Condividi:        

Tentativi sulla porta 137: non è che esagerano?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Tentativi sulla porta 137: non è che esagerano?

Postdi zello » 23/12/02 19:49

Beccatevi sto log dei miei ultimi dieci minuti:
Codice: Seleziona tutto
Dec 23 19:16:49 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=68.21.36.37 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=108 ID=47291 PROTO=UDP SPT=1028 DPT=137 LEN=58
Dec 23 19:16:49 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=65.95.119.145 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=114 ID=5692 PROTO=UDP SPT=1032 DPT=137 LEN=58
Dec 23 19:17:42 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=80.49.44.131 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=115 ID=35064 PROTO=UDP SPT=1029 DPT=137 LEN=58
Dec 23 19:17:55 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=66.20.223.171 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=101 ID=41664 PROTO=UDP SPT=1027 DPT=137 LEN=58
Dec 23 19:18:30 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=216.29.3.244 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=116 ID=61701 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:19:54 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=61.145.135.2 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=99 ID=30828 PROTO=UDP SPT=1030 DPT=137 LEN=58
Dec 23 19:20:08 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=81.134.1.90 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=112 ID=50931 PROTO=UDP SPT=1026 DPT=137 LEN=58
Dec 23 19:20:46 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=151.26.147.51 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x00 TTL=125 ID=1215 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:20:56 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=66.190.88.231 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=112 ID=52957 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:23:11 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=63.203.124.137 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=110 ID=63121 PROTO=UDP SPT=1028 DPT=137 LEN=58
Dec 23 19:23:34 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=195.174.129.59 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=108 ID=11878 PROTO=UDP SPT=1049 DPT=137 LEN=58
Dec 23 19:24:22 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=209.131.67.137 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=114 ID=59829 PROTO=UDP SPT=1026 DPT=137 LEN=58
Dec 23 19:24:54 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=200.150.24.66 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=101 ID=26482 PROTO=UDP SPT=1029 DPT=137 LEN=58
Dec 23 19:25:10 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=151.26.149.30 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x00 TTL=127 ID=37849 PROTO=UDP SPT=1027 DPT=137 LEN=58
Dec 23 19:25:32 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=200.177.111.218 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=105 ID=24377 PROTO=UDP SPT=1030 DPT=137 LEN=58
Dec 23 19:25:59 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=200.153.224.83 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=103 ID=53352 PROTO=UDP SPT=1203 DPT=137 LEN=58
Dec 23 19:26:10 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=65.167.54.198 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=108 ID=55508 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:26:24 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=65.93.87.233 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=112 ID=26849 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:27:04 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=32.102.127.86 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=106 ID=13787 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:27:36 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=63.240.97.195 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0
 TTL=102 ID=5762 PROTO=UDP SPT=24259 DPT=137 LEN=58
Dec 23 19:28:32 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=210.187.204.16 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=103 ID=9864 PROTO=UDP SPT=1028 DPT=137 LEN=58
Dec 23 19:29:13 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=199.183.170.186 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=114 ID=53851 PROTO=UDP SPT=1026 DPT=137 LEN=58
Dec 23 19:30:07 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=213.17.93.58 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=116 ID=15456 PROTO=UDP SPT=1029 DPT=137 LEN=58
Dec 23 19:31:20 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=213.212.26.163 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=113 ID=7725 PROTO=UDP SPT=1025 DPT=137 LEN=58
Dec 23 19:33:12 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=64.32.98.18 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0x40 TTL=113 ID=54357 PROTO=UDP SPT=1034 DPT=137 LEN=58
Dec 23 19:34:30 zello kernel: Shorewall:net2all:ACCEPT:IN=ppp0 OUT= MAC= SRC=213.16.233.61 DST=151.26.148.207 LEN=78 TOS=0x00 PREC=0xA0 TTL=100 ID=46924 PROTO=UDP SPT=25056 DPT=137 LEN=58

Ora, io capisco tutto. Anche di potenzialmente aver sbagliato a configurare il firewall.

Se qualcuno mi vuole dire se sono impazziti tutti quanti, o solo io, lo ringrazio.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Sponsor
 

Postdi amvinfe » 24/12/02 01:18

Che tutto sia dovuto alla nuova variante di Opaserv?
http://securityresponse.symantec.com/av ... .worm.html

Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi kadosh » 24/12/02 09:18

Appurato che l'address di Zello è 151.xxx.xxx.xxx :D :D :D vado ad analizzare il tutto:

La porta 137 si occupa del NetBIOS Name Server (NBNS) e quindi implica condivisione a livello appplicativo di Files, Cartelle o Stampanti. Ma essendo Zello e non usando robetta MS scarterei lo sharing in generale. 8)

Ho letto un po' di documentazione al volo su OPASERV e commenti vari ma solo in pochi hanno pensato a un'evoluzione del Virus attraverso questa porta ed inoltre, valutando un Time-To-Live sempre intorno ai 100/128 ms la chiamata vien sempre dall'esterno altrimenti si avrebbero valori decisamente maggiori di latenza.

