Toon posts:

[RHEL4] UDP floods / attack traffic op poort 53 ?

Pagina: 1
Acties:
  • 416 views sinds 30-01-2008
  • Reageer

dinsdag 31 januari 2006 00:35

Acties:
  • BoXie
  • Registratie: Juni 2001
  • Laatst online: 30-03-2023

BoXie

Topicstarter
Hallo,

Als hostingprovider heb ik wat servers in een datacenter te beheren.

Ik merk op dat ik momenteel een heel hoop UDP packets op poort 53 binnenkrijg van een stel vage hosts:

phuked.da.system.controlshells.net - 208.53.144.66

en overige in datzelfde netblock.

Wat is hier gaande ? Iemand een idee ?

Als ik met 'iptraf' kijk .. dan zie ik gewoon continue verkeer van die hosts op mijn poort 53 / UDP .. Wat valt hier te halen (naast normale DNS uiteraard) ???

dinsdag 31 januari 2006 21:33

Acties:
  • ge-flopt
  • Registratie: Februari 2001
  • Nu online

ge-flopt

Hmm poort 53 is eigenlijk de poort waar dns requests op binnen komen. (http://www.linklogger.com/TCP53.htm) Als het geen dns servers zijn zou ik voor het inkomende verkeer die poorten dicht timmeren.

Ik kan wat oude exploits terug vinden (google: "port 53" attack) maar het zou ook het volgende kunnen zijn: http://securityresponse.s...nc/data/w32.dasher.d.html

woensdag 1 februari 2006 00:30

Acties:
  • BoXie
  • Registratie: Juni 2001
  • Laatst online: 30-03-2023

BoXie

Topicstarter
Oooooooooooooooooh maar das alleen gevaarlijk op Windows servers zo te zien .... Daar maak ik me totaaaaaaaaal niet druk om hehe .

Bedankt !

[ Voor 4% gewijzigd door BoXie op 01-02-2006 00:30 ]

woensdag 1 februari 2006 01:25

Acties:
  • MadMurdock
  • Registratie: Oktober 2000
  • Niet online

MadMurdock

Ik weet niet over hoeveel verkeer je t hebt, maar het zou ook nog wel eens een (kleine) DDoS (reflector) attack kunnen zijn. Met als reflector dan dns servers. Iets dergelijks is een paar jaar geleden ook gebeurd en heeft toen grote sites als yahoo/amazon neergehaald.
http://www.internetnews.com/dev-news/article.php/1486981 &
http://en.wikipedia.org/wiki/2002_DNS_Backbone_DDoS

woensdag 1 februari 2006 08:03

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 11:42

IceM

Het is in iedergeval geen windows virus, omdat phuked.da.system.controlshells.net een linux server is, dat valt dus al af. (putty naar phuked.da.system.controlshells.net ...)

...

woensdag 1 februari 2006 08:13

Acties:
  • JeRa
  • Registratie: Juni 2003
  • Laatst online: 30-04-2025

JeRa

IceM schreef op woensdag 01 februari 2006 @ 08:03:
Het is in iedergeval geen windows virus, omdat phuked.da.system.controlshells.net een linux server is, dat valt dus al af. (putty naar phuked.da.system.controlshells.net ...)
Linux servers kunnen geen Windows-virii verspreiden of gebruik maken van lekken in andere besturingssystemen? :?

[ Voor 8% gewijzigd door JeRa op 01-02-2006 08:13 ]

woensdag 1 februari 2006 13:30

Acties:
  • BoXie
  • Registratie: Juni 2001
  • Laatst online: 30-03-2023

BoXie

Topicstarter
Ok .. het is in ieder geval over .. het heeft een uurtje geduurd. Maar dat is lang genoeg voor mij om me druk te maken of vraagtekens te stellen. Maar omdat het nu voorbij is besteed ik er maar geen tijd meer aan. In ieder geval bedankt voor de input !

vrijdag 31 maart 2006 09:40

Acties:

Verwijderd

Misschien zou het een DNS ddos kunnen zijn.
Een aantal bots zenden dns requests uit naar dns servers en in dat request spoofen ze jou ip alszijnde aanvrager en die dns servers geven jou server dus allemaal antwoord.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq