Аквариум - Форум аквариумистов Aquaforum.kiev.ua - Показать сообщение отдельно - Атака на домашний комп с сервера aquaforum.kiev.ua !

**Александр Бешлега** · 13-07-2006, 10:42

А, тут как то с уже такое было и мне сообщали о портах. Вот лог фаервола:
[06/Jun/2006 10:10:47] PORTSCAN hostip="213.169.66.5"
hostname="www.aquaforum.kiev.ua" log="protocol: TCP, source:
213.169.66.5, destination: хх.хх.ххх.ххх, ports: 57611, 57612, 57613,
57615, 57616, 57622, 57623, 57636, 57712, 57713, ..." time="Tue Jun 06
10:10:47 2006" username="not logged yet"

И таких сканирований была куча, через каждые 3 минуты.
Ответ сисадмина по этому поводу:

"мне тяжело сказать на 100%
но судя по диапазону портов (от 52000 и выше)
скорее всего на сервере с ip-address хх.хх.ххх.ххх стоит Linux/FreeBSD, за которым в офисе сидят люди. Этот сервер делает NAT (маскарад по-русски) запросов клиентов с офиса.
При маскараде сервер использует порты выше 52000
Идет назад от сервера ответ, и дурной firewall на ответы от сервера реагирует."

Я: "Т.е. это не сканирование портов с моего сервера?"
Сисадмин: "на 99% -- нет
Ибо сканируют обычно порты в диапазоне от 1 до 5000-6000, ну до 10000.
Самый ценный диапазон портов 1 -- 1023 -- ибо на нем обычно висяст все сервисы. MySQL, правда, висит на 3306, MSSQL -- 1453, если не ошибаюсь"

Может это именно оно?

13-07-2006, 10:42	#13
Александр Бешлега Administrator. Председатель правления Всеукраинской Ассоциации Аквариумистов Регистрация: Nov 2002 Адрес: г. Киев Сообщения: 3,899 Поблагодарил(а): 202 Поблагодарили 545 Раз(а) в 238 Сообщениях Репутация: 527	Re: Атака на домашний комп с сервера aquaforum.kiev.ua ! А, тут как то с уже такое было и мне сообщали о портах. Вот лог фаервола: [06/Jun/2006 10:10:47] PORTSCAN hostip="213.169.66.5" hostname="www.aquaforum.kiev.ua" log="protocol: TCP, source: 213.169.66.5, destination: хх.хх.ххх.ххх, ports: 57611, 57612, 57613, 57615, 57616, 57622, 57623, 57636, 57712, 57713, ..." time="Tue Jun 06 10:10:47 2006" username="not logged yet" И таких сканирований была куча, через каждые 3 минуты. Ответ сисадмина по этому поводу: "мне тяжело сказать на 100% но судя по диапазону портов (от 52000 и выше) скорее всего на сервере с ip-address хх.хх.ххх.ххх стоит Linux/FreeBSD, за которым в офисе сидят люди. Этот сервер делает NAT (маскарад по-русски) запросов клиентов с офиса. При маскараде сервер использует порты выше 52000 Идет назад от сервера ответ, и дурной firewall на ответы от сервера реагирует." Я: "Т.е. это не сканирование портов с моего сервера?" Сисадмин: "на 99% -- нет Ибо сканируют обычно порты в диапазоне от 1 до 5000-6000, ну до 10000. Самый ценный диапазон портов 1 -- 1023 -- ибо на нем обычно висяст все сервисы. MySQL, правда, висит на 3306, MSSQL -- 1453, если не ошибаюсь" Может это именно оно? __________________ С огромным уважением!