Salut. Uite ce imi arata mie la nmap pe ip-ul asta [EMAIL PROTECTED]:~# nmap -v -sS -O 141.85.3.45
Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Host (141.85.3.45) appears to be up ... good. Initiating SYN Stealth Scan against (141.85.3.45) The SYN Stealth Scan took 175 seconds to scan 1601 ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Interesting ports on (141.85.3.45): (The 1600 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp closed ssh No exact OS matches for host (test conditions non-ideal). TCP/IP fingerprint: SInfo(V=3.00%P=i386-slackware-linux-gnu%D=9/7%Time=413D8FA4%O=-1%C=22) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T5(Resp=Y%DF=Y%W=FAF0%ACK=S++%Flags=AS%Ops=MNW) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=N) Nmap run completed -- 1 IP address (1 host up) scanned in 193 seconds Anonim Network Administrator NOC in Tg-Mures [EMAIL PROTECTED] On Mon, 6 Sep 2004, MihaiV wrote: > La mai multe retele pe care le administrez am obiceiul sa loghez ce iese > din lan si se duce pe internet la portul 22 (ssh). > Exista insa situatii in care la 5-6 retele diferite se intampla ca > fiecare ip din lan sa incerce o tentativa de conectare la 141.85.3.45:22 > Situatia asta a ajuns sa ma dispere, pt ca eu cand incerc sa ma conectez > la hostul respectiv imi apare ca down. Daca are firewall de ce atunci > omuletii de la mine din lan (-uri !) incearca sa intre? Ceva se intampla > si ma enervez ca nu stiu ce. Stiti careva care e faza cu 141.85.3.45 ? > E vreun shell din poli pt studenti? De ce e filtrat atunci ? > > Am banuit la un moment dat ca cineva scaneaza cu ip spoofat in > 141.85.3.45 si portul sursa 22. Astfel ip-urile din lan de la mine > raspund acestor pachete spoofate si de aici misterul. Faza e ca am > blocat din firewall accesul din internet spre lan al pachetelor cu sursa > 141.85.3.45 si --sport 22. Si tot apar pachete din lan catre internet cu > -d 141.85.3.45 --dport 22 > > Cine naiba e 141.85.3.45 ca ma dispera ??? > > mai jos urmeaza un exemplu de sample care este: > > FWD_SSH: IN=eth0 OUT=eth1 SRC=ip.din.lanul.meu DST=141.85.3.45 LEN=48 > TOS=0x00 PREC=0x00 TTL=126 ID=33717 DF PROTO=TCP SPT=3995 DPT=22 > WINDOW=65535 RES=0x00 SYN URGP=0 > > acum din alta retea: > > > _FWD_SSH_IN=eth1 OUT=eth0 SRC=ip.din.alt.lan DST=141.85.3.45 LEN=52 > TOS=0x00 PREC=0x00 TTL=63 ID=375 DF PROTO=TCP SPT=1046 DPT=22 > WINDOW=60352 RES=0x00 SYN URGP=0 > > vad ca difera LEN si TTL deci nu cred ca e vre-un virus ceva. Si totusi > e dubios ca sunt momente cand ii apuca pe toti de vor sa se conecteze > acolo. Sunt zeci de tentative de conexiune de la fiecare ip din vreo 5-6 > lanuri. WTF? > > -- > Mihai Voica > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > > > -- This message has been scanned for viruses and dangerous content by OpenProtect(http://www.openprotect.com), and is believed to be clean. --- Detalii despre listele noastre de mail: http://www.lug.ro/
