port scan

sto subendo un maledetto port scan
mi capita di tanto in tanto, ma oggi e' un ip che sta scannando una volta ogni minuto sempre le stesse porte
l'ip e' 62.98.244.51 e, stando al ripe, appartiene alla rete wind (con cui tra la'ltro sono collegato), tuttavia non riesco a farne un traceroute
mi scanna sempre le porte 80, 1025, 2745, 3127 e 6129 in ordine variabile (di queste conosco solo la 80 che e' http, le altre sono di qualche servizio particolare?)
ho pensato a un utente della mia stessa subnet (infatti il mio ip attuale e' 62.98.244.16, lo scrivo perche' tanto ora disconnetto e la prx volta sara' diverso OLD) con un worm (e' il termine giusto?), pero' e' stupido sto cavolo di virus a scannare sempre le stesse porte sempre a me? :?????:

[mgs]

sicuramente stanno scannando su dei range... non penso ci sia da preoccuparsi....

no preoccuparmi no, pero' mi da' fastidio
quel maledetto ip mi ha scannato le stesse porte una ventina di volte di seguito, poi mi sono disconnesso e quando un'ora dopo mi sono ricollegato con tiscali (ip completamente diverso a parte il 62 iniziale) ha continuato lo scan
bah che roba :?????:

[mgs]

se uno scanna su un range te anche se lo cambi ci puoi passare comunque.... in quanto quando cambi IP non cabmia tutto.... ma solo l'utlima o le ultime due serie.

nattagli tutte le richieste tcp verso il sito di microsoft :P

Non trascurare la possibilità che si possa trattare di qualche worm recente.
Come noto, worm del tipo Sasser, Buggle, Netsky, non utilizzano più la posta elettronica come mezzo di diffuzione, ma si diffondono tramite la connessione in rete, per cui una volta infettata una nuova vittima, iniziamo tramite la sua macchina, a cercare casualmente altri PC vulnerabili.
Anch'io ho passato un periodo in cui mi arrivavano almeno una 30ina di segnalazioni di port scan al gg; questo fino a quando utilizzavo ancora l'inutile windows).
Il fenomeno, almeno per quanto mi riguarda è terminato, altrettanto silenziosamente come aveva iniziato.
Successivamente ho preso la brillante decisione di passare definitivamente al pinguino.

ciò che sto per scrivere è vero.
un giorno per un'ora ho avuto attacchi con frequenza di 5-10 attacchi al secondo.
in tutto più o meno 21.300 attacchi in un'ora!!!

La cosa più legale è fare un whoise sull'ip mittente, segnarsi l'email dell'amministratore e denunciargli tutto l'accaduto. Il 40% delle volte l'amministratore sorvola su segnalazioni del genere, ma ultimamente stanno iniziando a rigare dritto e far rispettare le regole.

[loading]

Al 99% è qualche computer infetto che, all'oscuro dell'utente, va a rompere in giro per la rete...

La cosa più legale è fare un whoise sull'ip mittente, segnarsi l'email dell'amministratore e denunciargli tutto l'accaduto. Il 40% delle volte l'amministratore sorvola su segnalazioni del genere, ma ultimamente stanno iniziando a rigare dritto e far rispettare le regole.

Tutto chiaro....

ma non so perché ci sono alcuni ip (sempre uguali) ad esempio un 80......... che ce l'hanno contro di me.

mi scanna sempre le porte 80, 1025, 2745, 3127 e 6129 in ordine variabile (di queste conosco solo la 80 che e' http, le altre sono di qualche servizio particolare?)

1025
nome: blackjack
Servizio: network blackjack
Trojan conosciuti: Fraggle Rock, md5 Backdoor, NetSpy, Remote Storm

2745
nome: urbisnet
Servizio: URBISNET
Trojan conosciuti: Bagle, Beagle, Tanx

3127
nome: ctx-bridge
Servizio: CTX Bridge Port
Trojan conosciuti: MyDoom

6129
- non trovata -

Le presenti informazioni sono state prese dal sito: http://lists.gpick.com/portlist/portlist.htm
che e' ottimo nel caso cerchiate spiegazioni su qualche porta.

Rommel, quello che conta e' l'intero indirizzo IP, non un pezzo.
Ad esempio: 130.251.xxx.xxx e' l'universita' di genova (se ricordo bene), dire che un 80 ce l'ha con te non vuol dire molto.

Quando ti connetti se hai un IP dinamico cambia l'ultimo terzetto, mentre il resto rimane uguale perche' identifica il tuo provider e la tua zona.
Se invece hai un ip statico il tuo indirizzo e' sempre lo stesso.

grazie per la lista delle porte, molto utile :grin:. quindi in pratica lo str cercava di mettersi in contatto con qualche backdoor... ahahaha
la parte divertente e' che questo *attacco* mi veniva da un ip della mia stessa subnet (cioe' quella wind: addirittura cambiava solo l'ultimo ottetto, quindi probabilmente era uno vicino a me, anche se non riuscivo a fare alcun trace route) e fin qui tutto normale, ma poi mi son ricollegato dopo un'ora con tiscali e un ip completamente diverso tranne il 62 (che identifica l'italia immagino?) e quello ha ripreso a provare, praticamente sto worm mi si era affezionato...

[ot]cod, ma chi era Bob Bemer?[/ot]

[ot]cod, ma chi era Bob Bemer?[/ot]

http://forum.altervista.org/showthread.php?t=21124

Uno dei padri di questo strumento di perdizione che usiamo quotidianamente.

[mgs]

ma la 1025 e' aperta di defaiul su WinXp...

ls 5000 si sa cosa e'?

5000
commplex-main
Back Door Setup, BioNet Lite, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie, Kibuv

Dai un'occhiata al sito che ho linkato nel post sopra, ha una lista completa di porte

http://forum.altervista.org/showthread.php?t=21124

Uno dei padri di questo strumento di perdizione che usiamo quotidianamente.

ah grazie
ricordo di averlo anche visto quel thread, ma poi ho dimenticato di leggerlo, mi capita ogni tanto di perdere qualche post