Portál AbcLinuxu, 2. června 2024 14:53


Dotaz: Abuse - Stroj se pokoušel o nějakou formu aktivního skenování

21.11.2022 09:56 rad
Abuse - Stroj se pokoušel o nějakou formu aktivního skenování
Přečteno: 1700×
Odpovědět | Admin
Přišla mi výtka týkající se síťového provozu, viz log.

Dokázal by v tom někdo rozklíčovat o co jde, resp. co je špatně?

Ta událost je tam jenom jeda (což mi nepřijde moc), ale možná se pod tím skrývá víc 'pod-událostí'.

Dík 
[
   {
     "Category": ["Recon.Scanning"],
     "CeaseTime": "2022-11-07T14:57:52Z",
     "CreateTime": "2022-11-07T14:59:46Z",
     "Description": "Vertical scan using TCP SYN",
     "DetectTime": "2022-11-07T14:57:52Z",
     "EventTime": "2022-11-07T08:36:43Z",
     "FlowCount": 50,
     "Format": "IDEA0",
     "ID": "ce7f9e84-e216-4ac9-a3ef-4225ce5a4b1c",
     "Node": [
       {
         "Name": "cz.cesnet.collector_nemea.filer",
         "Type": ["Relay"]
       },
       {
         "AggrWin": "00:05:00",
         "Name": "cz.cesnet.nemea.vportscan",
         "SW": [
           "Nemea",
           "vportscan_detector"
         ],
         "Type": [
           "Flow",
           "Statistical"
         ]
       }
     ],
     "Source": [
       {
         "IP4": ["XXX.XXX.XXX.XXX"],
         "Proto": ["tcp"]
       }
     ],
     "Target": [
       {
         "IP4": ["YYY.YYY.YYY.YYY"],
         "Proto": ["tcp"]
       }
     ],
     "_Mentat": {
       "EventClass": "recon-scanning",
       "EventSeverity": "low",
       "ResolvedAbuses": ["abuse@ZZZ.cz"],
       "SourceResolvedASN": [2852],
       "SourceResolvedCountry": ["CZ"],
       "StorageTime": "2022-11-07T14:59:52.870172Z"
     }
   }
]
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

21.11.2022 09:58 rad
Rozbalit Rozbalit vše Re: Abuse - Stroj se pokoušel o nějakou formu aktivního skenování
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mimochodem, ta cílová adresa je v Mexiku, což mi teda trošku podezřelé pravda připadá...
21.11.2022 10:56 fpt
Rozbalit Rozbalit vše Re: Abuse - Stroj se pokoušel o nějakou formu aktivního skenování
Odpovědět | | Sbalit | Link | Blokovat | Admin
Není možné, že by někdo z tvé sítě zkoušel nmap? Robot na druhé straně pak poslal stížnost, kterou ti další robot přeposlal. Od koho vlastně přišla ta stížnost?
21.11.2022 12:21 rad
Rozbalit Rozbalit vše Re: Abuse - Stroj se pokoušel o nějakou formu aktivního skenování
V té síti je jen jeden počítač, můj (zdrojová adresa je router, za ním NAT s mým PC). A moc nevěřím, že by byl nějak kompromitovaný (ačkoli ta mexická cílová adresa trochu podezřelá je). A nebo to byl sám router (Mikrotik), ale tomu věřím ještě méně. Spíš mi to připadá, jestli tam nějaká víceméně legální činnost netrignula toho robota. Posílal to správce naší sítě, ale odkud to má nevím.
Max avatar 21.11.2022 12:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Abuse - Stroj se pokoušel o nějakou formu aktivního skenování
Odpovědět | | Sbalit | Link | Blokovat | Admin
IDEA0 format definition, FlowCount.

Každopádně vertikální scan znamená skenování portů u jedné IP. Source ipv4 tedy skenoval target ipv4. Pokud máš špatně nastaven firewall, je možné podobný záchyt udělat u skenované stanice. Tj. útočník zahájí útok a cíl odpovídá a tato odpověď je pak IDS detekována jako scan.
Buď jsi tedy skenoval, nebo máš špatně nastavený firewall (pokud jedeš přes Mikrotik, tak fw na Mikrotiku).
Zdar Max
Měl jsem sen ... :(

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.