- Странные SYN_RECV с 80-го порта на 25-й, fantom, 13:09 , 25-Дек-14 (6)
> [...Ну, может быть, кому-то будет интересно...]
> Написал программку для отслеживания этого дела и занесения в чёрный список (ipset)
> наиболее ретивых. Полёт нормальный.
> Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53.
> Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в
> Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли.
> Я, наверное, что-то не понимаю.
> Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com
> и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.В syn в качестве src можно подставить любой IP...
- Странные SYN_RECV с 80-го порта на 25-й, XAnder, 09:29 , 29-Дек-14 (7)
Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только с 80-го) порта на 25-й — и этих чудиков как ветром сдуло. За четыре дня ни одного не было. И это при том, что другие использовавшиеся ими порты (443, 53, 82 и ещё 22) я не блокировал.Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться прислать письмо через соединение с исходящим портом 80?
- Странные SYN_RECV с 80-го порта на 25-й, reader, 11:24 , 29-Дек-14 (8)
> Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только
> с 80-го) порта на 25-й — и этих чудиков как ветром
> сдуло. За четыре дня ни одного не было. И это при
> том, что другие использовавшиеся ими порты (443, 53, 82 и ещё
> 22) я не блокировал.
> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
> прислать письмо через соединение с исходящим портом 80?обычно нет, читайте про ip_local_port_range
- Странные SYN_RECV с 80-го порта на 25-й, XAnder, 17:51 , 30-Дек-14 (9)
>> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
>> прислать письмо через соединение с исходящим портом 80?
> обычно нет, читайте про ip_local_port_range Как «обычно»-то я знаю. Нет ли каких-нибудь «необычных», но встречающихся? Не только Линукс. Вроде бы нет. Но мало ли кто-нибудь встречал.
|
Версия для распечатки
