![]()
From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Tue 28 Jan 2003 - 08:32:33 EET
On Mon, 2003-01-27 at 22:17, Emre Pars wrote:
> Aslinda loglarda devamli bu adres ve bu port asagidaki sekilde var..
> Local networkten birisinin ulastigi bir site oldugunu dusunuyordum..ama
> loglarda devamli bu satirlari gorunce bir sacmalik oldugu kesin..
> Iptablesdan o adres zaten drop edilmis durumda..ama neyin buna sebep
> oldugunu merak ediyorum..
> >
> Linux makinede bir servis kendini internetten update falan etmek istiyor
> olabilir mi??
>
> > Jan 26 18:40:20 firewall portsentry[11469]: attackalert: UDP scan from
> > host: mcnxp008nmc.amer.csc.com/20.129.0.1 to UDP port: 68
> > Jan 26 18:40:20 firewall portsentry[11469]: attackalert: Host:
> > mcnxp008nmc.amer.csc.com/20.129.0.1 is already blocked Ignoring
> >=3D20
Merhaba,
Eski iki mesajinizdan bolumleri yukarida birlestirdim. UDP port 68 TFTP
tarafindan kullanilir; TFTP yetkilendirme gerceklestirmeden bir dosya
havuzuna erisim imkani sagladigindan "yanlis ayarlanmis, haddinden fazla
dosya sunan" TFTP sunuculari saldirganlar icin cennettir.
Ozellikle MS-Windows sunuculari uzerinde kurulu olan TFTP sunucusunun
sikca yanlis ayarlandigini gozlemliyoruz; bu nedenle gozlemlediginiz
durumun bir saldirganin yatayda IP adres bloklarini acik TFTP sunucular
icin taramasi oldugu fikrindeyim.
Bu TFTP/UDP paketleri, zaman anlaminda, periyodik bir halde midir? Orn.,
aralarinda hep 15dk mi vardir?
Ben TFTP/UDP gonderenin uzerine TFTP tarayicisi kurulmus bir bilgisayar
(truva atli ya da saldirgana ait) oldugu fikrimdeyim.
selamlar.
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------
![]()