Archiv verlassen und diese Seite im Standarddesign anzeigen : GMX scannt mailserver auf port 1080
Hi,
habe mal in die Logfiles geschaut und festgestellt, dass gmx einen Portscan auf Port 1080 durchgeführt hat. Mein Portsentry hat dann gleich angeschlagen und den mailserver von gmx gesperrt. Weiss jemand, was es für einen Grund hat, dass gmx andere MAilserver auf Port 1080 scannt? 1080 ist doch der port für socks, und der ist bei meinem Mailserver gar nicht offen.
thx und Gruesse Gordon
Original geschrieben von Gordon
Hi,
habe mal in die Logfiles geschaut und festgestellt, dass gmx einen Portscan auf Port 1080 durchgeführt hat. Mein Portsentry hat dann gleich angeschlagen und den mailserver von gmx gesperrt.
Einen Grund seitens GMX, den Port 1080 zu scannen, kenne ich nicht.
Aber Du kannst Dir eh nicht sicher sein, ob da wirklich GMX gescannt hat oder nur jemand anderes Dich gescannt hat und dabei seine IP-Adresse gefälscht hat (in dem Falle bekommt er natürlich kein Ergebnis).
Deine snort-Konfiguration reicht schon zu einem sauberen DoS-Angriff aus, sobald Du eine IP sperrst, wenn von dieser ein potentieller Scan auf Port 1080 ausgeht. Das ist nicht gerade gut.
Teile mir doch mal kurz die IP-Adresse/den Hostnamen Deines Mailservers mit, damit ich Deine Firewall mal so richtig dicht machen kann :D
Harry
GMX wird dich mit grösster Wahrscheinlichkeit nicht scannen! Anscheinend hat jemand herausgefunden, dass dein IDS die scannenden Addressen blockt und will dir eins auswischen... oder auch nicht. Einen anderen Grund zum Spoofen kenne ich nicht.
Gruss, Andy
Hi,
Anscheinend hat jemand herausgefunden, dass dein IDS die scannenden Addressen blockt und will dir eins auswischen... oder auch nicht
Hab die IDS erst seit 3 Tagen laufen. Wäre ungewöhnlich, wenn jemand das so schnell rausbekommen hat.
Der Scan wurde von Port 25 des gmx-mailers auf Port 1080 meines Servers durchgeführt.
Würdet ihr denn die IPs nicht sperren?
Gruesse Gordon
Original geschrieben von Gordon
Würdet ihr denn die IPs nicht sperren?
Nein - lediglich protokollieren und wenn die Scans häufiger auftreten, dann würde ich der Sache auf den Grund gehen -> Nachforschungen bei GMX anstellen.
Alles andere ist m.E. übereilter Aktionismus.
Harry
Stormbringer
04.10.02, 16:04
Genau!
Kannst aber, um auf Nummer Sicher zu gehen, den Protokollabschnitt an GMX senden, und sie somit informieren.
Gruß
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.