[rlug] Re: 141.85.3.45 ma dispera

Mon, 06 Sep 2004 11:29:14 -0700 

tipi cu ip-ul ala sunt:


inetnum:      141.85.0.0 - 141.85.255.255
netname:      PUB-NET
descr:        RoEduNet
descr:        "Politehnica" University of Bucharest
descr:        Communication Center
descr:        Splaiul Independentei 313
descr:        Bucharest 77206
country:      RO



--- MihaiV <[EMAIL PROTECTED]> wrote:

> La mai multe retele pe care le administrez am
> obiceiul sa loghez ce iese
> din lan si se duce pe internet la portul 22 (ssh).
> Exista insa situatii in care la 5-6 retele diferite
> se intampla ca
> fiecare ip din lan sa incerce o tentativa de
> conectare la 141.85.3.45:22
> Situatia asta a ajuns sa ma dispere, pt ca eu cand
> incerc sa ma conectez
> la hostul respectiv imi apare ca down. Daca are
> firewall de ce atunci
> omuletii de la mine din lan (-uri !) incearca sa
> intre? Ceva se intampla
> si ma enervez ca nu stiu ce. Stiti careva care e
> faza cu 141.85.3.45 ?
> E vreun shell din poli pt studenti? De ce e filtrat
> atunci ?
> 
> Am banuit la un moment dat ca cineva scaneaza cu ip
> spoofat in
> 141.85.3.45 si portul sursa 22. Astfel ip-urile din
> lan de la mine
> raspund acestor pachete spoofate si de aici
> misterul. Faza e ca am
> blocat din firewall accesul din internet spre lan al
> pachetelor cu sursa
> 141.85.3.45 si --sport 22. Si tot apar pachete din
> lan catre internet cu
>  -d 141.85.3.45 --dport 22
> 
> Cine naiba e 141.85.3.45  ca ma dispera ???
> 
> mai jos urmeaza un exemplu de sample care este:
> 
>  FWD_SSH: IN=eth0 OUT=eth1 SRC=ip.din.lanul.meu
> DST=141.85.3.45 LEN=48
> TOS=0x00 PREC=0x00 TTL=126 ID=33717 DF PROTO=TCP
> SPT=3995 DPT=22
> WINDOW=65535 RES=0x00 SYN URGP=0
> 
> acum din alta retea:
> 
> 
> _FWD_SSH_IN=eth1 OUT=eth0 SRC=ip.din.alt.lan
> DST=141.85.3.45 LEN=52
> TOS=0x00 PREC=0x00 TTL=63 ID=375 DF PROTO=TCP
> SPT=1046 DPT=22
> WINDOW=60352 RES=0x00 SYN URGP=0
> 
> vad ca difera LEN si TTL deci nu cred ca e vre-un
> virus ceva. Si totusi
> e dubios ca sunt momente cand ii apuca pe toti de
> vor sa se conecteze
> acolo. Sunt zeci de tentative de conexiune de la
> fiecare ip din vreo 5-6
> lanuri. WTF? 
> 


deci..poate multi studentasi pe acolo....pe la tine
prin retea :)

=====
Respect, Dan


        
                
__________________________________
Do you Yahoo!?
New and Improved Yahoo! Mail - 100MB free storage!
http://promotions.yahoo.com/new_mail 

--- 
Detalii despre listele noastre de mail: http://www.lug.ro/

Raspunde prin e-mail lui