Il giorno 29 settembre 2008 18.22, hush-now-or-then <[EMAIL PROTECTED]> ha scritto: > On Sun, 28 Sep 2008 15:09:52 +0200 [EMAIL PROTECTED] > wrote: > >> > >> A questo punto i dati che ho raccolto mettendo una honeypot in > >> ascolto sulla porta 23 tcp qui da me, potrebbero essere inutili > >ma > >> se qualcuno vuol darmi un parere, gliene saro' grato, ecco cosa > >ho > >> loggato stanotte[6]. > >> > > > >Prova a dare un'occhiata a questo articolo del SANS. > > > >http://isc.sans.org/diary.html?storyid=4175 > > > >In questo caso potresti mettere l'honeypot in ascolto anche sulla > >porta > >161 UDP > >per vedere se la casistica sia simile a quella descritta. > > > Grazie della risposta e dell'hint, > > in pratica da quando e' partito questo giro di attacchi (i primi di > settembre) non c'e' alcuna traccia di tentativi di connessione alla > 161 udp. Pero' ora che mi hai fatto riflettere meglio, analizzando > i log si riconosce per un 90% un pattern: probe sulla 135/tcp > qualche minuto prima, che comunque proviene tutte le volte da un IP > differente da quello che tentera' la via della 23/tcp, pero' e' > certo che il netblock e' di un unico provider.
Ho segnalato io agli analisti di SANS l'aumento di scansioni sulla porta 23. Ne è seguito un fitto scambio di email dal quale si è poi giunti alla conclusione pubblicata nel loro sito. Devo dire che non sono daccordo sull'ipotesi della query SNMP, per due motivi. 1) non vedo traffico SNMP dai sorgenti. 2) In pratica nessuno degli host "infetti" ha il demone snmp in ascolto. Altre cose che ho notato successivamente: - Non tutti i sorgenti sono DLINK... diciamo che un buon 15% non lo è.. - Alcuni router hanno la porta 23 in ascolto, altri la 80, altri entrambi, ma non vi è un pattern comune che possa far pensare allo sfruttamento di un'unica vulnerabilità. - Non tutti i router che sono riuscito ad analizzare avevano le credenziali impostate di default. Ciao, Fausto Zuin IT Security Analyst & Incident Handler ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
