PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : GMX scannt mailserver auf port 1080



Gordon
04.10.02, 12:58
Hi,
habe mal in die Logfiles geschaut und festgestellt, dass gmx einen Portscan auf Port 1080 durchgeführt hat. Mein Portsentry hat dann gleich angeschlagen und den mailserver von gmx gesperrt. Weiss jemand, was es für einen Grund hat, dass gmx andere MAilserver auf Port 1080 scannt? 1080 ist doch der port für socks, und der ist bei meinem Mailserver gar nicht offen.

thx und Gruesse Gordon

Harry
04.10.02, 16:06
Original geschrieben von Gordon
Hi,
habe mal in die Logfiles geschaut und festgestellt, dass gmx einen Portscan auf Port 1080 durchgeführt hat. Mein Portsentry hat dann gleich angeschlagen und den mailserver von gmx gesperrt.
Einen Grund seitens GMX, den Port 1080 zu scannen, kenne ich nicht.
Aber Du kannst Dir eh nicht sicher sein, ob da wirklich GMX gescannt hat oder nur jemand anderes Dich gescannt hat und dabei seine IP-Adresse gefälscht hat (in dem Falle bekommt er natürlich kein Ergebnis).
Deine snort-Konfiguration reicht schon zu einem sauberen DoS-Angriff aus, sobald Du eine IP sperrst, wenn von dieser ein potentieller Scan auf Port 1080 ausgeht. Das ist nicht gerade gut.
Teile mir doch mal kurz die IP-Adresse/den Hostnamen Deines Mailservers mit, damit ich Deine Firewall mal so richtig dicht machen kann :D

Harry

RapidMax
04.10.02, 16:13
GMX wird dich mit grösster Wahrscheinlichkeit nicht scannen! Anscheinend hat jemand herausgefunden, dass dein IDS die scannenden Addressen blockt und will dir eins auswischen... oder auch nicht. Einen anderen Grund zum Spoofen kenne ich nicht.

Gruss, Andy

Gordon
04.10.02, 16:20
Hi,

Anscheinend hat jemand herausgefunden, dass dein IDS die scannenden Addressen blockt und will dir eins auswischen... oder auch nicht

Hab die IDS erst seit 3 Tagen laufen. Wäre ungewöhnlich, wenn jemand das so schnell rausbekommen hat.

Der Scan wurde von Port 25 des gmx-mailers auf Port 1080 meines Servers durchgeführt.

Würdet ihr denn die IPs nicht sperren?

Gruesse Gordon

Harry
04.10.02, 16:27
Original geschrieben von Gordon
Würdet ihr denn die IPs nicht sperren?
Nein - lediglich protokollieren und wenn die Scans häufiger auftreten, dann würde ich der Sache auf den Grund gehen -> Nachforschungen bei GMX anstellen.
Alles andere ist m.E. übereilter Aktionismus.

Harry

Stormbringer
04.10.02, 17:04
Genau!

Kannst aber, um auf Nummer Sicher zu gehen, den Protokollabschnitt an GMX senden, und sie somit informieren.

Gruß