Доброе время суток. Сегодня в логе фаервола нашел странные записи. А именно одновременное сканирование порта 30040 с 10и адресов. Сканирование продолжается уже сутки. Что и кому может понадобиться на 30040?? у меня 30040 закрыт Вот адресочки и все WashingtonDC 38.103.50.149 38.101.109.40 38.101.109.38 38.103.50.150 38.103.50.142 38.103.50.153 38.103.50.147 38.103.50.148 38.103.50.144 38.103.50.143
да это лажа какая-то. Порты от 0 до 1023 - зарезервированы. от 1024 до скольки-то там, не помню используются обычно определёнными програмамми, типа Скайп, типа ДЦ типа.... долго вобщем можно перечислять. и от скольки-то там до конца, т.е. до 65535 - динамически генерируемые (если я правильно выразился). Т.е. что угодно может юзать порт как угодно.
вообщем сменил статику на динамику, проблема исчезла, но досихпор терзаюсь догадками что это могло быть за приложение. Но теперь возникло нечто более интересное, скан 53386 с 7ми адресов, с интервалом в 5-10 секунд... все адреса разных провов. Хм странно.
так. а ну ка с момента ститики и динамики попдробнее пожалуйста. Ты руками задавал маршрутизацию, вместо того чтобы брать её от провайдера? И логи фаервола выложи наверное. а то что-то нипанятна. Смысл кому-то сканить динамический порт? Это косяк какой-то, однозначно. Ждём логи.
А не кому не приходило в голову что это может быть трой (на тех машинах которые типа сканят) который присылает свои данные на нестандартные порты.... ибо нафиг туда конэктится????
2008/02/26 20:49:46 detected scan packet: 53386; packet recv UDP 86.126.70.149:63617 -> localhost:53386 (131) 2008/02/26 20:49:48 detected scan packet: 53386; packet recv TCP 78.106.223.228:4917 -> localhost:53386 (48) [ SYN ] 2008/02/26 20:49:57 detected scan packet: 53386; packet recv UDP 89.205.29.27:40481 -> localhost:53386 (131) 2008/02/26 20:49:59 detected scan packet: 53386; packet recv UDP 129.241.137.26:18550 -> localhost:53386 (131) 2008/02/26 20:50:03 detected scan packet: 53386; packet recv UDP 71.252.124.247:56291 -> localhost:53386 (131) 2008/02/26 20:50:07 detected scan packet: 53386; packet recv UDP 89.212.11.87:44414 -> localhost:53386 (131) 2008/02/26 20:50:24 detected scan packet: 53386; packet recv UDP 88.192.35.207:34646 -> localhost:53386 (131) 2008/02/26 20:50:26 detected scan packet: 6265; packet recv TCP 61.31.227.200:80 -> localhost:6265 (40) [ SYN ACK ] 2008/02/26 21:00:39 detected scan packet: 53386; packet recv TCP 91.76.207.34:3682 -> localhost:53386 (48) [ SYN ] 2008/02/26 21:00:41 detected scan packet: 53386; packet recv UDP 70.143.77.208:48530 -> localhost:53386 (131) 2008/02/26 21:00:50 detected scan packet: 53386; packet recv UDP 87.127.153.204:59856 -> localhost:53386 (131) 2008/02/26 21:01:12 detected scan packet: 53386; packet recv UDP 88.183.133.37:10522 -> localhost:53386 (131) 2008/02/26 21:01:14 detected scan packet: 53386; packet recv UDP 71.17.161.178:44418 -> localhost:53386 (131) 2008/02/26 21:01:15 detected scan packet: 53386; packet recv TCP 78.106.223.228:2062 -> localhost:53386 (48) [ SYN ] 2008/02/26 21:01:25 detected scan packet: 53386; packet recv UDP 64.251.144.155:38352 -> localhost:53386 (131) 2008/02/26 21:02:13 detected scan packet: 53386; packet recv UDP 84.1.173.200:42904 -> localhost:53386 (134) Был статический йпишнег, сменил на динамику. маршруты писал только для локалок. Сканирование возобновляется со всех этих адресов каждые 10 -11 минут Оо
подобный покажешь? пипеци все айпишнеги с разных стран.. Вобщем мои мысли уходят вот на что: Либо это целенаправленые действия именно на тебя, во что мне не очень верится. Либо ищи процесс исходящий на эти адреса. Воспользуйся сниффером если в фаерволе не видно. Логи со сниффера сюда же можешь выложить.
ReVOLVeR, признаюсь, мало что понял из и прости, незнаю принципов работы ботов, особенно если не сказать каких Да и в любом случае, что-то скорее всего, пусть троянчег, вызывает действия удалённых серверов, соответственно с помощью сниффера и фаервола можно попробовать его поймать