Portscans auf Port 80....

Post Reply
Message
Author
Max

Portscans auf Port 80....

#1 Post by Max »

Seit einigen Tagen werde ich wie bekloppt immer auf Port 80 gescannt.
Die Quell-IPS kommen aus der ganzen Welt.
Das hat doch bestimmt was mit "CodeRed" zu tun.
Nur ich dachte der richtet sich gegen Whitehouse.gov.....
Oder ist das die Verbreitungsroutine und das sind alles inifzierte Systeme??
Max

BO

Re: Portscans auf Port 80....

#2 Post by BO »

geht mir genauso - mein firewall-log ist voll davon!

die gehen immer an die broadcast-adresse (255.255.255.255) von x-beliebigen ip's und zwar 3 anfragen pro ip

z.b.:
Aug 3 14:26:43 bender kernel: Unallowed_Packet:IN=eth0 OUT= MAC=*CUT* SRC=211.227.240.253 DST=255.255.255.255 LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=64569 DF PROTO=TCP SPT=2588 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0

Rossi

Re: Portscans auf Port 80....

#3 Post by Rossi »

Böde Frage. Wie loggst Du Deine Firewall und wonach richten sich Deine Logeinträge ?

jlansing
Posts: 60
Joined: 17. Jul 2001 13:50

Re: Portscans auf Port 80....

#4 Post by jlansing »

LOL, da hat wohl jemand denselben Namen für seinen Router....
Zufälle gibs :)

tr0nix

Re: Portscans auf Port 80....

#5 Post by tr0nix »

Heya,

nein, Code Red richtet sich nicht nur gegen whitehouse.gov. Sonst wuerde er sich ja gar nicht weiterverbreiten. Er hat einen festen ablauf, das heisst er faengt bei IP a an und geht dann nach einem Schema durch das ganze Inet. Besonders fuer die ersten paar IP's gibt das natuerlich nen krassen Traffic da alle infizierten Comps die selbe scan-Reihenfolge haben; und da die IIS Server bis zu 3 mal infisziert werden koennen geht da so ziemlich die sau ab ;).

Gruesschen...
Joel

Max

Re: Portscans auf Port 80....

#6 Post by Max »

Also verbreitet er sich auch über Ziel-Port 80...
Bin ich froh das ich nur Apache habe...*g*

Seltsam, es scheint tatsächlich noch genügend IIS Server zu geben für einen DDoS.
Aber Netcraft sagt ja was anderes..<img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Gut beruhigt mich.
Apropos IIS. Ist schon interessant wieviele Domains man mit .../iisadmin/... findet*kopfschüttel*
Noch besser wieviele sich darüber administrieren lassen....
Es gibt ja auch soooo wenige PAsswörter die man da einsetzen könnte....

Ach ja..
Thx Max

BO

Re: Portscans auf Port 80....

#7 Post by BO »

@rossi:

meine firewall ist auf basis von netfilter/iptables.

der aufruf für das logging sieht folgendermaßen aus:

iptables -A INPUT -j LOG --log-prefix "Unallowed_Packet:" --log-level info

anstatt "Unallowed_Packet:" kannst du natürlich hinschreiben, was du willst.....

weitere dokumentation und auch deutsche howto`s findest du auf:
http://netfilter.samba.org/

Anonymous

Re: Portscans auf Port 80....

#8 Post by Anonymous »

hmmm, irgendwie hats wohl dann doch nicht so ganz geklappt mit whitehouse.gov wie ?
site steht noch :P

Max

Re: Portscans auf Port 80....

#9 Post by Max »

Code Red hat als Zeiladresse wohl eine IP drin stehen.
Und die Tekkies vom WH sind wohl nicht ganz blöde und haben kurzerhand dem Webserver eine andere gegeben...
Die Zieladresse ist wohl nicht mehr existent.
Max

Rossi

Re: Portscans auf Port 80....

#10 Post by Rossi »

> der aufruf für das logging sieht folgendermaßen aus:
> iptables -A INPUT -j LOG --log-prefix "Unallowed_Packet:" --log-level info


Danke. Ich habe aber zumindest im deutschen Howto keine Infos gefunden, wohin er logged (kern ?). Ich würde mir gerne eine eigene Log Datei für die Firewall anlegen. kern klappt zwar als Logiel, aber vielleicht gibt es ja noch ein dediziertes.

Um abgelehte Pakete zu loggen, mußte ich eine neue Kette erstellen, zu der alle zu blockenden Pakete weitergeleitet werden, damit nur die gelooged werden. Geht es auch eleganter ? (z.B., das LOG von Haus aus nur abgelehte Pakete mitschneidet ?)

BO

Re: Portscans auf Port 80....

#11 Post by BO »

@rossi:

ich hab den aufruf ganz am ende meines fw-scripts stehen und es loggt nur "unerlaubte" pakete.....

dass das ganze in ne extra-datei geht, geht sicher irgendwie, jedoch hab ich mich nie drum gekümmert, weil mir der kernellog dazu immer gereicht hat...

Rossi

Re: Portscans auf Port 80....

#12 Post by Rossi »

Danke. Das war der fehlende Tip. Einfach die Log Regel hinter die ganzen "Erlaub" regeln stellen. Ich hatte es ganz am Anfang stehen.

Post Reply