[bglug] Dubbi per collegamento a ISP

embyte bglug@lists.linux.it
Mon, 26 May 2003 11:03:09 +0200


> May 24 17:49:11 server logger: Shorewall Started
> May 24 17:49:59 server kernel: Shorewall:net2all:DROP:IN=3Dppp0 OUT=3D MA=
C=3D
> SRC=3D62.47.213.99 DST=3D62.98.12.201 LEN=3D48 TOS=3D0x00 PREC=3D0x40 TTL=
=3D108
> ID=3D51925 DF PROTO=3DTCP SPT=3D3514 DPT=3D17300 WINDOW=3D16384 RES=3D0x0=
0 SYN URGP=3D0
> May 24 17:50:46 server kernel: device ppp0 entered promiscuous mode
> May 24 17:51:11 server kernel: device ppp0 left promiscuous mode
> May 24 17:51:37 server kernel: device ppp0 entered promiscuous mode
> May 24 17:52:02 server kernel: device ppp0 left promiscuous mode
> May 24 17:52:42 server kernel: device ppp0 entered promiscuous mode
> May 24 17:53:35 server kernel: device ppp0 left promiscuous mode
> May 24 17:54:02 server kernel: device ppp0 entered promiscuous mode
> May 24 17:55:58 server kernel: device ppp0 left promiscuous mode

Hai mai fatto girare uno sniffer sulla ppp0? Vedi quei left/entered=20
promiscuous mode, indicano l'abilitazione/disabilitazione del promosicous=20
flag sull'interfaccia.

> BTW  l'indirizzo  fermato  dalla   firewall  e'  della  inwind.  Inoltre
> nei  giorni precedenti  ho  notato frequenti  interventi della  firewall
> su  indirizzi  dalla  provenienza  piu' strana:  Riga,  Cina,  Giappone,
> Danimarca. Qualche esempio:
>
> May 18 18:48:14 server kernel: Shorewall:net2all:DROP:IN=3Dppp0 OUT=3D MA=
C=3D
> SRC=3D62.134.74.45 DST=3D62.98.29.222 LEN=3D283 TOS=3D0x00 PREC=3D0x40 TT=
L=3D108
> ID=3D33133 PROTO=3DUDP SPT=3D1592 DPT=3D135 LEN=3D263
> May 18 19:49:40 server kernel: Shorewall:net2all:DROP:IN=3Dppp0 OUT=3D MA=
C=3D
> SRC=3D80.196.240.229 DST=3D62.98.29.222 LEN=3D48 TOS=3D0x00 PREC=3D0x40 T=
TL=3D106
> ID=3D38657 DF PROTO=3DTCP SPT=3D4927 DPT=3D445 WINDOW=3D16384 RES=3D0x00 =
SYN URGP=3D0
> May 18 20:15:07 server kernel: Shorewall:net2all:DROP:IN=3Dppp0 OUT=3D MA=
C=3D
> SRC=3D62.84.29.250 DST=3D62.98.110.32 LEN=3D404 TOS=3D0x00 PREC=3D0x40 TT=
L=3D103
> ID=3D51466 PROTO=3DUDP SPT=3D1038 DPT=3D1434 LEN=3D384
> May 24 18:08:23 server kernel: Shorewall:net2all:DROP:IN=3Dppp0 OUT=3D MA=
C=3D
> SRC=3D61.230.12.146 DST=3D62.98.30.222 LEN=3D48 TOS=3D0x00 PREC=3D0x40 TT=
L=3D103
> ID=3D59978 DF PROTO=3DTCP SPT=3D4615 DPT=3D445 WINDOW=3D64800 RES=3D0x00 =
SYN URGP=3D0

Il valore chiave =E8 DPT che indica la porta destinazione, in questo caso l=
a=20
porta del tuo stack tcp/ip sull'interfaccia ppp0 (con ip 62.98.12.201 &=20
62.98.30.222) a cui qualcuno/qualcosa ha cercato di collegarsi.

Dai log leggo:
DPT=3D17300 : non so che sia ma visto che =E8 alta (>1023) non mi preoccupe=
rei
DPT=3D135
DPT=3D445

Le ultime due devono essere roba di Microsoft:=20
[embyte@zeus embyte]$ grep 445 /etc/services
microsoft-ds    445/tcp
microsoft-ds    445/udp
[embyte@zeus embyte]$ grep 125 /usr/share/nmap/nmap-services
locus-map         125/tcp    # Locus PC-Interface Net Map Ser
locus-map         125/udp    # Locus PC-Interface Net Map Ser

Imho tutto quello che c=E8 riportato nel tuo log non =E8 nient'altro che un=
 worm=20
per IIS or simila. Non mi preoccuperi, anzi ci berrei una birra sopra ;-)

Ciauz