![](https://seccdn.libravatar.org/avatar/2c66fac57d516bff1931fdb671a7833e.jpg?s=120&d=mm&r=g)
hi carsten,
Ich hatte gestern abend auf meiner (privaten!) Firewall 387 geloggte Pakete in sechs Minuten -- von 25 verschiedenen IPs. Die meisten (nicht alle) kamen vom Quellport 28431 und alle wollten Port 28432.
die 25 verschiedenen IP's deuten darauf hin, dass ein scanner verwendet wurde, welcher die IP "verstecken" kann, d.h. von diesen 387 geloggten Meldungen gehoeren sehr wahrscheinlich nur 387 / 25 dem wirklichen Hacker, die anderen 24 sind wahllos getippte IP's. So hat man kaum eine Moeglichkeit, herauszufinden, von wo der scan kam. bei nmap nennt man solch einen scan decoy scan (option -D).
Kann damit jemand was anfangen? Was ist so interessant an Port 28432?
Schau mal bei cert vorbei, ob im moment auf port 28432 was interessantes laeuft. http://www.cert.org/current/current_activity.html
Und was kann man gegen solche Amokläufer tun?
du koenntest die 25 verschiedenen IP's explizit alle sperren... hope it helps jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com