The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Левые пакеты с 80-ого порта"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Левые пакеты с 80-ого порта"
Сообщение от Ежик emailИскать по авторуВ закладки on 18-Июл-04, 08:59  (MSK)
Вот уже второй день идут непонятные пакеты с 80ого порта на левые адреса. Вот цитата tcpdump:

На внешнем интерфейсе
21:57:15.312174 81.176.240.140.80 > 81.176.53.50.1696: R 0:0(0) ack 845938689 win 0 (DF)
21:57:15.332366 81.176.240.140.80 > 81.176.119.50.1532: R 0:0(0) ack 1480523777 win 0 (DF)
21:57:15.352426 81.176.240.140.80 > 81.176.184.177.1367: R 0:0(0) ack 2115174401 win 0 (DF)
21:57:15.372722 81.176.240.140.80 > 81.176.249.49.1203: R 0:0(0) ack 602275841 win 0 (DF)
21:57:15.392509 81.176.240.140.80 > 81.176.60.49.1038: R 0:0(0) ack 1236860929 win 0 (DF)
21:57:15.412600 81.176.240.140.80 > 81.176.125.177.1874: R 0:0(0) ack 1871511553 win 0 (DF)
21:57:15.432883 81.176.240.140.80 > 81.176.190.177.1709: R 0:0(0) ack 358612993 win 0 (DF)
21:57:15.452633 81.176.240.140.80 > 81.176.1.49.1312: R 0:0(0) ack 993263617 win 0 (DF)
21:57:15.472683 81.176.240.140.80 > 81.176.66.49.1148: R 0:0(0) ack 1627848705 win 0 (DF)
21:57:15.492729 81.176.240.140.80 > 81.176.131.176.1983: R 0:0(0) ack 115015681 win 0 (DF)
21:57:15.512914 81.176.240.140.80 > 81.176.197.48.1819: R 0:0(0) ack 749600769 win 0 (DF)

На внутреннем:
21:56:25.026844 81.176.200.64.1747 > 81.176.240.140.80: S 1118437376:1118437376(0) win 16384
21:56:25.046888 81.176.11.191.1582 > 81.176.240.140.80: S 1753088000:1753088000(0) win 16384
21:56:25.066934 81.176.76.191.1418 > 81.176.240.140.80: S 240189440:240189440(0) win 16384
21:56:25.086978 81.176.141.63.1253 > 81.176.240.140.80: S 874840064:874840064(0) win 16384
21:56:25.107027 81.176.207.190.1088 > 81.176.240.140.80: S 1509425152:1509425152(0) win 16384
21:56:25.127071 81.176.20.229.1788 > 81.176.240.140.80: S 672530432:672530432(0) win 16384
21:56:25.147123 81.176.85.101.1623 > 81.176.240.140.80: S 1307181056:1307181056(0) win 16384
21:56:25.167308 81.176.151.228.1459 > 81.176.240.140.80: S 1941766144:1941766144(0) win 16384
21:56:25.187354 81.176.216.228.1294 > 81.176.240.140.80: S 428933120:428933120(0) win 16384
21:56:25.207403 81.176.26.100.1130 > 81.176.240.140.80: S 1063518208:1063518208(0) win 16384
21:56:25.227449 81.176.92.100.1965 > 81.176.240.140.80: S 1698168832:1698168832(0) win 16384

Всегда бъет по 81.176.xxx.xxx
Причем http-server тут не причем, потмоучто если его отключить - такое всё равно продолжается. И sockstat ничего полезного не показывает
IP сервера: 81.176.240.140
FreeBSD 5.2.1-RELEASE-p8

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Левые пакеты с 80-ого порта"
Сообщение от Michael emailИскать по авторуВ закладки(??) on 19-Июл-04, 17:48  (MSK)
1) у тебя внутри сети реальные адреса?
2) покажи параметры tcpdump-а, с которыми ты собирал эти логи.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Левые пакеты с 80-ого порта"
Сообщение от lamerusha Искать по авторуВ закладки on 19-Июл-04, 18:24  (MSK)
проверь себя на RootKit
эта тачка является gtw для твоей сети ??? если да то ищи трояна уже в сети...
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру