Доброе время суток. Сегодня в логе фаервола нашел странные записи. А именно одновременное сканирование порта 30040 с 10и адресов. Сканирование продолжается уже сутки. Что и кому может понадобиться на 30040??
у меня 30040 закрыт
Вот адресочки и все WashingtonDC
38.103.50.149
38.101.109.40
38.101.109.38
38.103.50.150
38.103.50.142
38.103.50.153
38.103.50.147
38.103.50.148
38.103.50.144
38.103.50.143

Ясно одно- порт нестандартный. Он хоть закрыт?

Ясно одно- порт нестандартный. Он хоть закрыт?
закрыт, я вообще впервые вижу такой порт, все что я использовал помню.

Может сканят по всем портам но фаер детектит толко сканирвание на этом порту?

Да ну, он бы пропалил несколько портов подряд, а потом просто заблочил бы скан

Может сканят по всем портам но фаер детектит толко сканирвание на этом порту?
сомневаюсь, смысл ему детектить только закрытый порт.

да это лажа какая-то.

Порты от 0 до 1023 - зарезервированы.

от 1024 до скольки-то там, не помню используются обычно определёнными програмамми, типа Скайп, типа ДЦ типа.... долго вобщем можно перечислять.

и от скольки-то там до конца, т.е. до 65535 - динамически генерируемые (если я правильно выразился). Т.е. что угодно может юзать порт как угодно.

да ты что-то косое поставил, теперь оно 80тым портом просит у десятка айпишников забрать что-либо из твоей машины, но так чтобы без палива абирали - через порт 30040, ребята ответили 80м (или любым другим), что типа странное решение насчет 30040 порта, но мы типа согласны, ожидаем. И периодически сканят порт и матерятся типа "Когда же нам вышлют!"

вообщем сменил статику на динамику, проблема исчезла, но досихпор терзаюсь догадками что это могло быть за приложение.


Но теперь возникло нечто более интересное, скан 53386 с 7ми адресов, с интервалом в 5-10 секунд... все адреса разных провов. Хм странно.

так. а ну ка с момента ститики и динамики попдробнее пожалуйста. Ты руками задавал маршрутизацию, вместо того чтобы брать её от провайдера? И логи фаервола выложи наверное. а то что-то нипанятна. Смысл кому-то сканить динамический порт? Это косяк какой-то, однозначно. Ждём логи.

А не кому не приходило в голову что это может быть трой (на тех машинах которые типа сканят) который присылает свои данные на нестандартные порты.... ибо нафиг туда конэктится????

2008/02/26 20:49:46 detected scan packet: 53386; packet recv UDP 86.126.70.149:63617 -> localhost:53386 (131)
2008/02/26 20:49:48 detected scan packet: 53386; packet recv TCP 78.106.223.228:4917 -> localhost:53386 (48) [ SYN ]
2008/02/26 20:49:57 detected scan packet: 53386; packet recv UDP 89.205.29.27:40481 -> localhost:53386 (131)
2008/02/26 20:49:59 detected scan packet: 53386; packet recv UDP 129.241.137.26:18550 -> localhost:53386 (131)
2008/02/26 20:50:03 detected scan packet: 53386; packet recv UDP 71.252.124.247:56291 -> localhost:53386 (131)
2008/02/26 20:50:07 detected scan packet: 53386; packet recv UDP 89.212.11.87:44414 -> localhost:53386 (131)
2008/02/26 20:50:24 detected scan packet: 53386; packet recv UDP 88.192.35.207:34646 -> localhost:53386 (131)
2008/02/26 20:50:26 detected scan packet: 6265; packet recv TCP 61.31.227.200:80 -> localhost:6265 (40) [ SYN ACK ]
2008/02/26 21:00:39 detected scan packet: 53386; packet recv TCP 91.76.207.34:3682 -> localhost:53386 (48) [ SYN ]
2008/02/26 21:00:41 detected scan packet: 53386; packet recv UDP 70.143.77.208:48530 -> localhost:53386 (131)
2008/02/26 21:00:50 detected scan packet: 53386; packet recv UDP 87.127.153.204:59856 -> localhost:53386 (131)
2008/02/26 21:01:12 detected scan packet: 53386; packet recv UDP 88.183.133.37:10522 -> localhost:53386 (131)
2008/02/26 21:01:14 detected scan packet: 53386; packet recv UDP 71.17.161.178:44418 -> localhost:53386 (131)
2008/02/26 21:01:15 detected scan packet: 53386; packet recv TCP 78.106.223.228:2062 -> localhost:53386 (48) [ SYN ]
2008/02/26 21:01:25 detected scan packet: 53386; packet recv UDP 64.251.144.155:38352 -> localhost:53386 (131)
2008/02/26 21:02:13 detected scan packet: 53386; packet recv UDP 84.1.173.200:42904 -> localhost:53386 (134)

Был статический йпишнег, сменил на динамику. маршруты писал только для локалок.


Сканирование возобновляется со всех этих адресов каждые 10 -11 минут Оо

А не кому не приходило в голову что это может быть трой (на тех машинах которые типа сканят) который присылает свои данные на нестандартные порты.... ибо нафиг туда конэктится????
подобный покажешь?

пипеци все айпишнеги с разных стран..
Вобщем мои мысли уходят вот на что:
Либо это целенаправленые действия именно на тебя, во что мне не очень верится.
Либо ищи процесс исходящий на эти адреса. Воспользуйся сниффером если в фаерволе не видно. Логи со сниффера сюда же можешь выложить.

Midas легко исполнимо в место сенд мэйл идёт на порт по принципу как у ботов...

ReVOLVeR, признаюсь, мало что понял из в место сенд мэйл идёт на порт по принципу как у ботов...
и прости, незнаю принципов работы ботов, особенно если не сказать каких:)

Да и в любом случае, что-то скорее всего, пусть троянчег, вызывает действия удалённых серверов, соответственно с помощью сниффера и фаервола можно попробовать его поймать:)

я про дидос ботов....))

am@tory снифер и фаервол те в руки... и в перет... лови его)) негодяя))