/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Fejlkonfigurering eller angrebsforsøg?
Fra : David List


Dato : 17-10-06 19:44

Jeg får en lind strøm af forbindelsesforsøg på portene 135, 139 og 445. Jeg
er klar over hvad portene bruges til, men kan ikke blive klog på om det
drejer sig om en eller flere fejlkonfigurerede maskiner på beboernetværket
eller om der er inficerede maskiner på netværket. Hvordan ser nedenstående
fra firewall loggen ud for Jer?

Med venlig hilsen
David List

[INFO] Tue Oct 17 19:38:07 2006 Blocked incoming TCP connection request from
81.161.182.83:1766 to 81.161.159.41:135
[INFO] Tue Oct 17 19:38:07 2006 Previous message repeated 1 time
[INFO] Tue Oct 17 19:36:57 2006 Blocked incoming TCP connection request from
81.161.180.40:1949 to 81.161.159.41:135
[INFO] Tue Oct 17 19:36:57 2006 Previous message repeated 1 time
[INFO] Tue Oct 17 19:36:48 2006 Blocked incoming TCP connection request from
81.161.146.154:2386 to 81.161.159.41:445
[INFO] Tue Oct 17 19:36:48 2006 Previous message repeated 1 time
[INFO] Tue Oct 17 19:36:06 2006 Blocked incoming TCP connection request from
81.161.180.40:3565 to 81.161.159.41:139
[INFO] Tue Oct 17 19:36:06 2006 Previous message repeated 1 time
[INFO] Tue Oct 17 19:35:53 2006 Blocked incoming TCP connection request from
81.161.182.83:1552 to 81.161.159.41:135
[INFO] Tue Oct 17 19:35:53 2006 Previous message repeated 1 time
[INFO] Tue Oct 17 19:35:37 2006 Blocked incoming TCP connection request from
81.161.168.218:4381 to 81.161.159.41:135
[INFO] Tue Oct 17 19:35:37 2006 Previous message repeated 1 time
[INFO] Tue Oct 17 19:35:15 2006 Blocked incoming TCP connection request from
81.161.146.154:2043 to 81.161.159.41:445


 
 
Michael Rasmussen (17-10-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 17-10-06 20:07

On Tue, 17 Oct 2006 20:44:20 +0200, "David List" <news@davidlist.dk>
wrote:

>Jeg får en lind strøm af forbindelsesforsøg på portene 135, 139 og 445. Jeg
>er klar over hvad portene bruges til, men kan ikke blive klog på om det
>drejer sig om en eller flere fejlkonfigurerede maskiner på beboernetværket
>eller om der er inficerede maskiner på netværket. Hvordan ser nedenstående
>fra firewall loggen ud for Jer?

>[INFO] Tue Oct 17 19:38:07 2006 Blocked incoming TCP connection request from
>81.161.182.83:1766 to 81.161.159.41:135
>[INFO] Tue Oct 17 19:38:07 2006 Previous message repeated 1 time
>[INFO] Tue Oct 17 19:36:57 2006 Blocked incoming TCP connection request from
>81.161.180.40:1949 to 81.161.159.41:135
>[INFO] Tue Oct 17 19:36:57 2006 Previous message repeated 1 time
>[INFO] Tue Oct 17 19:36:48 2006 Blocked incoming TCP connection request from
>81.161.146.154:2386 to 81.161.159.41:445
>[INFO] Tue Oct 17 19:36:48 2006 Previous message repeated 1 time
>[INFO] Tue Oct 17 19:36:06 2006 Blocked incoming TCP connection request from
>81.161.180.40:3565 to 81.161.159.41:139
>[INFO] Tue Oct 17 19:36:06 2006 Previous message repeated 1 time
>[INFO] Tue Oct 17 19:35:53 2006 Blocked incoming TCP connection request from
>81.161.182.83:1552 to 81.161.159.41:135
>[INFO] Tue Oct 17 19:35:53 2006 Previous message repeated 1 time
>[INFO] Tue Oct 17 19:35:37 2006 Blocked incoming TCP connection request from
>81.161.168.218:4381 to 81.161.159.41:135
>[INFO] Tue Oct 17 19:35:37 2006 Previous message repeated 1 time
>[INFO] Tue Oct 17 19:35:15 2006 Blocked incoming TCP connection request from
>81.161.146.154:2043 to 81.161.159.41:445

Uden at være ekspert på NetBios vil jeg gætte på, at det bare er nogle
af dine naboer uden bredbåndsrouter, der kører windows fil- og
printerdeling på offentlige ip-adresser...

