Em 20/06/13 09:35, Márcio Elias escreveu: > Bom dia colegas, > > trabalho em um ISP e recebi um e-mail do registro.br que me gerou algumas > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan > realizado a partir de um de nossos IPs para um determinado ip na porta 6881. > > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs > possam me dar a opinião de vcs sobre isso, > > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -> > xxx.xxx.3.103/32 (PORT:6881) > > "Caro Sr. , > > Favor investigar o incidente descrito com os logs parciais abaixo, > e dar o devido tratamento reportando com copia para todos os enderecos > listados acima com as providencias/medidas tomadas para que tal evento > nao volte a se repetir. > > No caso de tratamento indevido deste evento com reincidencia, serao > adotadas politicas unilaterais de protecao pelo Registro.br. > > > Logs----------------------------------------------------------------------- > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)" > > > Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado > por DHT no protocolo BitTorrent. > > > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que > trata-se de um port scan... > > > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para > evitar este tipo de problema? > > > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para > rotear sub-redes do meu bloco de IPs. > > > Obrigado. > > Marcio,
Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um cliente de IP dinâmico? Acredito que seja um servidor e se for sugiro olhar os processos rodando e checagens habituais pois você poderia estar com algo rodando nele. Como você mesmo disse essa porta é utilizada para conexões entrantes de torrents. O deluged mesmo é um server que escuta nessa porta por padrão se eu não estou enganado. Dá uma auditada nesse seu servidor. Grande abraço, Gondim ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
