[ala]

Ruuterisse sissetungimise raport porti 11004? Pigem pordist 11004 teistesse portidesse scan.

Tegemist ADSL Kodutöö modemi taga oleva ruuteriga, mis saadab viimastel päevadel kole palju sissetungimisraporteid mulle e-mailile.

Kuidas seda mõista, kas mõni väsimatu scannib 24h minu porte?
Tavaliselt on normaalne, et nädalas paar kolm korda üritatakse porte proovida aga nii järjekindlalt mitmeid kordi minutis juba kolmandat päeva!
Mida ette võtta?

Näide raportist:

Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information
Time: 08/21/2005, 19:16:04
Message: LAND
Source: 80.235.107.200, 2986
Destination:80.235.107.200, 11004 (from PPPoE Inbound)
Visit the UXN Combat Spam web site to get more detailed information about the intruder - http://combat.uxn.com/
1. Type the intruder's IP address into the IP WHOIS search engine
2. Click the Query Button
3. Detailed network and administration information will be displayed


Lisan ka lingi ruuteri logifailile u 1,6MB *.txt http://ala.pri.ee/logi/logi200805.txt

[Silver?!]

Aga mis selles imelikku on?

kuigi ma ei saa sellest kirjast eriti aru?
>Your router Alert Information
>Time: 08/21/2005, 19:16:04
>Message: LAND -
mis see tähendab?
>Source: 80.235.107.200, 2986
>Destination:80.235.107.200, 11004 (from PPPoE Inbound)
emm.... mis asjad nagu need on? ja miks on source (ma oletan et sealt hostist ja ja pordist midagi tuleb) sama kui destination?

Äkki ikka täpsustad millise koduse netijagamispurgiga on tegemist?

[ala]

modem nokia ühe pordiga,
Router SMC 7004ABR 4 pordiga,
80.235.107.200 on minu staatiline ip,
et Source: 80.235.107.200, 2986 ja Destination:80.235.107.200, 11004 on samalt ip-lt see on veel läbi närimata (äkki ip petmine)?

[Silver?!]

No vot, siis ei ole vaja iseennast äkkida!

kui sul seal pordis mingit teenust ei ole ning tulemüür üritaja nii kui nii üritaja pikalt saadab, ei ole paanikaks mingit põhjust.

ma isiklikult ei viitsi isegi kodus sellist jama enam logidagi, tüütuks muutub.

[Dirty Harry]

Endal oli Linksysi BEFW11S4 ruuteriga ka algul nii, et vaatasin tootja enda utiliidiga, kes, kus ja millal aeg-ajalt porte jms katsumas/kontrollimas käis. Veel sai tulemüüri logisid jälgitud + kõikvõimalikud alertid peale keeratud. Loobusin sellest ruttu kuna muutis paranoialiseks. Kogu aeg käis keegi "ukselinki katsumas" muide. Ise-enesest on hea asjadel silma peal hoida, ise olen sellest loobunud kuna kasutatavad teenused on tehtud enda oskuste piires nii turvaliseks kui viitsimist on ning seni pole midagi maha murtud. Samas eks esimese rehani on kõik muretud...

[ala]

Eks peab harjuma sellega, et ukselinki 24h logistatakse, vast raamidelt maha ei kuku:)
Teine asi kuidas seda mõista, et samad ip-d>Source: 80.235.107.200, 2986 >Destination:80.235.107.200, 11004 (from PPPoE Inbound)

EDIT: See et sama ip, tundub mulle et sisevõrgust saadab keegi päringuid välja ja läbi ISP (dns) serveri tulevad need mulle tagasi, seega sisevõrgu arvutis äkki viirus või uss.

Tänaseks on selge, et tasub ikkagi logil silm peal hoida, saab teada ka sisevõrgu nakatunud masinatest ja õigeaegselt käsi vahele panna.

[iz3]

On tal üldse sisevõrk?
See tundub rohkem nahu ip-petmine vms.

[ala]

See teema on vastuse saanud: oli tegemist sisevõrgu masinas oleva viiruse/ussiga, mis scannis porte.