[ТЕМА ЗАКРЫТА]
13.04.2007 16:49
mowgly77
 
Олег, у тебя там на серваке никто не завелся? *01
идет постоянный сканинг моего хоста, когда на форум захожу...
13.04.2007 17:10
OlegON
 
Сервак не мой, хостерский. Что сканят?
13.04.2007 17:18
mowgly77
 
Details: protocol: TCP, source: 83.97.109.7, destination: хх.хх.хх.хх, ports: 1028, 1067, 1069, 1071, 1084, 1085, 1086, 4949, 4950, 4954, ...
и все в таком роде... :(
13.04.2007 18:58
bob
 
Ага. И у нас тоже самое. Winroute обнаруживает сканирование портов с этого адреса (olegon.ru). Началось с 8 апреля.
13.04.2007 19:40
OlegON
 
Сейчас будем выяснять... Не похоже, что кто-то поломал. Я исходники регулярно проверчиваю.
13.04.2007 22:12
Kryukov
 
Цитата:
olegon Сейчас будем выяснять... Не похоже, что кто-то поломал. Я исходники регулярно проверчиваю.
Предлогаю выяснить от куда ноги ростут, тусть IP дадут.
25.04.2007 09:44
mowgly77
 
Реально заколебало постоянно сканит...
25.04.2007 10:16
OlegON
 
Почему-то кажется, что это стенка лажает... Уж сейчас-то все переделано, а зачем самому хостеру что-то сканить - не понятно, никаких ресурсов не хватит. Закрой порты и брось переживать по этому поводу. Мой домашний комп постоянно кто-то трогает по разным портам, что переживаешь, пионеров в сети много...
25.04.2007 11:27
mowgly77
 
просто у меня отчеты валяться каждый раз, я сегодня получил 50 сообщений что меня сканируют :)
порты понятно закрыты :)
25.04.2007 11:59
OlegON
 
50? Счастливый, у меня сотни сканирования... Пусть перебирают, тебе-то что? Поставь вроде centry что-нибудь, чтобы отстреливала при переборе портов... Не будь параноиком...
17.03.2009 09:57
OlegON
 
У кого какие-то детали дополнительные появились?
17.03.2009 10:08
Dim
 
нас не сканит больше
17.03.2009 13:19
Kryukov
 
У кого возникают проблемы пишите по подробней что ко то когда чем обноружено и тд. если не тут то в личку. сложно разбираться с "меня сканят !!!"
17.03.2009 13:19
OlegON
 
Предлагаю писать именно тут, чтобы картина общая рисовалась...
Кстати, тем, кого стабильно сканят, предлагаю посетить
gkdizel.ru
taii.ru
находящиеся на этом же хостинге...
17.03.2009 13:27
OlegON
 
Ответ техподдержки:
Цитата:
Доброго времени суток !
Это не скан портов. это кто-то зашел на сайт, и наш сервер пытается отдать
контент по этим верхним портам. Настройте ваш firewall нормально, чтобы на
подобное не ругался.
17.03.2009 14:02
twix
 
сервер пытается отдать? О_о
я всегда думал, что клиент забирает, а не сервер отдает
17.03.2009 14:59
OlegON
 
На низком уровне это выглядит, как путешествие пакетов... От сервера в сторону клиента...
17.03.2009 15:22
twix
 
Цитата:
OlegON На низком уровне это выглядит, как путешествие пакетов... От сервера в сторону клиента...
пакеты-то путешествуют, но по потокам, установленным от клиента к серверу. а вот зачем он пытается соедиение от себя к клиенту установить - непонятно
17.03.2009 15:49
OlegON
 
А кто сказал, что это соединения?
17.03.2009 16:01
twix
 
Цитата:
OlegON А кто сказал, что это соединения?
фаер станет ругаться только на попытки открыть соединение по неразрешенным портам.
в случае же, когда клиент, например, установил HTTP-соединение, то и получать данные (читай - пакеты) он будет по этому же соединению, и фаер на него ругаться не станет
17.03.2009 16:27
Kryukov
 
