[linux-guvenlik] Re: Bu nedir ?

From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Tue 28 Jan 2003 - 08:32:33 EET

• Next message: Burak DAYIOGLU: "[linux-guvenlik] Re: masq"
• Previous message: Emre Pars: "[linux-guvenlik] Re: Bu nedir ?"
• In reply to: Emre Pars: "[linux-guvenlik] Re: Bu nedir ?"
• Next in thread: Baurjan Ismagulov: "[linux-guvenlik] Re: Bu nedir ?"

On Mon, 2003-01-27 at 22:17, Emre Pars wrote:
> Aslinda loglarda devamli bu adres ve bu port asagidaki sekilde var..
> Local networkten birisinin ulastigi bir site oldugunu dusunuyordum..ama
> loglarda devamli bu satirlari gorunce bir sacmalik oldugu kesin..
> Iptablesdan o adres zaten drop edilmis durumda..ama neyin buna sebep
> oldugunu merak ediyorum..
> >
> Linux makinede bir servis kendini internetten update falan etmek istiyor
> olabilir mi??
>
> > Jan 26 18:40:20 firewall portsentry[11469]: attackalert: UDP scan from
> > host: mcnxp008nmc.amer.csc.com/20.129.0.1 to UDP port: 68
> > Jan 26 18:40:20 firewall portsentry[11469]: attackalert: Host:
> > mcnxp008nmc.amer.csc.com/20.129.0.1 is already blocked Ignoring
> >=3D20

Merhaba,
Eski iki mesajinizdan bolumleri yukarida birlestirdim. UDP port 68 TFTP
tarafindan kullanilir; TFTP yetkilendirme gerceklestirmeden bir dosya
havuzuna erisim imkani sagladigindan "yanlis ayarlanmis, haddinden fazla
dosya sunan" TFTP sunuculari saldirganlar icin cennettir.

Ozellikle MS-Windows sunuculari uzerinde kurulu olan TFTP sunucusunun
sikca yanlis ayarlandigini gozlemliyoruz; bu nedenle gozlemlediginiz
durumun bir saldirganin yatayda IP adres bloklarini acik TFTP sunucular
icin taramasi oldugu fikrindeyim.

Bu TFTP/UDP paketleri, zaman anlaminda, periyodik bir halde midir? Orn.,
aralarinda hep 15dk mi vardir?

Ben TFTP/UDP gonderenin uzerine TFTP tarayicisi kurulmus bir bilgisayar
(truva atli ya da saldirgana ait) oldugu fikrimdeyim.

selamlar.

-- 
Burak DAYIOGLU
Phone: +90 312 2103379      Fax: +90 312 2103333
http://www.dayioglu.net        ICQ UIN: 72276975
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------

• Next message: Burak DAYIOGLU: "[linux-guvenlik] Re: masq"
• Previous message: Emre Pars: "[linux-guvenlik] Re: Bu nedir ?"
• In reply to: Emre Pars: "[linux-guvenlik] Re: Bu nedir ?"
• Next in thread: Baurjan Ismagulov: "[linux-guvenlik] Re: Bu nedir ?"