Re: tentativa de D.o.S

Wed, 03 Aug 2005 06:55:40 -0700 

Oi Marcos


On Wed, 3 Aug 2005, Marcos Dutra wrote:
> Como o seu gateway está mandando esses pacotes externamente e como vc disse
> que são as suas máquinas windows, eu recomendo  vc fechar a porta 135 para
> saída da internet: iptables -I FORWARD -p tcp --dport 135 -j DROP e investigar
> as máquinas que estão gerando esses pacotes.

Sim. Isto eu já fiz (foi assim que descobrimos o problema: o tráfego para
fora estava insuportável e derrubou um roteador velhinho depois da gente).
O estranho é esta varredura na rede 10.XX.XX.XX. Eu pensava que alguém já
tivesse passado por isto...


> Dá um netstat nas máquina, vire de cabeça p/ baixo pois isso pode ser virus ou
> algo similar.
>

O pior é que não sei nada de Windows (o que sabia, esqueci). Nem sei as
ferramentas de diagnóstico destas máquinas...


> ----- Original Message ----- From: "Thadeu Penna" <[EMAIL PROTECTED]>
> To: <[email protected]>
> Sent: Wednesday, August 03, 2005 10:32 AM
> Subject: tentativa de D.o.S
>
>
> > Senhores,
> > estou com um problemão aqui. Tenho uma rede interna 10.0.0.0/24.
> > Alguns micros com windows (cada vez mais deles agem assim), geram
> > estes pacotes:
> > tcpdump -i eth1 -p tcp port 135
> > ....
> > 10:09:33.904098 IP UFF.if.uff.br.3931 > 10.0.217.245.loc-srv: S
> > 451509942:451509942(0) win 16384 <mss 1460,nop,nop,sackOK>
> > 10:09:33.904167 IP UFF.if.uff.br.3932 > 10.0.92.72.loc-srv: S
> > 451566247:451566247(0) win 16384 <mss 1460,nop,nop,sackOK>
> > 10:09:33.904238 IP UFF.if.uff.br.3933 > 10.0.193.73.loc-srv: S
> > 451620384:451620384(0) win 16384 <mss 1460,nop,nop,sackOK>
> > 10:09:33.904304 IP UFF.if.uff.br.3934 > 10.0.107.121.loc-srv: S
> > 451669702:451669702(0) win 16384 <mss 1460,nop,nop,sackOK>
> > ...
> >
> > note que as máquinas são 10.0.XXX.XXX que não pertencem a minha
> > subrede!
> > Isto é vírus, trojan, etc ?? Alguém conhece ? Como barrar isto e não
> > fechar o Samba ?? Em resumo: o que que eu faço ???
> >
> > --
> > Thadeu Penna                 Linux User #50500
> > Prof.Adjunto - Instituto de Física  ---Debian-
> > Universidade Federal Fluminense     Alpha/i386
> >
> >
> > --
> > To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> > with a subject of "unsubscribe". Trouble? Contact
> > [EMAIL PROTECTED]
> >
> >
>
>
>

-- 
 ___                  _                 .''`.
  | |_  _. _| _      |_) _ ._ ._  _.   : :'  :
  | | |(_|(_|(/_|_|  |  (/_| || |(_|   `. `'`
                    Linux User #50500    `-
Prof.Adjunto - Instituto de Física  ---Debian-
Universidade Federal Fluminense     Alpha/i386

Responder a