Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Windows (https://forum.antichat.xyz/forumdisplay.php?f=42)
-   -   порт 30040 (https://forum.antichat.xyz/showthread.php?t=62716)

am@tory 25.02.2008 16:24
порт 30040
 
Доброе время суток. Сегодня в логе фаервола нашел странные записи. А именно одновременное сканирование порта 30040 с 10и адресов. Сканирование продолжается уже сутки. Что и кому может понадобиться на 30040??
у меня 30040 закрыт
Вот адресочки и все WashingtonDC
38.103.50.149
38.101.109.40
38.101.109.38
38.103.50.150
38.103.50.142
38.103.50.153
38.103.50.147
38.103.50.148
38.103.50.144
38.103.50.143

iddqd 25.02.2008 16:31
Ясно одно- порт нестандартный. Он хоть закрыт?

am@tory 25.02.2008 16:32
Цитата:
Сообщение от iddqd
Ясно одно- порт нестандартный. Он хоть закрыт?
закрыт, я вообще впервые вижу такой порт, все что я использовал помню.

gold-goblin 25.02.2008 16:39
Может сканят по всем портам но фаер детектит толко сканирвание на этом порту?

iddqd 25.02.2008 16:40
Да ну, он бы пропалил несколько портов подряд, а потом просто заблочил бы скан

am@tory 25.02.2008 16:40
Цитата:
Сообщение от gold-goblin
Может сканят по всем портам но фаер детектит толко сканирвание на этом порту?
сомневаюсь, смысл ему детектить только закрытый порт.

Midas 26.02.2008 04:26
да это лажа какая-то.

Порты от 0 до 1023 - зарезервированы.

от 1024 до скольки-то там, не помню используются обычно определёнными програмамми, типа Скайп, типа ДЦ типа.... долго вобщем можно перечислять.

и от скольки-то там до конца, т.е. до 65535 - динамически генерируемые (если я правильно выразился). Т.е. что угодно может юзать порт как угодно.

Cthulchu 26.02.2008 13:17
да ты что-то косое поставил, теперь оно 80тым портом просит у десятка айпишников забрать что-либо из твоей машины, но так чтобы без палива абирали - через порт 30040, ребята ответили 80м (или любым другим), что типа странное решение насчет 30040 порта, но мы типа согласны, ожидаем. И периодически сканят порт и матерятся типа "Когда же нам вышлют!"

am@tory 26.02.2008 21:53
вообщем сменил статику на динамику, проблема исчезла, но досихпор терзаюсь догадками что это могло быть за приложение.


Но теперь возникло нечто более интересное, скан 53386 с 7ми адресов, с интервалом в 5-10 секунд... все адреса разных провов. Хм странно.

Midas 26.02.2008 22:04
так. а ну ка с момента ститики и динамики попдробнее пожалуйста. Ты руками задавал маршрутизацию, вместо того чтобы брать её от провайдера? И логи фаервола выложи наверное. а то что-то нипанятна. Смысл кому-то сканить динамический порт? Это косяк какой-то, однозначно. Ждём логи.

ReVOLVeR 26.02.2008 22:09
А не кому не приходило в голову что это может быть трой (на тех машинах которые типа сканят) который присылает свои данные на нестандартные порты.... ибо нафиг туда конэктится????

am@tory 26.02.2008 22:13
2008/02/26 20:49:46 detected scan packet: 53386; packet recv UDP 86.126.70.149:63617 -> localhost:53386 (131)
2008/02/26 20:49:48 detected scan packet: 53386; packet recv TCP 78.106.223.228:4917 -> localhost:53386 (48) [ SYN ]
2008/02/26 20:49:57 detected scan packet: 53386; packet recv UDP 89.205.29.27:40481 -> localhost:53386 (131)
2008/02/26 20:49:59 detected scan packet: 53386; packet recv UDP 129.241.137.26:18550 -> localhost:53386 (131)
2008/02/26 20:50:03 detected scan packet: 53386; packet recv UDP 71.252.124.247:56291 -> localhost:53386 (131)
2008/02/26 20:50:07 detected scan packet: 53386; packet recv UDP 89.212.11.87:44414 -> localhost:53386 (131)
2008/02/26 20:50:24 detected scan packet: 53386; packet recv UDP 88.192.35.207:34646 -> localhost:53386 (131)
2008/02/26 20:50:26 detected scan packet: 6265; packet recv TCP 61.31.227.200:80 -> localhost:6265 (40) [ SYN ACK ]
2008/02/26 21:00:39 detected scan packet: 53386; packet recv TCP 91.76.207.34:3682 -> localhost:53386 (48) [ SYN ]
2008/02/26 21:00:41 detected scan packet: 53386; packet recv UDP 70.143.77.208:48530 -> localhost:53386 (131)
2008/02/26 21:00:50 detected scan packet: 53386; packet recv UDP 87.127.153.204:59856 -> localhost:53386 (131)
2008/02/26 21:01:12 detected scan packet: 53386; packet recv UDP 88.183.133.37:10522 -> localhost:53386 (131)
2008/02/26 21:01:14 detected scan packet: 53386; packet recv UDP 71.17.161.178:44418 -> localhost:53386 (131)
2008/02/26 21:01:15 detected scan packet: 53386; packet recv TCP 78.106.223.228:2062 -> localhost:53386 (48) [ SYN ]
2008/02/26 21:01:25 detected scan packet: 53386; packet recv UDP 64.251.144.155:38352 -> localhost:53386 (131)
2008/02/26 21:02:13 detected scan packet: 53386; packet recv UDP 84.1.173.200:42904 -> localhost:53386 (134)

Был статический йпишнег, сменил на динамику. маршруты писал только для локалок.


Сканирование возобновляется со всех этих адресов каждые 10 -11 минут Оо

Midas 26.02.2008 22:33
Цитата:
А не кому не приходило в голову что это может быть трой (на тех машинах которые типа сканят) который присылает свои данные на нестандартные порты.... ибо нафиг туда конэктится????
подобный покажешь?

пипеци все айпишнеги с разных стран..
Вобщем мои мысли уходят вот на что:
Либо это целенаправленые действия именно на тебя, во что мне не очень верится.
Либо ищи процесс исходящий на эти адреса. Воспользуйся сниффером если в фаерволе не видно. Логи со сниффера сюда же можешь выложить.

ReVOLVeR 26.02.2008 22:44
Midas легко исполнимо в место сенд мэйл идёт на порт по принципу как у ботов...

Midas 26.02.2008 23:00
ReVOLVeR, признаюсь, мало что понял из
Цитата:
в место сенд мэйл идёт на порт по принципу как у ботов...
и прости, незнаю принципов работы ботов, особенно если не сказать каких:)

Да и в любом случае, что-то скорее всего, пусть троянчег, вызывает действия удалённых серверов, соответственно с помощью сниффера и фаервола можно попробовать его поймать:)

ReVOLVeR 26.02.2008 23:07
я про дидос ботов....))

ReVOLVeR 26.02.2008 23:08
am@tory снифер и фаервол те в руки... и в перет... лови его)) негодяя))


Время: 12:40