seit einiger zeit bekomme ich auf den windows clients im netzwerk lästige nachrichtendienst popup meldungen und das obwohl der 135 port mittels iptables auf dem linuxrouter (einzige schnittstelle zum internet) gespeert ist. In den logs stehen mehere punkte welche merkwürdig sind.

1. ein angriff von 69.20.61.210, port 3229 auf port 135 wird geblockt.
2. zur gleichen zeit sendet ein rechner im internen netz an 69.20.61.210 zu port 3229 ein paket obwohl das erste paket erst gar nicht hätte ankommen dürfen .
3. der vorgang wiederholt sich dann

es sieht doch so aus als würde die firewall nicht funktionieren oder?
und wie kommt ein rechner im internen netz dazu einfach so an eine externe ip zu antworten?

Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210 DST=255.255.255.255 LEN=484 TOS=0x00 PREC=0x00 TTL=110 ID=6879 PROTO=UDP SPT=3229 DPT=135 LEN=464

Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT=eth1 SRC=192.168.0.3 DST=69.20.61.210 LEN=112 TOS=0x00 PREC=0x00 TTL=127 ID=15378 PROTO=UDP SPT=135 DPT=3229 LEN=92

Dec 28 17:23:39 lampone kernel: AttackIN=eth0 OUT=eth1 SRC=192.168.0.50 DST=69.20.61.210 LEN=112 TOS=0x00 PREC=0x00 TTL=127 ID=39963 PROTO=UDP SPT=1030 DPT=3229 LEN=92

Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=00:50:da:84:16:b8:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210 DST=145.253.179.70 LEN=484 TOS=0x00 PREC=0x00 TTL=110 ID=6881 PROTO=UDP SPT=2982 DPT=135 LEN=464

Dec 28 17:23:39 lampone kernel: AttackIN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:07:50:d1:b2:a0:08:00 SRC=69.20.61.210DST=255.255.255.255 LEN=484 TOS=0x00 PREC=0x00 TTL=111 ID=6882 PROTO=UDP SPT=3295 DPT=135 LEN=464

was ist denn eth1 bei dir?
das interface, was zum internen netz schaut?
hast mal deine clients gescannt und von würmern befreit?
die adressen können auch gespooft sein

greez

hi,

eth0 = interface zum lokalen netz
eth1 = interface zum internet

die clients werde ich dann auch mal genauer anschauen, komisch ist nur dass scheinbar zerst ein paket vom internet kommt oder meinst du mit gespooft, dass die pakete im lokalen netz generiert werden und die adresse gefälscht ist? jegliche versuche von außen auf port 135 zuzugreifen scheitern, der port scheint echt dicht zu sein.

können würmer popup nachrichten über den nachrichtendienst erzeugen?

der portscanner sagt, dass die FW dicht ist auf port 135?
du könntest das forwarding für pakete ins internet mit ziel = SMB/RPC-Port (135,137-139,445) sperren

kannst ja mal deine rules pasten

greez

der portscanner sagt 135 ist dicht, mit telnet komme ich auch nicht drauf. ich denke das zeug kommt aus dem lokalen netz. ist auch immer der gleiche poopup (Susie 18 geil usw..). geht mir vielleicht auf die nerven! ich schau mir mal die clients genauer an, aber erst morgen.
bei mir sind nahezu alle ports nach außen dicht, auf jeden fall die 135-139. die regeln für ausgehende udp sehen so aus: (entsperechend für tcp)

OutUDP 5632 domain
OutTCP 81 8080 3000 5631
OutTCP ftp finger nntp

OutUDP()
{
for i in $*
do
${IPTABLES} -A OUTPUT -j ACCEPT -o ${INTERFACE} -p tcp \
--sport 1024: --dport $i -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A INPUT -j ACCEPT -i ${INTERFACE} -p tcp \
--sport $i -m state --state ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -o ${INTERFACE} -p tcp \
-s ${LOCAL} --sport 1024: --dport $i -m state --state NEW,ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -i ${INTERFACE} -p tcp \
--sport $i -d ${LOCAL} -m state --state ESTABLISHED,RELATED
done
}