Portscans van webservers van Lycos en @Home? - Internet en hosting

dinsdag 11 april 2006 12:45

Acties:

Verwijderd

Topicstarter

Hi All,

De afgelopen paar dagen worden wij op een aantal van onze externe IP'tjes(vnl op 194.151.63.120 en 194.151.63.119 en 194.151.63.115) bestookt door portscans vanaf deze twee IP's:
213.51.129.38 en 212.78.204.20
Met een reverse lookup krijg ik respectievelijk de adressen van www.home.nl en http://www.tripod.lycos.co.uk/ terug.

Is het mogelijk dat deze niet van deze IP adressen afkomen(ik ben geen TCP/IP expert namelijk)? Voordat ik mijn beklag ga doen bij eerst @home en lycos?
Want ik zie alweer ellenlange mailtjes en problemen in de communicatie met @home.

Groetjes,

Bas

dinsdag 11 april 2006 12:51

Acties:

Punica-

Verwijderd schreef op dinsdag 11 april 2006 @ 12:45:
Hi All,

De afgelopen paar dagen worden wij op een aantal van onze externe IP'tjes(vnl op 194.151.63.120 en 194.151.63.119 en 194.151.63.115) bestookt door portscans vanaf deze twee IP's:
213.51.129.38 en 212.78.204.20
Met een reverse lookup krijg ik respectievelijk de adressen van www.home.nl en http://www.tripod.lycos.co.uk/ terug.

Is het mogelijk dat deze niet van deze IP adressen afkomen(ik ben geen TCP/IP expert namelijk)? Voordat ik mijn beklag ga doen bij eerst @home en lycos?
Want ik zie alweer ellenlange mailtjes en problemen in de communicatie met @home.

Groetjes,

Bas

HELP HELP HELP

Wat erg, portscans!

En het lijkt mij zeeronwaarschijnlijk dat de scans daadwerkelijk van die hosts zijn, maar portscans zijn aan de orde van de dag, wat zeg ik, aan de orde van de seconde en is helemaal NIETS om je druk over te maken, wat wel iets is om druk over te maken is dat je hier je publieke IP aan het posten bent, das een stuk minder slim.

dinsdag 11 april 2006 12:59

Acties:

roan

Punica- schreef op dinsdag 11 april 2006 @ 12:51:
[...]

HELP HELP HELP

Wat erg, portscans!

En het lijkt mij zeeronwaarschijnlijk dat de scans daadwerkelijk van die hosts zijn, maar portscans zijn aan de orde van de dag, wat zeg ik, aan de orde van de seconde en is helemaal NIETS om je druk over te maken, wat wel iets is om druk over te maken is dat je hier je publieke IP aan het posten bent, das een stuk minder slim.

HELP HELP HELP, wel een heel ip adres

Dat soort dingen vind je inderdaad nergens

dinsdag 11 april 2006 13:10

Acties:

Punica-

z03m schreef op dinsdag 11 april 2006 @ 12:59:
[...]

HELP HELP HELP, wel een heel ip adres Dat soort dingen vind je inderdaad nergens

Het is gewoon snuggerder om dat soort dingen niet publiek te posten, net als je emailadres, natuurlijk vind je die overal, maar zo nodigt 't wel onnodig uit als iemand kwaadwillend is.

Ga jij mij maar vertellen hoe ik anders aan zijn IP zou moeten komen ?

dinsdag 11 april 2006 13:10

Acties:

Verwijderd

Topicstarter

Punica- schreef op dinsdag 11 april 2006 @ 12:51:
[...]

HELP HELP HELP

Wat erg, portscans!

En het lijkt mij zeeronwaarschijnlijk dat de scans daadwerkelijk van die hosts zijn, maar portscans zijn aan de orde van de dag, wat zeg ik, aan de orde van de seconde en is helemaal NIETS om je druk over te maken, wat wel iets is om druk over te maken is dat je hier je publieke IP aan het posten bent, das een stuk minder slim.

Wat is er niet slim om mijn publieke IP adres te posten? Als je de DNS gegevens van mijn werkgever opvraagt, dan krijg je een hele reeks die aan ons is toegewezen. Daar is niets geheims aan.

Het gaat me er meer om dat @Home leuke beleiden heeft over portscans voor hun klanten, en dit lijkt van een webserver van hen af te komen.

dinsdag 11 april 2006 13:15

Acties:

klinz

weet van NIETS

Verwijderd schreef op dinsdag 11 april 2006 @ 12:45:
De afgelopen paar dagen worden wij op een aantal van onze externe IP'tjes(vnl op 194.151.63.120 en 194.151.63.119 en 194.151.63.115) bestookt door portscans vanaf deze twee IP's:
213.51.129.38 en 212.78.204.20

Op welke poort(en)?

dinsdag 11 april 2006 13:15

Acties:

axis

Eerst WEL TCP/IP expert worden, dan nog eens goed kijken, en indien nodig bij @home en lycos gaan miemelen..

Waarschijnlijk zijn het gewoon pakketjes die op de terugweg zijn naar je interne gebruikers achter een NAT-router, terwijl de router de sessie al heeft afgesloten?

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

dinsdag 11 april 2006 13:18

Acties:

Gonadan

Admin Beeld & Geluid, Harde Waren

Punica- schreef op dinsdag 11 april 2006 @ 13:10:
[...]
Ga jij mij maar vertellen hoe ik anders aan zijn IP zou moeten komen ?

offtopic:
vragen aan de t.net crew

Look for the signal in your life, not the noise.

Canon R6 | RF 24-70 f/2.8 L | 50 f/1.8 STM | 430EX II
Sigma 85 f/1.4 Art | 100-400 Contemporary
Zeiss Distagon 21 f/2.8

dinsdag 11 april 2006 13:43

Acties:

Verwijderd

Topicstarter

axis schreef op dinsdag 11 april 2006 @ 13:15:
Eerst WEL TCP/IP expert worden, dan nog eens goed kijken, en indien nodig bij @home en lycos gaan miemelen..

Waarschijnlijk zijn het gewoon pakketjes die op de terugweg zijn naar je interne gebruikers achter een NAT-router, terwijl de router de sessie al heeft afgesloten?

Nee, deze server NAT niet, maar fwd-proxiet alleen op prt 80 en 443. Het is een windows testproxy.
De routering geschiedt via een Bordermanager bak.

@klinz even een aantal poorten eruit gepakt uit verschillende mailtjes van de portscan alert:
1142, 1150, 1414, 65473, 65227, 65236, 65244, 65504, 65253, 65254,
27258, 27260, 27261, 27275, 27280, 27288, 27292, 27300, 27305, 27309,
29700, 29702, 29733, 29737, 29738, 29740, 29775, 29662, 29666, 29667, 40706, 40713, 40749, 40786, 40808, 40811, 40638, 40645, 40664, 40666
maar op veel meer, ook lagere poorten.

dinsdag 11 april 2006 13:51

Acties:

M.I.G.

[like an alien]

Even zo kris kras gegoogled en kan het niet zijn dat er getracht wordt om een gameserver op te komen oid? 27300 lijkt op Halflife etc?