Eh, adesso basta.
Salve a tutti, è la prima volta che posto qui e se lo faccio è perchè ho bisogno di un parere da qualuno di voi.
La situazione è semplice e banale, eccovela.
Ormai sono due settimane che, controllando i log del mio firewall, noto degli scan sulle seguenti porte:
80, 1080, 8080, 3128 (squid), 6588 (sarcazzo).
Il problema può anche non sussistere, tanto i pacchetti vengono cestinati senza pensarci due volte. Solo che alcune cose mi lasciano perplesso.
1) La periodicità di questi tentativi; sembrano scan su larga scala, alla ricerca di proxy mal-configurati.
2) Risolvendo l'indirizzo IP di quella macchina ho visto che si tratta di un host abbastanza famoso, il chè mi lascia dedurre una sorta di buona fede verso quell'host, magari è stato a sua volta vittima di intrusione.
3) Ho mandato una mail al sysadmin della società che tiene in housing quel sito, informandolo di tutto: zero risposte e i tentativi stanno per varcare la soglia del migliaio.
Considerando che ho un indirizzo IP dinamico (ADSL Tin.it) posso anche immaginare, ovviamente, che non sia l'unico a ricevere questi pacchetti. Anzi.
Qua sotto una porzione di log formattato.
335: 44.43%: Sep/23/02 17:56: xxx.xxx.xxx.61/tcp
111: 14.72%: Sep/23/02 17:55: xxx.xxx.xxx.61:socks (1080)/tcp
56: 7.43%: Sep/23/02 17:56: xxx.xxx.xxx.61:http-proxy (8080)/tcp
56: 7.43%: Sep/23/02 17:56: xxx.xxx.xxx.61:http (80)/tcp
56: 7.43%: Sep/23/02 17:56: xxx.xxx.xxx.61:squid-http (3128)/tcp
56: 7.43%: Sep/23/02 17:55: xxx.xxx.xxx.61:6588/tcp
Questi sono quelli dell'ultima settimana.
Domande conclusive:
- Da cosa può essere determinata questa situazione?
- Che posso fare?
- E' successo/Succede anche a voi?
Bo, se qualcuno ha consigli, insulti, o altro, è benvenuto ad esternarsi.
Detto questo... Al, me lo metti in rilievo?
Grazie a tutti.
Rispondi quotando
