INN からの異常なコネクト要 求
HOSAKA Eiichi
> Nov 18 07:25:01 kernel: IN=ppp0 OUT= MAC= SRC=*.*.*.* DST=*.*.*.* LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=60441 DF PROTO=TCP SPT=119 DPT=1080 WINDOW=57344 RES=0x00 ACK SYN URGP=0
> Nov 20 12:15:01 kernel: IN=ppp0 OUT= MAC= SRC=*.*.*.* DST=*.*.*.* LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=60320 DF PROTO=TCP SPT=119 DPT=1433 WINDOW=57344 RES=0x00 ACK SYN URGP=0
な、異常アクセスが在りました。サーバは
200 *.*.com InterNetNews NNRP server INN 2.2 21-Jan-1999 ready (posting ok).
でした。
でサポートに
> 次のようなクラッキングとも思
> われる異常なアクセスが在りました。該サーバが踏み台にされていたり該サーバ
> になりすましている何かが居る可能性が有るので、お知らせします。
(要はroot盗られてるかもよ)と知らせたら、
> つまり、ご連絡頂きましたログにつきましては、お客様から********
> ****のニュースサーバにアクセスしに行き、それに対しての応答パケッ
> トを、お客様のファイアウォールで通さない様になっているためログに
> 残っている様です。フィルターを書き換えて頂くか、************のニ
> ュースサーバにアクセスするのを止めて頂ければ、このログは残らない
> ようになるものと思われます。
てなお返事でした。
そこで識者が居れば伺いたいのですが、INNがポート119(nntp)からポート1080
(socks)や1433(ms-sql-s)へコネクトするようなことは、通常起こり得るのでし
ょうか?
fumis
>> Nov 18 07:25:01 kernel: IN=ppp0 OUT= MAC= SRC=*.*.*.* DST=*.*.*.* LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=60441 DF PROTO=TCP SPT=119 DPT=1080 WINDOW=57344 RES=0x00 ACK SYN URGP=0
>> Nov 20 12:15:01 kernel: IN=ppp0 OUT= MAC= SRC=*.*.*.* DST=*.*.*.* LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=60320 DF PROTO=TCP SPT=119 DPT=1433 WINDOW=57344 RES=0x00 ACK SYN URGP=0
>な、異常アクセスが在りました。サーバは
...
> そこで識者が居れば伺いたいのですが、INNがポート119(nntp)からポート1080
>(socks)や1433(ms-sql-s)へコネクトするようなことは、通常起こり得るのでし
>ょうか?
識者じゃないですが、SYN+ACKなので直前にSPT=1080,1433 DPT=119なるSYNが
飛んでれは、いたって普通なのでは。サポートさんの解説が「つまり」までに
あったんだと思いますが、きっと同じこと言ってそうな。
このフィルタのログはLinuxでしょうか。使ったことないですが、つい最近の
kernelまでephemeral portが1024-4999あたりだったんじゃないですか?
state-fullなパケットフィルタを使ったり、ephemeral portをまっとうなレン
ジに更生したげれば良いだけのことだと思います。後者はftpとかに影響出る
かもしれんですが。
- fumis