CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede fastwrite Nybegynder
27. marts 2003 - 01:35 Der er 17 kommentarer og
2 løsninger

er der mange port 445 scanninger her til aften?

Hej alle.

Jeg har installeret en Zyxel Zywall1 hos en kunde i dag, og jeg har sat den til at sende mig en e-mail hvis der sker en attack på maskinen.

Nu har jeg foreløbig modtaget ca. 3000 mails, og med ca. 200 mails i minuttet vil jeg om 7 timer have modtaget 84.000 mails! (stakkels min outlook)

Hvis jeg bare tager en tilfældig log, ser den sådan ud:

No. Time      Packet Information                      Reason          Action
  1|Mar 27 03 |From:192.168.1.35    To:202.63.47.34    |match          |forward
  | 00:32:02 |TCP    src port:35752 dest port:00445  |<1,01>          |     
End of Firewall Log

jeg har fundet ud af at ip'erne kommer fra Italien, af dem jeg har undersøgt på www.ripe.net - men ER det et DoS angreb? De angriber jo port 445! Jeg har disabled NEtbios på maskinen.

Hvad tror I at det er ?
Avatar billede aovergaard Nybegynder
27. marts 2003 - 02:05 #1
Jeg er ikke blevet angrebet, men har også blokeret netop den port i Firewallen. Og ja jeg siger også stakkels dit Outlook, det er da for vildt.
Avatar billede fastwrite Nybegynder
27. marts 2003 - 02:11 #2
indtil videre har jeg modtaget lidt over 6000 e-mails.. for vanvittigt...
Avatar billede fastwrite Nybegynder
27. marts 2003 - 02:16 #3
Der må da være et eller andet galt med den hardware firewall - siden den bliver ved med at sende så mange mails ud.. jeg er nu oppe på næsten 7000 - og der er kun gået et par minutter.. uhyggeligt..
Avatar billede serverservice Praktikant
27. marts 2003 - 09:27 #4
Skulle du ikke lukke nogle porte på den firwall?
Avatar billede fastwrite Nybegynder
27. marts 2003 - 09:42 #5
Det skulle de gerne være - eller er det noget jeg har gjort helt galt!?
Avatar billede serverservice Praktikant
27. marts 2003 - 09:47 #6
Det er der nok så -:)
Avatar billede aovergaard Nybegynder
27. marts 2003 - 11:01 #7
Du må godt nok hellere lige se at få lukket den port. Jeg tør næsten ikke spørge dig om hvor mange mails du har fået nu.
Avatar billede langbein Nybegynder
27. marts 2003 - 13:57 #8
Nei, det ser vel ut til å være omvendt.

For det første så er det vel trossa alt ikke så galt at den sender en mail for hver enkelt godkjent ip pakke. Da ble det vel ennå mere trafikk !

Det som rapporteres pr mail det må vel ellers være i de tilfeller at firewall allerede er lukket for den aktuelle port slik at den sperrer trafikken og rapporterer dette.
Avatar billede langbein Nybegynder
27. marts 2003 - 13:59 #9
Trafikken ser heller ikke ut til å være satt opp utenfra og inn men der i mot innefra og ut, altså et forsøk på å kople seg opp fra Danmark til Italia, ikke omvendt vel. TRafikken produseres altså på en av de lokale maskiner og firewall er stengt for trafikk ut på denne port og dette rapporteres så via e-mail.
Avatar billede langbein Nybegynder
27. marts 2003 - 14:01 #10
From:192.168.1.35 Hvilket er en lokal adresse. Hvorfor forsøker lokal ip 192.168.1.35 å sette opp trafikk på port 445 til Italia. Bør sjekkes.
Avatar billede langbein Nybegynder
27. marts 2003 - 14:03 #11
Det er ellers forholdsvis vanlig at mange hardwarefirewalls levers med default konfigurering full åpning ut. Dette ser ellers ikke ut til å være tilfellet her. Den fanger port 445 ut og raporterer dette. Mår det gjelder innebygget firewall på win 2000/xp så har man jo ingen filtrering av trafikk ut i det hele tatt.
Avatar billede langbein Nybegynder
27. marts 2003 - 14:05 #12
For å få vekk meldingene så må du enten åpne for port 445 ut eller få vekk den prosessen som forsøker å sette opp denne komunikasjonen på lokal maskin 192.168.1.35.
Avatar billede langbein Nybegynder
27. marts 2003 - 14:11 #13
http://ntsecurity.nu/papers/port445/
Avatar billede langbein Nybegynder
28. marts 2003 - 02:28 #14
Finner du ut noe ? Er det riktig at feilen skyldes trafikk ut fra lan ?
Avatar billede langbein Nybegynder
28. marts 2003 - 10:06 #15
En annen mulig bruker av port 445 er MS SQL server.
Hos meg så kommer det fram at ip 202.63.47.34 hører hjemme i Milton Australia.
Det virker vel ikke rimelig at en arbeidsstasjon på lan skal forsøke å sette opp en fileserver eller database server forbindelse til Australia ??
Mon kke feilen ligger hos lokal ip 192.168.1.35 altså en eller annen merkelig prosess som bør stenges ned.

