Curiosità MSBLAST

**alexmaz** · 10-09-2003, 02:27

codice:

root@slack:~# cat /usr/adm/debug | grep DPT=135
Sep  7 16:51:45 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:71:2f:fc:08:00 SRC=1.43.197.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4377 DF PROTO=TCP SPT=3773 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep  7 21:38:21 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:39:13:fc:08:00 SRC=1.43.202.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1717 DF PROTO=TCP SPT=2634 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep  9 20:25:07 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:39:13:fc:08:00 SRC=1.43.202.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1132 DF PROTO=TCP SPT=2219 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep  9 20:42:08 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:39:13:fc:08:00 SRC=1.43.202.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4535 DF PROTO=TCP SPT=3458 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep  9 21:15:38 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:39:13:fc:08:00 SRC=1.43.202.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2200 DF PROTO=TCP SPT=2715 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=26094
Sep  9 21:51:30 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:39:13:fc:08:00 SRC=1.43.202.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=3392 DF PROTO=TCP SPT=4258 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Sep  9 23:07:35 slack kernel: IPT INPUT died:IN=eth0 OUT= MAC=00:50:ba:51:80:b2:00:07:4f:39:13:fc:08:00 SRC=1.43.202.xx DST=1.43.192.xx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=3522 DF PROTO=TCP SPT=2911 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
root@slack:~#

stavo guardando i log del firewall quando mi è venuto in mente di vedere se avevo traffico diretto alla porta tcp 135... e infatti... sono tentativi di host infetti di infettare anche me o cmq di vedere se l'host e vulnerabile o è tutt'altro?

**alexmaz** · 10-09-2003, 13:29

**tia86** · 10-09-2003, 14:08

Originariamente inviato da alexmaz

è normale ke ricevi dei tentativi di intrusione sulla porta 135.
ne ricevo centinaia all'ora.

ciao

**alexmaz** · 10-09-2003, 14:12

ok d'accordo, quindi è msblast o altro?

**tia86** · 10-09-2003, 14:24

Originariamente inviato da alexmaz
ok d'accordo, quindi è msblast o altro?

e ki lo sa?
potrebbe essere blaster, potrebbe essere una delle sue varianti, potrebbe essere uno ke ti sta attaccando...
dai log del fw è impossibile capirlo.

**tia86** · 10-09-2003, 14:25

eppoi di ke ti preoccupi?
hai linux!

**alexmaz** · 10-09-2003, 14:41

solo curiosità... credo sia msblat o una delle sue varianti, un attacco lo escludo

Discussione: Curiosità MSBLAST

Strumenti discussione

Ricerca discussione

Visualizza

Curiosità MSBLAST

Permessi di invio