bp
28.12.03, 18:05
seit einiger zeit bekomme ich auf den windows clients im netzwerk lästige nachrichtendienst popup meldungen und das obwohl der 135 port mittels iptables auf dem linuxrouter (einzige schnittstelle zum internet) gespeert ist. In den logs stehen mehere punkte welche merkwürdig sind.
1. ein angriff von 69.20.61.210, port 3229 auf port 135 wird geblockt.
2. zur gleichen zeit sendet ein rechner im internen netz an 69.20.61.210 zu port 3229 ein paket obwohl das erste paket erst gar nicht hätte ankommen dürfen .
3. der vorgang wiederholt sich dann
es sieht doch so aus als würde die firewall nicht funktionieren oder?
und wie kommt ein rechner im internen netz dazu einfach so an eine externe ip zu antworten?
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210 DST=255.255.255.255 LEN=484 TOS=0x00 PREC=0x00 TTL=110 ID=6879 PROTO=UDP SPT=3229 DPT=135 LEN=464
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT=eth1 SRC=192.168.0.3 DST=69.20.61.210 LEN=112 TOS=0x00 PREC=0x00 TTL=127 ID=15378 PROTO=UDP SPT=135 DPT=3229 LEN=92
Dec 28 17:23:39 lampone kernel: AttackIN=eth0 OUT=eth1 SRC=192.168.0.50 DST=69.20.61.210 LEN=112 TOS=0x00 PREC=0x00 TTL=127 ID=39963 PROTO=UDP SPT=1030 DPT=3229 LEN=92
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=00:50:da:84:16:b8:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210 DST=145.253.179.70 LEN=484 TOS=0x00 PREC=0x00 TTL=110 ID=6881 PROTO=UDP SPT=2982 DPT=135 LEN=464
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210DST=255.255.255.255 LEN=484 TOS=0x00 PREC=0x00 TTL=111 ID=6882 PROTO=UDP SPT=3295 DPT=135 LEN=464
1. ein angriff von 69.20.61.210, port 3229 auf port 135 wird geblockt.
2. zur gleichen zeit sendet ein rechner im internen netz an 69.20.61.210 zu port 3229 ein paket obwohl das erste paket erst gar nicht hätte ankommen dürfen .
3. der vorgang wiederholt sich dann
es sieht doch so aus als würde die firewall nicht funktionieren oder?
und wie kommt ein rechner im internen netz dazu einfach so an eine externe ip zu antworten?
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210 DST=255.255.255.255 LEN=484 TOS=0x00 PREC=0x00 TTL=110 ID=6879 PROTO=UDP SPT=3229 DPT=135 LEN=464
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT=eth1 SRC=192.168.0.3 DST=69.20.61.210 LEN=112 TOS=0x00 PREC=0x00 TTL=127 ID=15378 PROTO=UDP SPT=135 DPT=3229 LEN=92
Dec 28 17:23:39 lampone kernel: AttackIN=eth0 OUT=eth1 SRC=192.168.0.50 DST=69.20.61.210 LEN=112 TOS=0x00 PREC=0x00 TTL=127 ID=39963 PROTO=UDP SPT=1030 DPT=3229 LEN=92
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=00:50:da:84:16:b8:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210 DST=145.253.179.70 LEN=484 TOS=0x00 PREC=0x00 TTL=110 ID=6881 PROTO=UDP SPT=2982 DPT=135 LEN=464
Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210DST=255.255.255.255 LEN=484 TOS=0x00 PREC=0x00 TTL=111 ID=6882 PROTO=UDP SPT=3295 DPT=135 LEN=464