Isso pode ser algum bot, amigo... Relax.
Em 03/04/08, Daniel <[EMAIL PROTECTED]> escreveu: > > Lista, bom dia. > > O meu servidor de entrada (NAT/FIREWALL) está rodando o debian 4.0 r3, com > kernel 2.6.24 e iptables 1.4.0. > A única porta aberta para a entrada é a porta de ssh alternativa, do resto > está tudo fechado para conexões entrantes. > > Depois de liberar estas duas regras, coloco um log no sistema e logo após > a regra de bloqueio. > Pasei o nmap de uma rede externa e confirma que de fato todas as demais > portas, exceto a de ssh, estão filtradas. > > Vendo meu log encontrei várias linhas (cerca de 3000) dessa forma: > > Apr 1 17:31:23 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 OUT= > MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 > SRC=208.177.78.4DST=MEU_IPLEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=3357 DF > PROTO=TCP SPT=3243 > DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0 > > Apr 1 17:31:26 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 OUT= > MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC=208.177.78.4 DST=MEU_IP > LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=4337 DF PROTO=TCP SPT=3243 DPT=8080 > WINDOW=65535 RES=0x00 SYN URGP=0 > > Apr 1 17:31:32 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 OUT= > MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC=208.177.78.4 DST=MEU_IP > LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=6056 DF PROTO=TCP SPT=3243 DPT=8080 > WINDOW=65535 RES=0x00 SYN URGP=0 > > Isto é uma tentativa de intrusão certo? > Acredito que o invasor não está conseguindo acesso, o meu sistema está > normal e segundo o nmap as portas estão devidamente protegidas. Porém, há > alguma atitude que eu posso tomar, além de um bloqueio de portas? Tipo algo > pra derrubar a conexão do cara ou algo similar para que o cara deixe de > ficar tentando entrar na máquina? > > Obrigado a todos. > > Daniel >
