Ich hatte gestern abend auf meiner (privaten!) Firewall 387 geloggte Pakete in sechs Minuten -- von 25 verschiedenen IPs. Die meisten (nicht alle) kamen vom Quellport 28431 und alle wollten Port 28432. PROTO=17 193.120.139.237:28431 195.252.176.108:28432 L=331 PROTO=17 62.11.53.237:28431 195.252.176.108:28432 L=55 Ein zügiges nslookup ergab fast immer "non-existant", andere schienen aus Italien zu kommen. Kann damit jemand was anfangen? Was ist so interessant an Port 28432? Und was kann man gegen solche Amokläufer tun? Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Carsten Meyer wrote:
... PROTO=17 193.120.139.237:28431 195.252.176.108:28432 L=331 PROTO=17 62.11.53.237:28431 195.252.176.108:28432 L=55 ... Kann damit jemand was anfangen? Was ist so interessant an Port 28432? Auf einer anderen Maillist hatte Ende Dezember auch schon jemand solche Scans (vermutlich ein neuer Trojan?). Ich habe den mal angemailt, ob er was dagegen hat, wenn ich seine Adresse mal an Dich weitergebe. Vielleicht weiss er inzwischen schon mehr, oder es ergeben sich ein paar Ueberschneidungen...
Und was kann man gegen solche Amokläufer tun?
Nicht viel. Gerade bei UDP kannst Du Dich kaum auf die Absenderadresse verlassen. Du kannst natuerlich, wenn Du viel Zeit hast, die zustaendigen Admins anmailen (siehe dafuer zum Beispiel auf http://www.ripe.net/db/whois.html), und fragen, ob sie Dir weiterhelfen koennen bzw. irgendwas bemerkt haben. Rgds. Heiko. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (2)
-
cmeyer@mail.com -
heiko.degenhardt@sentec-elektronik.de