Hi,
ich habe als IDS Snort und als Auswertungssoftware ACID laufen. Auf meinem Rechner laufen MySQL und Apache, allerdings abgedichtet nach aussen durch eine iptables-Firewall (die entsprechenden Ports habe ich schon von aussen getestet). Ich kann auf http und mysql nur intern vom LAN aus zugreifen.
Nun habe ich gestern im Snort Log ein paar Einträge entdeckt, die auf einen MS-SQL Worm propagation attempt hinweisen. Daraufhin habe ich meine Internetverbindung getrennt, das Log gelöscht und mich neu eingewählt um eine neue IP zu erhalten. Allerdings hatte ich heute wieder Einträge dieser Art:
Was bedeutet das? Vielleicht das jemand einen den Port 1434 scannt, und Acid bzw Snort das als MS-SQL Angriff deutet? Sollte ich mir Sorgen machen oder kann ich dies ignorieren?Code:#0-(8-4) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 02:48:10 12.243.221.55:1246 217.225.243.187:1434 UDP #1-(8-5) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 03:12:40 24.136.203.74:1516 217.225.243.187:1434 UDP #2-(8-8) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 05:19:12 81.84.90.125:3339 217.225.243.187:1434 UDP #3-(8-11) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 09:51:45 204.188.104.149:1147 217.225.243.187:1434 UDP #4-(8-13) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 13:23:25 12.216.19.232:3361 217.225.243.187:1434 UDP #5-(8-23) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 14:19:56 212.65.232.197:1179 217.225.243.187:1434 UDP #6-(8-24) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 14:43:17 202.164.174.82:1868 217.225.243.187:1434 UDP
Danke&Gruß
Chris
Lesezeichen