hallo!

seit gestern bekomme ich 1000ende anfragen auf port 57839. (udp)
hab ich was verpasst?

//richard

edit: heute hab ich mal wieder einen guten deutsch :ugly:

moin

hier in hamburg ist alles ruhig und die sonne schien den ganzen tag :)


Gruß HL

@derrichard
von verschiedenen hosts oder nur von einer?



air

Original geschrieben von AirWulf
@derrichard
von verschiedenen hosts oder nur von einer?



air

hallo!

immer von vollig verschiedenen hosts und verschiedenen quellports.

hier ein kleiner auszug aus den logs:
Feb 22 20:05:01 firewall pf: Feb 22 19:57:51.057321 rule 8/0(match): block in on ne4: 151.37.99.98.1038 > 81.16.104.6.57985: udp 18
Feb 22 20:05:01 firewall pf: Feb 22 19:57:53.164192 rule 8/0(match): block in on ne4: 151.37.99.98.1038 > 81.16.104.6.57985: udp 18
Feb 22 20:05:01 firewall pf: Feb 22 19:57:54.180773 rule 8/0(match): block in on ne4: 151.37.99.98.1038 > 81.16.104.6.57985: udp 18
Feb 22 20:15:01 firewall pf: Feb 22 20:06:26.934333 rule 8/0(match): block in on ne4: 81.106.113.27.1233 > 81.16.104.6.57985: udp 18

//richard

leg mal ne netcat drauf an (nc -u -l $port afaik) und schau was gesendet wird - wenn so ein teil drauf connected

moin moin

heute ist bei mir die *hölle* los ;). pakete im sekundentakt an den port 58841. scheinen alles win-kisten zu sein.


Feb 25 17:40:12 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=213.196.251.8 DST=213.39.188.85 LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=49073 DF PROTO=TCP SPT=2998 DPT=58841 WINDOW=32767 RES=0x00 SYN URGP=0

Feb 25 17:40:13 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=80.143.114.216 DST=213.39.188.85 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=44801 DF PROTO=TCP SPT=2966 DPT=58841 WINDOW=64240 RES=0x00 SYN URGP=0

Feb 25 17:40:13 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=80.139.181.241 DST=213.39.188.85 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=41894 DF PROTO=TCP SPT=64206 DPT=58841 WINDOW=64240 RES=0x00 SYN URGP=0

Feb 25 17:40:13 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=217.80.51.200 DST=213.39.188.85 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=65194 DF PROTO=TCP SPT=65435 DPT=58841 WINDOW=5840 RES=0x00 SYN URGP=0

Feb 25 17:40:14 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=131.164.168.43 DST=213.39.188.85 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=50739 DF PROTO=TCP SPT=4668 DPT=58841 WINDOW=8192 RES=0x00 SYN URGP=0

Feb 25 17:40:15 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=80.128.49.53 DST=213.39.188.85 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=9907 DF PROTO=TCP SPT=1752 DPT=58841 WINDOW=32767 RES=0x00 SYN URGP=0
Feb 25 17:40:16 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=80.131.85.96 DST=213.39.188.85 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=27601 PROTO=TCP SPT=3219 DPT=58841 WINDOW=16384 RES=0x00 SYN URGP=0

Feb 25 17:40:16 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=217.232.152.205 DST=213.39.188.85 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=46611 DF PROTO=TCP SPT=3670 DPT=58841 WINDOW=16384 RES=0x00 SYN URGP=0

Feb 25 17:40:17 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=217.226.203.140 DST=213.39.188.85 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=32854 DF PROTO=TCP SPT=25518 DPT=58841 WINDOW=58944 RES=0x00 SYN URGP=0

Feb 25 17:40:17 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=80.137.254.182 DST=213.39.188.85 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=17235 DF PROTO=TCP SPT=3443 DPT=58841 WINDOW=32767 RES=0x00 SYN URGP=0

Feb 25 17:40:17 [kernel] DROP-TCP IN=ppp0 OUT= MAC= SRC=80.139.229.194 DST=213.39.188.85 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=24543 DF PROTO=TCP SPT=3415 DPT=58841 WINDOW=32767 RES=0x00 SYN URGP=0



Gruß HL

hallo!

bei mir geht es jetzt wieder besser.
aber is bekomme immer wieder anfragen auf die ports 57xxx.

//richard

hi

das ganze sieht schon fast wie ein DDOS aus. bekannte trojaner-ports scheinen es jedenfalls nicht zu sein, dafür sind die anfragen auch etwas zu *heftig* und von zuvielen unterschiedlichen rechnern.

bin eben erst wieder nach hause gekommen, hab also ne neue IP bekommen. vielleicht war der vorbesitzer der IP ja nicht *ganz artig* und ich kriegen den ****** jetzt ab. :D

naja hab den port erstmal vom logging ausgeschlossen, damit meine logs nicht geflutet werden.


