Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

portscan attack poort 1521-26

Pagina: 1
Acties:

maandag 17 november 2008 11:19

Acties:
  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11 11:43

Marlibica

Tijd voor een ondertitel.

Topicstarter
Dit weekend is één van onze servers het slachtoffer geworden van óf een virus, óf een inbraak (ik denk het laatste). Er werd vanaf deze server naar verschillende ip-adressen (het loopt chronologisch op) een portscan gedaan naar poort 1521 t/m 1526. Deze poorten behoren tot:

1521/TCP nCube License Manager
1521/TCP Oracle database default listener, in future releases
1524/TCP,UDP ingreslock, ingres
1526/TCP Oracle database common alternative for listener

Verder kan ik er niet veel over vinden, ik sta dus voor een raadsel. Ik heb hem offline gehaald en er draaien nu diverse scans, maar er komt nog niet veel uit.

Heeft iemand dit eerder bij de hand gehad?

Whoops.. :X verdere info (sorry Saturnus :) )
OS W2k3 standard 64bits
Firewall / router Draytek 2910

[ Voor 8% gewijzigd door Marlibica op 17-11-2008 11:36 ]

Sign here against sigs

maandag 17 november 2008 11:33

Acties:
  • Saturnus
  • Registratie: Februari 2005
  • Niet online

Saturnus

Vermelding van OS en firewall setup enz. is zeker handig.

maandag 17 november 2008 12:14

Acties:
  • chromeeh
  • Registratie: Oktober 2001
  • Laatst online: 28-11 13:59

chromeeh

the Gnome

Marlibica schreef op maandag 17 november 2008 @ 11:19:

Firewall / router Draytek 2910
Heb je ook de syslog util draaien van Draytek?
Hier mee krijg je een aardige indicatie wat er op de firewall gebeurd.
Let wel dat je bij een attack vaak ook de aanzet ziet (vreemde fragments oid) voor de 'echte' attack.

"Some day, I hope to find the nuggets on a chicken."

maandag 17 november 2008 12:31

Acties:
  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11 11:43

Marlibica

Tijd voor een ondertitel.

Topicstarter
Ja, met die syslog kwam ik erachter welke server het was en wat hij precies deed. Ik heb nu wat patches geïnstalleerd (ja, ik weet het, laat maar :X ) en gereboot en nu blijft het rustig.. Voorlopig houdt ik hem in de gaten en gaat hij nog niet online.

Sign here against sigs

maandag 17 november 2008 12:45

Acties:
  • chromeeh
  • Registratie: Oktober 2001
  • Laatst online: 28-11 13:59

chromeeh

the Gnome

Syslog util gewoon op een bakje mee laten draaien en laten loggen :)
Mocht je wat tegen komen dan kun je altijd later kijken wat je FW gezien heeft :)

"Some day, I hope to find the nuggets on a chicken."

woensdag 19 november 2008 15:52

Acties:
  • Chemist
  • Registratie: Juli 1999
  • Laatst online: 07-11 16:42

Chemist

Marlibica schreef op maandag 17 november 2008 @ 11:19:
Dit weekend is één van onze servers het slachtoffer geworden van óf een virus, óf een inbraak (ik denk het laatste).
Wat voor server is het ? Webserver, database server, applicatieserver ? Welke applicaties draai je er op ?
Er werd vanaf deze server naar verschillende ip-adressen (het loopt chronologisch op) een portscan gedaan naar poort 1521 t/m 1526.
Interne range of externe range ?
Deze poorten behoren tot:
1521/TCP Oracle database default listener, in future releases
1526/TCP Oracle database common alternative for listener
Lijkt er op dat er een scanner draait die zoekt naar Oracle DB's. Heb je al met NMap of zoiets gekeken wat er allemaal voor openstaande poorten op de server draaien ?
Telnet eens naar poorten die je niet herkend ...

Just because I'm paranoid, doesn't mean they're not watching me

woensdag 19 november 2008 16:57

Acties:
  • Marlibica
  • Registratie: Augustus 2002
  • Laatst online: 17-11 11:43

Marlibica

Tijd voor een ondertitel.

Topicstarter
Chemist schreef op woensdag 19 november 2008 @ 15:52:
[...]
Wat voor server is het ? Webserver, database server, applicatieserver ? Welke applicaties draai je er op ?
Applicatieserver, er draait een SAP systeem op, en 2 VMware sessies, ook beide met een SAP systeem. De scans kwamen echter wel van het systeem zelf.
Interne range of externe range ?
Extern
Lijkt er op dat er een scanner draait die zoekt naar Oracle DB's. Heb je al met NMap of zoiets gekeken wat er allemaal voor openstaande poorten op de server draaien ?
Telnet eens naar poorten die je niet herkend ...
NMap ken ik niet, ga ik eens naar kijken, dank voor je feedback

Het is een machine die vooral intern wordt gebruikt en maar af en toe via het internet. Bovendien kunnen we dan ook nog de VPN gebruiken. Ik moet hier intern nog overleggen, maar wellicht dat hij helemaal niet meer aan het net gaat. Of misschien via andere poorten. Er stonden meerdere poorten open, dus mogelijk dat we dat ook gaan beperken.

Sign here against sigs

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq