Serie portscans, bekende poorten? - Privacy en beveiliging

zondag 4 april 2004 22:14

Acties:

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

De laatste dagen (sinds 2-4) word ik ge-portscanned door een tweetal ip adressen.

De volgende poorten worden gescanned vanaf de opgegeven ip adressen:

63.240.175.193 TCP (2708, 2713, 2709, 2706, 2707, 2705)
12.129.23.70 TCP (1065, 1058, 1060, 1062, 1051, 1039)
12.129.23.70 TCP (1543, 1544, 1542, 1522, 1517, 1537)

Het gaat duidelijk elke keer om een 6-tal poorten. Is er iemand die deze poorten bekend voorkomt (bv trojan poorten?)?

Als ik een tracrt naar deze adressen doe kom ik in beide gevallen uit bij Akamain Techologies. Info uit de arin whois database:

[code]CustName: Akamai Technologies, Inc.
Address: 500 Technology Square
City: Cambridge
StateProv: MA
PostalCode: 02139
Country: US
RegDate: 2003-03-26
Updated: 2003-03-26

NetRange: 63.240.175.0 - 63.240.175.255
CIDR: 63.240.175.0/24
NetName: ATTENS-007556-001811
NetHandle: NET-63-240-175-0-1
Parent: NET-63-240-0-0-1
NetType: Reassigned
Comment: CERF-HM-ARIN
RegDate: 2003-03-26
Updated: 2003-03-26

TechHandle: CERF-HM-ARIN
TechName: AT&T Enhanced Network Services
TechPhone: +1-858-812-5000
TechEmail: notify@attens.com

OrgTechHandle: NETWO10-ARIN
OrgTechName: Network Provisioning
OrgTechPhone: +1-800-876-2373
OrgTechEmail: iptool@attens.com
[/quote]

Akamai is een grote amerikaanse content provider. Waarom zouden deze mij willen poortscannen?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 4 april 2004 22:17

Acties:

Victor

Ik denk dat Akamai vergeten is z'n proxy dicht te spijkeren.

Hier kun je trouwens ff die poorten opzoeken: Dave's Port List

zondag 4 april 2004 22:29

Acties:

Mike Jarod

Hier nog eentje om poorten op te zoeken + info of het een backdoor oid is:
http://www.bekkoame.ne.jp/~s_ita/port/port6000-6999.html

Heb even @random een aantal uit je lijstje opgezocht, en er zat 1 backdoor port tussen van de 4 die ik checkte. Lijkt me een vrij standaard portscan.

edit: Jij had toch gisteren last van een ADS virus? Kortom je bak werd gebruikt als spam machine, misschien luisterde dat virus wel op 1 van die poorten (nu niet meer neem ik aan) en weten de personen achter die IP's dat

Zou een logische verklaring zijn.

[ Voor 35% gewijzigd door Mike Jarod op 04-04-2004 22:32 ]

zondag 4 april 2004 22:33

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Inderdaad, ik had gisteren last van een ads virus. Het virus is als het goed is nu gekilled en opgeruimt. De scanners (heb er 4 geprobeerd waaronder KAV en bitdefender) vinden niets meer.

Update: inmiddels weer 2 erbij. Dit keer vanuit moskou. Het valt me op dat het altijd maar om 6 poorten gaat.

[ Voor 24% gewijzigd door Bor op 04-04-2004 22:33 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 5 april 2004 11:23

Acties:

elevator

Officieel moto fan :)

Hang anders op die poorten eens een (bv. via netcat) listener en kijk wat er binnenkomt?

maandag 5 april 2004 11:27

Acties:

Resistor

Niet meggeren!

King_Louie schreef op 04 april 2004 @ 22:17:
Ik denk dat Akamai vergeten is z'n proxy dicht te spijkeren.

Hier kun je trouwens ff die poorten opzoeken: Dave's Port List

Als het van Akamai komt zou het kunnen dat de 'opdrachtgever' nieuwe mails heeft die hij wil versturen.

Ze weten dat je besmet was, en daar willen ze nog gebruik van maken.

Dat zou ik ook doen als ik een spammer was

What will end humanity? Artificial intelligence or natural stupidity?