Цитата:
twix пакеты-то путешествуют, но по потокам, установленным от клиента к серверу. а вот зачем он пытается соедиение от себя к клиенту установить - непонятно
что и куда к вам пытается соединиться, ну поконкретней, в какой момент и тд. дайте информацию ....
17.03.2009 17:10
twix
 
Цитата:
Kryukov что и куда к вам пытается соединиться, ну поконкретней, в какой момент и тд. дайте информацию ....
сейчас к нам никто не пытается законнектиться. это было несколько месяцев назад
17.03.2009 17:41
OlegON
 
Цитата:
twix в случае же, когда клиент, например, установил HTTP-соединение, то и получать данные (читай - пакеты) он будет по этому же соединению, и фаер на него ругаться не станет
Это терминология для попсовых фаеров. Непопсовые разделяют не соединения, а пакеты. Входящие и выходящие. Которые в свою очередь делятся на SYN и ASK, например, для TCP.
17.03.2009 20:35
twix
 
Цитата:
OlegON Это терминология для попсовых фаеров. Непопсовые разделяют не соединения, а пакеты. Входящие и выходящие. Которые в свою очередь делятся на SYN и ASK, например, для TCP.
iptables тоже считается попсовым? О_о
18.03.2009 06:50
OlegON
 
Цитата:
twix iptables тоже считается попсовым? О_о
Хм, что-то я не припомню, где там соединения... ;)
Цитата:
$IPTABLES -A INPUT -i $INET -p tcp --dport 445 -j REJECT
18.03.2009 08:51
twix
 
Цитата:
OlegON Хм, что-то я не припомню, где там соединения... ;)
дык оно и есть. насколько я понимаю, иптаблес отсеивает попытки новых соединений, а не пакеты. имхо, пакеты ходят по уже установленным соединениям между сокетами на компах, и никак не могут "выпасть" из этого канала, чтобы попытаться попасть на другой порт.
хотя, конечно, иптаблес можно настроить с дотошной детальностью.
Цитата:
$IPTABLES -A INPUT -i $INET -p tcp --dport 445 -j REJECT
INPUT и OUTPUT, насколько мне известно, всего лишь задает направление фильтрации
18.03.2009 09:09
OlegON
 
Не так... Если я запущу это правило, то все установленные соединения отвалятся, потому, что пакеты будут натыкаться на стенку с момента установления правила. Для поддержки определения "соединения" можно использовать --tcp-flags или --state, но все равно надо будет указать, в каком направлении пакеты идут. В этом и суть непопсовости iptables. Что правила достаточно подробные.
18.03.2009 09:18
twix
 
Цитата:
OlegON Не так... Если я запущу это правило, то все установленные соединения отвалятся, потому, что пакеты будут натыкаться на стенку с момента установления правила. Для поддержки определения "соединения" можно использовать --tcp-flags или --state, но все равно надо будет указать, в каком направлении пакеты идут. В этом и суть непопсовости iptables. Что правила достаточно подробные.
согласен.
однако повторюсь: пакеты не ходят без установленного соединения. т.е., возвращаясь к теме, сначала надо создать соединение, которое, попадая под это правило, будет отпинываться, и, при добавлении строчки с "-j LOG", будет еще и в лог попадать. и в этом случае ответ "Сервер пытается отдать данные" меня как-то не устраивает. разговор шел именно про сканинг, а не получение данных от сервера к клиенту по уже установленным соединениям. в логе у нас, кстати, сейчас нет записей с SRC=78.110.50.106

да. добавлю, что пакеты не могут "выпадать" из уже установленного соединения, "падая" на рандомные порты клиентской машины вне зависимости от их направления.
18.03.2009 11:32
OlegON
 
Ошибаешься, пакеты ходят и без установленного соединения. Именно в этом преимущество фильтров по пакетам, а не по соединениям.


Опции темы


Часовой пояс GMT +3, время: 04:28.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.