Dette var da både en interesaant og en spennende problemstilling. Håper du legger ut et par ord når du begynner å finne litt ut om tingene !!
Avatar billede langbein Nybegynder
28. marts 2003 - 22:56 #16
Det som skjer inne på lan ip 192.168.1.35 og som eventuelt produserer varssler, det kan ikke ha noe med dette å gjøre:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=18547 ??

Venter spent på en kommentar eller tilbakemelding ettersom problemstillingen jo er ganske spennede. (I hvert fall for den som ikke har det som problem ..)
Avatar billede aovergaard Nybegynder
28. marts 2003 - 23:53 #17
fastwrite-> Vi har ikke hørt fra dig i snart 24 tim. Nogle forsøger at hjælpe dig, især langbein - det mindste du kan gøre er da at svare tilbage, eller er mailprg. gået helt ned efter alle de mail du har modtaget, så du ikke kan se der ligger en del svar til dig.????????
Avatar billede langbein Nybegynder
31. marts 2003 - 01:06 #18
Det er sikker anderledes å ha dette som en interesant teoretisk utfordring kontra å ha det som et problem ute hos en kunde -- men .. Hvordan går det ??
Avatar billede fastwrite Nybegynder
11. april 2003 - 01:26 #19
Langbein - tak for dine mange fine kommentarer. Jeg beklager at jeg ikke har svaret i lang tid. Jeg har været optaget af MANGE ting.

JEg fandt ud af hvad problemet MÅSKE kunne være.. Der kørte en del processorer på en PC på netværket, som absolut ikke skulle køre. Det var bl.a. Ad Aware der fandt frem til nogle af dem. Men om det kun har været dét tror jeg nu ikke..

Du får flest af pointene.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 16:08 Klokkeslæt vises om decimal Af Organist Vildbjerg i Excel
I dag 15:01 Optage macro med CTRL+SHIFT funktioner Af golferscaddie i Excel
I går 09:22 Opret Windows 11 som lokalkonto Af Uvanga i Windows
04/0821:02 Google my maps Af 1Dorte i Andet software
04/0820:30 Fortnite PS5 Af Sshansen i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
Crowdstrike skyder hårdt tilbage på flyselskab: I forværrede selv nedbruddet
Læs mere »
På trods af tæt partnerskab: Microsoft opfatter OpenAI som en konkurrent
Stephen Alstrup stiftede for syv år siden Supwiz med tårnhøje ambitioner, og nu har han solgt selskabet til en norsk koncern: “Et utal af gange er jeg gået grædende i seng om aftenen”
Angreb på billetsystemer, stadionlys og doping-kontrol: Se listen over it-kriminelles anslag mod OL siden 2008
Se alle »
Computerworld
Teaser billede
Guide til det perfekte trådløse netværk: Wi-fi til 'prepper'-typer
Læs mere »
Mercedes’ nye generation af selvkørende biler får det grønne lys: Kan slippes løs på vejene
Første test: Denne helt nye wunder-CPU vil du have i din næste laptop
Guide: Her er de tre veje til det perfekte trådløse netværk - få 'wi-fi to stay'
Se alle »
CIO
Teaser billede
Din Azure-konto kan blive misbrugt til kryptomining - helt uskyldige virksomheder ender med kæmpe-elregning
Læs mere »
Hos den danske industrigigant Topsoe bruger 80 procent af de ansatte nu AI
Den danske it-kæmpe Atea skifter 1.200 enheder fra Windows 10 til 11: Vil spare tusindvis af arbejdstimer
Stor aftale gør Microsofts datacentre hurtigere - investerer i netværksudstyr
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Sådan: Sikker, hurtig og fleksibel storage til dine kritiske data
Opdag fordelene ved cloud-baseret backup og recovery
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »