forum.opennet.ru - "Странные SYN_RECV с 80-го порта на 25-й" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Странные SYN_RECV с 80-го порта на 25-й"

Форум Информационная безопасность (Борьба с флудом, DoS, DDos / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Странные SYN_RECV с 80-го порта на 25-й"	+/–
Сообщение от XAnder (ok) on 17-Дек-14, 13:46
На прошлой неделе синфлудили почтовый сервер нашей конторы. Отбился, благо был DoS, а не DDoS. Больше флуда не было. Стал присматривать за "netstat -nt \| grep SYN_RECV" и увидел, что время от времени появляются одиночные подключения извне вида: tcp 0 0 <мой IP>:25 <внешний IP>:80 SYN_RECV Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному (лишь один раз наблюдал сразу два), то есть на попытку DoSа не похоже. Причём порт, с которого приходят пакеты - всегда 80 или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, но мало ли... Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что это за гаврики, стоит ли опасаться, или просто заб[иы]ть.
Ответить \| Правка \| Cообщить модератору

Оглавление

Странные SYN_RECV с 80-го порта на 25-й, fantom, 12:16 , 18-Дек-14, (1)

Странные SYN_RECV с 80-го порта на 25-й, XAnder, 13:13 , 18-Дек-14, (2)

Странные SYN_RECV с 80-го порта на 25-й, name, 14:23 , 19-Дек-14, (3)

Странные SYN_RECV с 80-го порта на 25-й, XAnder, 17:21 , 19-Дек-14, (4)

Странные SYN_RECV с 80-го порта на 25-й, XAnder, 18:12 , 24-Дек-14, (5)

Странные SYN_RECV с 80-го порта на 25-й, fantom, 13:09 , 25-Дек-14, (6)

Странные SYN_RECV с 80-го порта на 25-й, XAnder, 09:29 , 29-Дек-14, (7)

Странные SYN_RECV с 80-го порта на 25-й, reader, 11:24 , 29-Дек-14, (8)

Странные SYN_RECV с 80-го порта на 25-й, XAnder, 17:51 , 30-Дек-14, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от fantom (ok) on 18-Дек-14, 12:16

>[оверквотинг удален]
>   0 <мой IP>:25
>   <внешний IP>:80
>  SYN_RECV
> Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному
> (лишь один раз наблюдал сразу два), то есть на попытку DoSа
> не похоже. Причём порт, с которого приходят пакеты - всегда 80
> или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого,
> но мало ли...
> Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что
> это за гаврики, стоит ли опасаться, или просто заб[иы]ть.
А что вас настораживает? 80 порт потенциального клиента???
Так это говорит лишь о том, что ПО подключающееся с той стороны запущено скорее всего с правами рута или админа (простым пользователям порты с номерами 1-1024 недоступны к использованию) и 80 порт никем не занят....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от XAnder (ok) on 18-Дек-14, 13:13

> А что вас настораживает? 80 порт потенциального клиента???
Настораживают две вещи:
1. Это предположительно началось во время или сразу после явной DoS-атаки.
2. Таких "потенциальных" уже больше десятка. IP-адреса разные, со всего мира, без обратного DNS или с таким, что ясно - динамические. У всех порт 80 или 443. Похоже на работу ботнета.
> Так это говорит лишь о том, что ПО подключающееся с той стороны
> запущено скорее всего с правами рута или админа (простым пользователям порты
> с номерами 1-1024 недоступны к использованию) и 80 порт никем не
> занят....
Вот-вот, и это тоже настораживает. Это указывает на кривое или зловредное ПО. Если таких наберётся не десяток а сотня-другая, уже получим DDoS. Паранойя? Возможно...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от name (??) on 19-Дек-14, 14:23

что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой что порт занят.
А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена какая-то опция обхода NAT.
странное совпадение.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от XAnder (ok) on 19-Дек-14, 17:21

> что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой
> что порт занят.
> А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена
> какая-то опция обхода NAT.
> странное совпадение.
Спасибо, интересно, не знал. По запросу "skype port 80 443" много гуглится. А может ли скайп за чем-нибудь полезть на 25-й порт? Про это я ничего не нашёл.
PS. Утром опять была вялая попытка SYN-флуда (IP Британских Виргинских островов).

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от XAnder (ok) on 24-Дек-14, 18:12

[...Ну, может быть, кому-то будет интересно...]
Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) наиболее ретивых. Полёт нормальный.
Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. Я, наверное, что-то не понимаю.
Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от fantom (ok) on 25-Дек-14, 13:09

> [...Ну, может быть, кому-то будет интересно...]
> Написал программку для отслеживания этого дела и занесения в чёрный список (ipset)
> наиболее ретивых. Полёт нормальный.
> Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53.
> Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в
> Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли.
> Я, наверное, что-то не понимаю.
> Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com
> и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.
В syn в качестве src можно подставить любой IP...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от XAnder (ok) on 29-Дек-14, 09:29

Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только с 80-го) порта на 25-й — и этих чудиков как ветром сдуло. За четыре дня ни одного не было. И это при том, что другие использовавшиеся ими порты (443, 53, 82 и ещё 22) я не блокировал.
Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться прислать письмо через соединение с исходящим портом 80?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от reader (ok) on 29-Дек-14, 11:24

> Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только
> с 80-го) порта на 25-й — и этих чудиков как ветром
> сдуло. За четыре дня ни одного не было. И это при
> том, что другие использовавшиеся ими порты (443, 53, 82 и ещё
> 22) я не блокировал.
> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
> прислать письмо через соединение с исходящим портом 80?
обычно нет, читайте про ip_local_port_range

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Странные SYN_RECV с 80-го порта на 25-й" +/–

Сообщение от XAnder (ok) on 30-Дек-14, 17:51

>> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
>> прислать письмо через соединение с исходящим портом 80?
> обычно нет, читайте про ip_local_port_range
Как «обычно»-то я знаю. Нет ли каких-нибудь «необычных», но встречающихся? Не только Линукс. Вроде бы нет. Но мало ли кто-нибудь встречал.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
Сообщение от fantom (ok) on 18-Дек-14, 12:16
>[оверквотинг удален] > 0 <мой IP>:25 > <внешний IP>:80 > SYN_RECV > Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному > (лишь один раз наблюдал сразу два), то есть на попытку DoSа > не похоже. Причём порт, с которого приходят пакеты - всегда 80 > или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, > но мало ли... > Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что > это за гаврики, стоит ли опасаться, или просто заб[иы]ть. А что вас настораживает? 80 порт потенциального клиента??? Так это говорит лишь о том, что ПО подключающееся с той стороны запущено скорее всего с правами рута или админа (простым пользователям порты с номерами 1-1024 недоступны к использованию) и 80 порт никем не занят....
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
	Сообщение от XAnder (ok) on 18-Дек-14, 13:13
	> А что вас настораживает? 80 порт потенциального клиента??? Настораживают две вещи: 1. Это предположительно началось во время или сразу после явной DoS-атаки. 2. Таких "потенциальных" уже больше десятка. IP-адреса разные, со всего мира, без обратного DNS или с таким, что ясно - динамические. У всех порт 80 или 443. Похоже на работу ботнета. > Так это говорит лишь о том, что ПО подключающееся с той стороны > запущено скорее всего с правами рута или админа (простым пользователям порты > с номерами 1-1024 недоступны к использованию) и 80 порт никем не > занят.... Вот-вот, и это тоже настораживает. Это указывает на кривое или зловредное ПО. Если таких наберётся не десяток а сотня-другая, уже получим DDoS. Паранойя? Возможно...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
	Сообщение от name (??) on 19-Дек-14, 14:23
	что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой что порт занят. А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена какая-то опция обхода NAT. странное совпадение.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
	Сообщение от XAnder (ok) on 19-Дек-14, 17:21
	> что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой > что порт занят. > А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена > какая-то опция обхода NAT. > странное совпадение. Спасибо, интересно, не знал. По запросу "skype port 80 443" много гуглится. А может ли скайп за чем-нибудь полезть на 25-й порт? Про это я ничего не нашёл. PS. Утром опять была вялая попытка SYN-флуда (IP Британских Виргинских островов).
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
Сообщение от XAnder (ok) on 24-Дек-14, 18:12
[...Ну, может быть, кому-то будет интересно...] Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) наиболее ретивых. Полёт нормальный. Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. Я, наверное, что-то не понимаю. Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
	Сообщение от fantom (ok) on 25-Дек-14, 13:09
	> [...Ну, может быть, кому-то будет интересно...] > Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) > наиболее ретивых. Полёт нормальный. > Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. > Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в > Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. > Я, наверное, что-то не понимаю. > Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com > и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й. В syn в качестве src можно подставить любой IP...
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
Сообщение от XAnder (ok) on 29-Дек-14, 09:29
Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только с 80-го) порта на 25-й — и этих чудиков как ветром сдуло. За четыре дня ни одного не было. И это при том, что другие использовавшиеся ими порты (443, 53, 82 и ещё 22) я не блокировал. Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться прислать письмо через соединение с исходящим портом 80?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
	Сообщение от reader (ok) on 29-Дек-14, 11:24
	> Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только > с 80-го) порта на 25-й — и этих чудиков как ветром > сдуло. За четыре дня ни одного не было. И это при > том, что другие использовавшиеся ими порты (443, 53, 82 и ещё > 22) я не блокировал. > Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться > прислать письмо через соединение с исходящим портом 80? обычно нет, читайте про ip_local_port_range
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Странные SYN_RECV с 80-го порта на 25-й"	+/–
	Сообщение от XAnder (ok) on 30-Дек-14, 17:51
	>> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться >> прислать письмо через соединение с исходящим портом 80? > обычно нет, читайте про ip_local_port_range Как «обычно»-то я знаю. Нет ли каких-нибудь «необычных», но встречающихся? Не только Линукс. Вроде бы нет. Но мало ли кто-нибудь встречал.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору