- gt оверквотинг удален А что вас настораживает 80 порт потенциального клиента , fantom (ok), 12:16 , 18-Дек-14 (1)
>[оверквотинг удален] > 0 <мой IP>:25 > <внешний IP>:80 > SYN_RECV > Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному > (лишь один раз наблюдал сразу два), то есть на попытку DoSа > не похоже. Причём порт, с которого приходят пакеты - всегда 80 > или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, > но мало ли... > Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что > это за гаврики, стоит ли опасаться, или просто заб[иы]ть.А что вас настораживает? 80 порт потенциального клиента??? Так это говорит лишь о том, что ПО подключающееся с той стороны запущено скорее всего с правами рута или админа (простым пользователям порты с номерами 1-1024 недоступны к использованию) и 80 порт никем не занят....
- Ну, может быть, кому-то будет интересно Написал программку для отслеживан, XAnder (ok), 18:12 , 24-Дек-14 (5)
[...Ну, может быть, кому-то будет интересно...]Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) наиболее ретивых. Полёт нормальный. Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. Я, наверное, что-то не понимаю. Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.
- Короче, в итоге я запретил на фаерволе пакеты с 80-го и только с 80-го порта н, XAnder (ok), 09:29 , 29-Дек-14 (7)
Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только с 80-го) порта на 25-й — и этих чудиков как ветром сдуло. За четыре дня ни одного не было. И это при том, что другие использовавшиеся ими порты (443, 53, 82 и ещё 22) я не блокировал.Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться прислать письмо через соединение с исходящим портом 80?
|