Il protocollo usato è solo ed esclusivamente UDP, sintomo di Port Scanning casuali e ridicoli, di gente cioè che smanetta tanto per dire "L'ho fatto anch'io" ma non sa nemmeno cosa capperi faccia.

Per chiudere farei cmq uno scan interno alla ricerca di Chode, Qaz e Msinit, 3 trojanucci di vecchia data che lavorano sulla porta stupida, i primi 2 in TCP ed il terzo in UDP, significa cioè che i primi due cercano il chiamante mentre il terzo accetta tutto.

Direi che cmq hai passato 10 minuti di una tranquilla giornata prefestiva normali, magari alcuni sono routing forwarder casuali ed altri smanettoni della domenica...non mi preoccuperei troppo. ;)
Ultima modifica di kadosh su 24/12/02 15:32, modificato 1 volte in totale.
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi Nicola » 24/12/02 12:52

Appoggio l'idea di Kadosh anche se una lettera all'abuse (se nn l'hai già mandata) credo che sia una cosa giusta, tanto per avvertire...
Sugli abuse sei esperto, quindi manda :D

Vedo che usi un firewall credo basato su porte e range IP... se è per Windows (ma da quel "zello kernel" sembreberebbe per Linux ma nn ci giurerei) mi potresti dire il suo nome??
Grazie...

Nicola.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 24/12/02 17:57

Shorewall per linux, nik. Io mi troverei meglio con iptables, ma mandrake è nazista nell'installare le sue cose, e le regole non sono fatte così male. E' seccante che di default ti dia un avviso sulla console, che se stai lavorando con vim ti trovi tutto lo schermo sporcato.
Per gli abuse: lo avrei anche mandato, ma gli attacchi (immagino tentativi su ranges di ip casuali) venivano da moltissime parti, e non avevo voglia di notificarli tutti - dopotutto, la gente è libera di divertirsi come vuole, compreso tentare di connettersi alla 137 su sistemi *nix.
L'unica cosa fastidiosa è la frequenza degli attacchi.... Cmq, adesso ho impostato il REJECT sulla porta 137, e neanche li loggo più.

Certo che ce n'è, di lamerz, in giro...

PS: kad, non contare sull'IP, sono su un dialup di libero, è dinamico :)
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kadosh » 24/12/02 18:26

E ci mancava solo non fosse dinamico ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi zello » 24/12/02 18:31

E ci mancava solo non fosse dinamico

Considerando che hai un link in sign a http://www.blackhats.it, direi proprio di sì :lol:
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi andfer » 02/01/03 13:23

Scusate l'ignoranza ma sarei curioso di sapere cosa sono le cose del log che non conosco.
Faccio un breve elenco:
Data -> Dec 23 19:16:49
nomePC -> zello kernel
NomeFirewall -> Shorewall
net2aal ? nome routing?
Accetta in ingresso sulla connessione ppp0 -> ACCEPT:IN=ppp0
nessuna uscita -> OUT=
indirizzo MAC -> MAC= essendo un modem nn c'è ?
mittente -> SRC=68.21.36.37
destinatario -> DST=151.26.148.207
Lunghezza pacchetto -> LEN=78 (byte penso)
TOS=0x00 ??? lo ignoro
PREC=0x40 idem come sopra
time to live -> TTL=108
ID ? penso un contatore di evento o un casuale
protocollo -> PROTO=UDP
source port -> SPT=1028
destination port -> DPT=137
LEN=58 ??? ankora???

Grazie x l'aiuto
andfer
Utente Senior
 
Post: 202
Iscritto il: 27/08/02 19:06

Postdi zello » 03/01/03 01:11

nomePC -> zello kernel
Il nome pc è solo zello, kernel è l'origine della segnalazione
net2all -> nome categoria di regole [table] (dalla rete a qualsiasi interfaccia)
TOS=0x00 Type of Service-> campo dell'header IP
L'ID identifica un gruppo di pacchetti, è utile nel caso si frazionino e vadano ricostruiti.
Cosa sia PREC (anche se, se il log è in ordine, è un indicatore di frammentazione (e 0x40 dovrebbe significare nessuna frammentazione)) non mi è del tutto chiaro.
I due len sono la lunghezza dell'intero pacchetto e la lunghezza del pacchetto escluso l'header.

Beccati questo link per la descrizione sommaria ma completa di un header IP.

Ciao.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kadosh » 03/01/03 11:54

La sigla PREC, meglio descritta come IP Prec non è altri che un servizio aggiuntivo del QoS ( Quality of Service ), introdotto da Cisco nel suo IOS 12.1 per migliorare tutti quei servizi che hanno bisogno di uno standard di qualità nella trasmissione fluida di dati in real time.
L'IP Prec è L'IP Precedence Bit, ovvero i primi 3 bit dell'Header del campo TOS ( Type of Service ). A seconda del loro valore stabiliranno il tipo di servizio richiesto dall'utente. ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma


Torna a Sicurezza e Privacy


Topic correlati a "Tentativi sulla porta 137: non è che esagerano?":


Chi c’è in linea

Visitano il forum: Nessuno e 99 ospiti