=?ISO8859-2,ISO-8859-2?Q?Pozdrowienia_z_Warszawy-ABUSE-Skanowanie_p?= =?ISO8859-2,ISO-8859-2?Q?ort=F3w?=

Andrzej Szombierski qq w kuku.eu.org
Wto, 28 Sty 2003, 21:54:00 CET 

On Tue, 28 Jan 2003, Jakub Urbaniak wrote:

[...]
> Uważam gościa za paranoika, który się nudzi i tylko przegląda logi z
> firewalla. Ale czy, aby na pewno było to skanowanie portów? Może jeszcze

Taa, ja kiedyś dostałem takiego maila:

Subject: UDP probe fromyour site.

Recieved UDP from ##.###.##.## :37857 on 2002/10/06 @ 12:06:44 -4 probing 
my port <aol>:35318. 
Please  find the user and force then to cease. 

Czyli niektórym jeden pakiet udp też przeszkadza :)

[...]
> 
> Teraz prośba o pomoc, bo przecież taka sytuacja może zdarzyć się każdemu z
> Was. Z tego co słyszałem (mając nawet dokładną datę) nie sposób już dojść
> kto to zrobił. W /var/log/messages i secure nic ciekawego nie znalazłem.

W zasadzie nie, chyba że masz bardzo szczegółowe logi z firewalla (np. 
każdy wychodzący pakiet syn) + duży dysk :) Ale to oczywiście trzeba mieć 
wcześniej...

> Liczyłem, że znajdę chociaż próbę skanowania portu 113 i wtedy (mam
> oidentd) ustalę kto próbował skanować porty. Dlatego nic nie znalazłem
> ponieważ zapewne ta osoba skanowała porty "z wysokiej półki". Czyli jakby
> potwierdzały się moje przypuszczenia, że ktoś wyłączył jakąś usługę. Skoro
> nic nie można zrobić jeżeli chodzi o przeszłość to jak się zabezpieczyć
> przed nieuczciwymi użytkownikami w przyszłości? Być może któryś z
> użytkowników robi to nieświadomie za pomocą jakiś wirusów/trojanów. Czy
> można jakoś skutecznie ukrócić takie praktyki lub zrobić coś, aby w
> przypadku ponownego skanowanie portów udowodnić winowajcy na podstawie
> jakiś logów, że to właśnie on jest winny i odłączyć go od sieci ? Dla 

Można próbować, ale tak jak pisałem kilka postów wcześniej zfałszowanie 
adresu IP w sieci lokalnej to zazwyczaj żaden problem, więc takie logi są 
mało wiarygodne..

> mnie na razie rozwiązaniem profilaktycznym, które zastosowałem jest
> udostępnienie użytkownikom zza maskarady tylko podstawowych usług
> (portów). Czyli 80 (www), 443 (https), 21 (ftp), 22 ssh, 8074 (GG), 25
> (smtp), 113 (auth), 110 (pop3). Jeżeli jakieś porty pominąłem to
> podpowiedzcie, które jeszcze odblokować.

może jeszcze udp/53 (dns) :) i irc
ewentualnie zamiast blokowania reszty można ograniczyć się do logowania 
prób połączeń tylko z tymi nie-podstawowymi.

-- 
: Andrzej Szombierski : anszom w v-lo.krakow.pl : qq w kuku.eu.org :
: anszom w bezkitu.com ::: radio bez kitu <=> http://bezkitu.com :

Więcej informacji o liście dyskusyjnej pld-users-pl