sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #91792
Foruroligende trafik
Hej
Jeg sad lige og kedede mig, så jeg satte tcpdump til at lytte
på det interne interface, lige for at se om der foregik noget.
Jeg sidder bag en rimelig standard opsætning:
Internet -> Linux (slackware) firewall/server -> Privat netværk (WinXP'er)
Og til min store skræk/overraskelse ser jeg trafik som ikke burde
være der.
15:31:43.355400 IP 89.128.7.186.3178
> amilo.fumlersoft.dk.28317:
S 1396734720:1396734720(0) win 65535 <mss 1360,nop,nop,sackOK>
15:35:00.503473 IP DSL217-132-20-146.bb.netvision.net.il.4362
> amilo.fumlersoft.dk.28317:
S 2133071640:2133071640(0) win 65535 <mss 1279,nop,nop,sackOK>
15:35:07.506800 IP dyn-91-165-135-233.ppp.tiscali.fr.nucleus
> amilo.fumlersoft.dk.28317:
S 3646800957:3646800957(0) win 65535 <mss 1452,nop,nop,sackOK>
Jeg bemærker at det kun er indgående, til samme port, fra forskellige
externe adresser, og der er ikke noget svar fra amilo.
Det der undrer mig meget er, hvordan er denne trafik kommet ind
til det interne netværk. Firewall'en burde have blokeret det ???????
Firewall tillader (INPUT, ikke FORWARD):
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
143/tcp open imap
443/tcp open https
3306/tcp open mysql
Amilo lytter på:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1723/tcp closed pptp
Nogen gode ideer ? Jeg har skannet med forskelligt
anti-spy/adware uden at have fundet noget.
Nogen gode ideer ?
--
Later
Mogens Melander
+45 40 85 71 38
+66 870 133 224
--
This message has been scanned for viruses and
dangerous content by OpenProtect(http://www.openprotect.com), and is
believed to be clean.
Follow ups