Gruß HL

darf ich mal blöd fragen, wie ich das Loggin' überhaupt "aktiviere" ? habe ne SuseFirewall2 ... geht das damit auch ? :)

MfG Markus

@Da.Bull


habe ne SuseFirewall2 ... geht das damit auch ? :)

das geht auch, standardmäßig werden critical sachen geloggt. du kannst es aber auch so einstellen, das alles geloggt wird, was aber nicht sinnvoll ist.


allerdings ist das loggen mit der susefirewall nicht sehr flexibel, so sachen wie einzelne ports vom logging auszuschließen ist imho nicht möglich. jedenfalls hab ich es nie hinbekommen ;)


Gruß HL

ok, vielen Dank !!

wünsche weiterhin viel spass beim Untersuchen eurer DDoS-Vermutungen ;)

*weitermachen* :)

MfG Markus

@derRichard
Also bei mir ist nichts in dieser Richtung in den Logs. Kann es vielleicht sein, dass du die Ports einen P2P Programms verändert hast?

Du schriebst beim ersten mal: betroffen ist Port 57839/udp
Deine Logs weisen aber auf Port 57985/udp hin, oder?

moin

ich muss sagen, sowas hab ich noch nicht erlebt. ich hab den port eben mal wieder *reingenommen* und die pakete prasseln immer noch im sekundentakt auf die firewall.



Gruß HL

Original geschrieben von Jinto
@derRichard
Also bei mir ist nichts in dieser Richtung in den Logs. Kann es vielleicht sein, dass du die Ports einen P2P Programms verändert hast?

Du schriebst beim ersten mal: betroffen ist Port 57839/udp
Deine Logs weisen aber auf Port 57985/udp hin, oder?
ja, ich hab mldonkey auf einen anderen port gestellt, aber mldonkey läuft nicht immer.
und die ports ändern sich jetzt immer :-/ immer um 57xxx herum.

//richard

moin

ich hab mal so einen deiwel mit snort eingefangen. kann da jemand was mit anfangen?


Gruß HL

@HangLoose


deiwel
Das erste Mal das ich ein plattdeutsches Wort im Inet lese - sagt man bei uns auch:D

Aber zum Thema:
Mit dem snort log kann man denke ich einmal nichts anfangen...
Werd mich wenn ich Zeit bekomme mal ein bisschen im Inet umsehen vielleicht finde ich ja was...

Ersteinmal müsste man herausfinden auf welchen Dienst die Anfragen abzielen - also was auf Webservern im Portbereich 57xxx so läuft.

Könnte vielleicht eine Abwandlung von SQL Slammer sein - der benutzt auch UDP und verschickt sich an willkürliche Adressen...

Mal sehen

mfg
cane

Hi,

Bei mir ist alles ruhig. (Wien)
... wenn man von dem SQL Wurm absieht,.. da bekomm ich immer noch alle 20-30sek ein UDP Packerl.

Ciao, Bernie

JA ja,
der SQL Slammer wird auch so schnell nicht aussterben...

Ist ein supergenialer Wurm der dadurch das er sich über UDP verbreitet (er ist so klein dass er in 1 in Worten EIN UDP Paket passt), und somit zum Senden nicht wie bei TCP eine Verbindung aufbauen muß, rasend schnell verbreitet.
Der befallene Server sendet mit VOLLER Bandbreite den Wurm an Zufalls IPs.

Die Nachlässigkeit in Hinsicht Patchen vieler admins und die Unfähigkeit von microsoft ein vernünftiges Patchsystem zu realisieren tun ihr übriges...

cane

@cane


Das erste Mal das ich ein plattdeutsches Wort im Inet lese - sagt man bei uns auch :D

verstehen tu ich ja noch das meiste, beim sprechen hört's denn aber auf, leider :)



Mit dem snort log kann man denke ich einmal nichts anfangen...

Jinto hat sich über das *snort paket* auch schon köstlich amüsiert :D. mit ngrep klappte das ganze irgendwie nicht.


im inet hab ich mich auch schon umgesehen, konnte aber nichts in der richtung finden. der slammer dürfte ausfallen, da es tcp pakete waren. ich hab zwar noch keinen ddos angriff live erlebt, aber so ungefähr stell ich ihn mir vor. allerdings ist eine ddos attacke wohl noc etwas heftiger.

heute ist übrigens schluß => hab ja auch ne andere ip.



ps: vom slammer trudeln bei mir auch noch ab und zu ein paar pakete ein. aber nicht soviel wie bei bernie


Gruß HL

@HangLoose


verstehen tu ich ja noch das meiste, beim sprechen hört's denn aber auf, leider
Geht mir größtenteils genauso...


im inet hab ich mich auch schon umgesehen, konnte aber nichts in der richtung finden
Ich bis jetzt auch nicht - schade, hätte mich interessiert...


der slammer dürfte ausfallen, da es tcp pakete waren

Sorry hatte noch das Posting von derRichard im Kopf der im Gegensatz zu Dir UDP Pakete bekam...

See you
cane

SQL Slammer - Ursachen und Schlussfolgerungen?!

Eine bemerkenswerte Betrachtung "über den Tag hinaus" findet sich bei
http://techupdate.zdnet.de/story/0,,t419-s2130965-p1,00.html

Frage: Wer setzt denn schon IntrusionDetection-Software unter Linux ein?

moin moin


Original geschrieben von LX-Ben

Frage: Wer setzt denn schon IntrusionDetection-Software unter Linux ein?

ich setze zum beispiel snort ein, also mehr ein *light* IDS ;).



Gruß HL