-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Sun, 28 Sep 2008 15:09:52 +0200 [EMAIL PROTECTED] wrote: >> >> A questo punto i dati che ho raccolto mettendo una honeypot in >> ascolto sulla porta 23 tcp qui da me, potrebbero essere inutili >ma >> se qualcuno vuol darmi un parere, gliene saro' grato, ecco cosa >ho >> loggato stanotte[6]. >> > >Prova a dare un'occhiata a questo articolo del SANS. > >http://isc.sans.org/diary.html?storyid=4175 > >In questo caso potresti mettere l'honeypot in ascolto anche sulla >porta >161 UDP >per vedere se la casistica sia simile a quella descritta.
Grazie della risposta e dell'hint, in pratica da quando e' partito questo giro di attacchi (i primi di settembre) non c'e' alcuna traccia di tentativi di connessione alla 161 udp. Pero' ora che mi hai fatto riflettere meglio, analizzando i log si riconosce per un 90% un pattern: probe sulla 135/tcp qualche minuto prima, che comunque proviene tutte le volte da un IP differente da quello che tentera' la via della 23/tcp, pero' e' certo che il netblock e' di un unico provider. Saluti, h. -----BEGIN PGP SIGNATURE----- Charset: UTF8 Version: Hush 3.0 Note: This signature can be verified at https://www.hushtools.com/verify wpwEAQMCAAYFAkjhAMUACgkQxcpfdCBapkf3PwP+MWdm1vAAaaAHiHMA1TSAIl/ceCSJ 4wpwI88tBteclD/hPZz6YaRx6d8CSuvaF6THgXxEWC2M+6Hl9VdVG21aS8Sk0wqfjLIt y4oNk2TKir225XnqCRkQlcJfNA/pDSe0y3xtAiSp2PSLgzUCSxOVKVcxcmLt2CxMRlK4 1S3j41s= =+EdR -----END PGP SIGNATURE----- -- Click here for a free search to find a personal injury lawyer in your area. http://tagline.hushmail.com/fc/Ioyw6h4fOfn6pFa64WUg6FOQCx4S3EQJlBfgQNOL3ov21NQ1XFGjYJ/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
