Hi to all

ich habe in den letzten beiden Tagen eine Zunahme von Scans beobachtet, Faktor 1:20 :eek:
Normal sind so ca. 30 jetzt sind es ca. 600.
Das ganze habe ich an zwei unterschiedlichen unabhängigen Standorten.

Wollte mal fragen ob es anderen ähnlich ergeht?

Ich habe ein Bild von ACID als Beispiel referenziert.

ACID (http://selfservix.mine.nu/dateien/acid_20040505_icmp-ping-nmap.png)


greetz rabenkind :))

Hi,

kann ich Dir nicht sagen, weil meine FW das nicht beantwortet.
$IPT -t filter -A DenyAndLog -m limit --limit 1/s --limit-burst 4 -j LOG --log-prefix "Traffic Peek: "

Damit beantwortet dein Rechner die ersten 4 Packete, der Rest fliegt weg,
egal wie viel noch kommen.

Mfg
Profbunny

Hi,

bei mir das gleiche. Von normal ein paar pro Tag auf jeweils ca. 400 die beiden letzten Tage.

Hi,

@ProfBunny

Sorry, aber ziemlich nutzlos dein Tip wenn du dir die Grafik angesehen hast siehst du das die Anfragen sowieso nur 1/min kommen. Abgesehen davon loggt Snort die Scans trotz einer solchen Filter-Regel. Was auch gewollt ist s.u.

@all

Alles einfach wegwerfen ist eine sehr schlechte Sicherheitspolitik die sich nur Privatpersonen und Amateure leisten können, und die eigentlich auch nicht.
Die von ProfBunny angesprochene Regel sollte mit Vorsicht und überlegt eingesetzt werden, z.B. bei Anfragen die nur lästig sind aber definitiv harmlos (eDonkey, ICMP-Echo, usw.).
Ich logge alles auf dedizierten Loghosts, z.B mit snort, p0f, syslog-ng usw.. Schließlich will ich wissen was draußen so passiert, und bei meinen Kunden bin ich ja auch nicht jeden Tag also brauche ich aussagekräftige Logs die ich auswerten kann.
Zu einer guten Sicherheitspolitik gehört es eben alles zu loggen was geht. Ebenso eine regelmäßige Auswertung mit Hilfe einger netter Tools wie z.B. ACID-Grafiken. Diese sollten aber nur einen kleinen Teil der Auswertung darstellen.

greetz rabenkind :))

ps. Ist irgendetwas los was ich verpasst habe, neue Lücken oder Würmer die jetzt sogar schon Scannen :)

Vermutlich sind Sasser (http://www.heise.de/security/news/meldung/47063) unterwegs. Interessant ist auch diese weltweite Übersicht (http://www.dshield.org/).

Also nix besonderes, nur ein Windows-Wurm...

Gruss, Andy

Hi

dein Tip scheint korrekt zu sein, die weitere Auswertung (siehe Bild) legt nahe das es nur dieser Wurm ist.

Nmap weitere Auswertung (http://selfservix.mine.nu/dateien/nmap_scans.png)

Auch wenn der Wurm für Linux ungefährlich ist sollte Mensch so etwas im Auge behalten den oft genug schützen Linuxrechner interne Winmaschinen und den eigenen Packetfilter auf Lücken zu prüfen schadet nicht.

greetz rabenkind :))