David List (18-10-2006)
Kommentar
Fra : David List


Dato : 18-10-06 08:56

"Michael Rasmussen" <mic@HaderSpam.dou.dk> wrote in message
news:h5aaj2dmite775o3nle3bt6mni2nsr62l1@4ax.com...
>
> Uden at være ekspert på NetBios vil jeg gætte på, at det bare er nogle
> af dine naboer uden bredbåndsrouter, der kører windows fil- og
> printerdeling på offentlige ip-adresser...

Jeg er kun bekendt med anvendelsen af port 135 på Microsoft systemer i
forbindelse med Exchange systemer. Er det portnummer også involveret i
forbindelse med fil- og printerdeling?

Med venlig hilsen
David List


Michael Rasmussen (18-10-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 18-10-06 09:48

"David List" <news@davidlist.dk> wrote:

>> Uden at være ekspert på NetBios vil jeg gætte på, at det bare er nogle
>> af dine naboer uden bredbåndsrouter, der kører windows fil- og
>> printerdeling på offentlige ip-adresser...
>
>Jeg er kun bekendt med anvendelsen af port 135 på Microsoft systemer i
>forbindelse med Exchange systemer. Er det portnummer også involveret i
>forbindelse med fil- og printerdeling?

Jeg er ikke ekspert, men port 135 står åben på alle mine XP maskiner. De
kører windows fil- og printerdeling, og jeg har ingen exchange server...



<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

Bertel Lund Hansen (18-10-2006)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-10-06 10:20

Michael Rasmussen skrev:

> Jeg er ikke ekspert, men port 135 står åben på alle mine XP maskiner.

Det gør den som standard. Det er RPC (Remote Procedure Call) der
bruger den, og den giver adgang for f.eks. Blasterormen hvis
maskinen ikke er sikret imod det.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

David List (18-10-2006)
Kommentar
Fra : David List


Dato : 18-10-06 10:27

"Michael Rasmussen" <mic@NO_SPAMdou.dk> wrote in message
news:5eqbj2td3hr57kccc87rm89in6k3fqalnd@4ax.com...

> Jeg er ikke ekspert, men port 135 står åben på alle mine XP maskiner. De
> kører windows fil- og printerdeling, og jeg har ingen exchange server...

OK. Jeg prøver at få folk her til at se på hvad de har stående åbent. Det er
en forbandelse med udbydere, der lægger op til at folk sætter maskiner
direkte på nettet med en offentlig IP uden NAT, firewall eller noget som
helst andet der giver blot en minimal sikkerhed.

Med venlig hilsen
David List


Michael Rasmussen (18-10-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 18-10-06 10:48

"David List" <news@davidlist.dk> wrote:

>OK. Jeg prøver at få folk her til at se på hvad de har stående åbent. Det er
>en forbandelse med udbydere, der lægger op til at folk sætter maskiner
>direkte på nettet med en offentlig IP uden NAT, firewall eller noget som
>helst andet der giver blot en minimal sikkerhed.

Tja, udbyderen er vel uskyldig i denne sammenhæng. De sælger en
internetadgang. Hvad folk så bruger den til, er deres egen sag...

Men det er forbløffende at så mange mennesker fortsat sætter windows
maskiner direkte på nettet med åben fil- og printerdeling...

De skulle bare vide at de i princippet deler deres filer og printere med
alle andre herude på internettet



<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

Martin (18-10-2006)
Kommentar
Fra : Martin


Dato : 18-10-06 22:14

David List wrote:
> [INFO] Tue Oct 17 19:35:15 2006 Blocked incoming TCP connection request from
> 81.161.146.154:2043 to 81.161.159.41:445
>

Prøv at tilføje 81.161.146.154:2043 til dine printere, også skrive en
besked ud på deres printer - så kan det være det bliver lidt sjovt :)

Kent Friis (19-10-2006)
Kommentar
Fra : Kent Friis


Dato : 19-10-06 18:12

Den Wed, 18 Oct 2006 23:13:32 +0200 skrev Martin:
> David List wrote:
>> [INFO] Tue Oct 17 19:35:15 2006 Blocked incoming TCP connection request from
>> 81.161.146.154:2043 to 81.161.159.41:445
>>
>
> Prøv at tilføje 81.161.146.154:2043 til dine printere, også skrive en
> besked ud på deres printer - så kan det være det bliver lidt sjovt :)

Eller ikke sjovt - vi har før haft folk hvis ZA brokkede sig over
trafik fra udbyderens DNS-server, og deres første spørgsmål var "skal
jeg ringe til politiet".

Når folk går så meget i panik bare over en fejlagtig besked fra ZA,
hvad gør de så når der kommer en fremmed besked ud på printeren?

At udskrive på andres printere hører helt klart under "uberettiget
adgang", så når politiet dukker op er der ikke engang noget at
diskutere om.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409081
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste