Grote toename verkeer op poort 5000 - Privacy en beveiliging

maandag 17 mei 2004 04:32

Acties:

Verwijderd

Topicstarter

Ik zit de dagelijkse logs van mijn firewalls weer eens door te spitten en merk dat er sinds zondag abnormaal veel verkeer is poort 5000. Vele honderden hits in een paar uur tijd. Ik weet dat dit het poortje o.a. gebruikt wordt door "Sockets de Troye" en UPnP. Iemand enig idee wat dit zou kunnen zijn? Nieuw virus, ddos, op hol geslagen cisco's?

maandag 17 mei 2004 05:07

Acties:

Johny58

Maak je toevallig gebruik van van WindowsME? Daar schijnt ergens een fout in te zitten. Kan me wel herinneren dat ik een keer een probleem heb gehad met poort 5000.
Of speel je misschien regelmatig schaakspellen over internet? Er zijn namelijk aardig wat schaakservers die poort 5000 gebruiken.

EDIT: Mocht je antwoord op een van de hierboven gestelde vragen ja zijn dan heb ik dit nog even voor je gevonden: http://my.brandeis.edu/bb...a-fetch-msg?msg_id=0000F5

[ Voor 73% gewijzigd door Johny58 op 17-05-2004 05:11 ]

"Hippopotomonstrosesquippedaliophobia" is the term used to describe the fear of long words.

maandag 17 mei 2004 10:09

Acties:

Verwijderd

5000 = UPNP poort.
Daar zit/zat een vulnerability in die door o.a. Agobots proberen te exploiten en die zijn atm érg populair.
Vandaar dus waarschijnlijk al die tcp 5000 probes.

Meer info: http://www.microsoft.com/...ty/bulletin/MS01-059.mspx

maandag 17 mei 2004 12:22

Acties:

Verwijderd

Topicstarter

Even voor de duidelijkheid: ik heb er zelf geen 'last' van, het zijn allemaal Linux firewalls, maar het viel me gisteren gewoon op. Net als 2 weken terug met de eerste Sasser worms zag ik ook een grote toename op o.a. poort 1025. Vandaar dat ik dacht dat er misschien nu ook zoiets aan de hand was.
De weken ervoor zie ik per dag gemiddeld 20 probes op poort 5000. Gisteren ineens 600 en allemaal uit een bepaalde range. Bijv. mijn webserver bij NXS probes uit de range 217.x.x.x, mijn server bij IO allemaal uit de range 214.x.x.x, mijn firewall bij multikabel de range 213.x.x.x en op mijn eigen adsl-firewall bij xs4all alles uit de 80.x.x.x range.
Nogmaals, ik maak me over de Linux-bakken geen zorgen maar vraag me gewoon af of er iets nieuws aan de hand is.

edit:

Op incidents.org is het ook duidelijk te zien:
Op 15 mei nog geen noemenswaardige reports, en vandaag de nummer 1 met 2043151 vermeldingen.

[ Voor 13% gewijzigd door Verwijderd op 17-05-2004 17:22 ]

maandag 17 mei 2004 21:14

Acties:

wildhagen

Blablabla

F-secure meld het nu ook:

Port 5000 traffic has risen considerably over the past 24 hours. This port is used by the Universal plug-n-play service of Windows 98, Windows Me and Windows XP.

We're not sure if all of this traffic can be attributed to a new worm known as Kibuv or StdBot, but this new worm does scan for several known vulnerabilities, including the UPnP hole and the Sasser FTP server hole.

The traffic increase is pretty obvious in this graph from http://www.incidents.org:

Afbeeldingslocatie: http://www.f-secure.com/weblog/archives/incidents_port5000.png

Bron: http://www.f-secure.com/weblog/

Virussen? Scan ze hier!

dinsdag 18 mei 2004 13:13

Acties:

Verwijderd

Topicstarter

Bij Symantec hebben ze het nu ook door. Zoals je al zei, inderdaad Kibuv.B en Bobax samen. Maken gebruik van meerdere (oude) exploits. In elk geval geen echt zorgwekkende dreiging, tenzij je je bak sinds 2001 niet meer gepatched had.

Blijf het vreemd vinden dat een oud lek, waar al meerdere wormen langs zijn geweest, toch nog zo ontzettend veel traffic kan veroorzaken. Staat op incidents.org dat er ongeveer 500.000 besmettingen zijn. Ongeveer gelijk aan Sasser en Blaster.

woensdag 19 mei 2004 00:12

Acties:

BoGhi

En wat te denken van 9898?
http://www.dshield.org/po...srcax=2&percent=N&days=40

EDIT: hm, Dabber? http://securityresponse.s...nc/data/w32.dabber.a.html

[ Voor 33% gewijzigd door BoGhi op 19-05-2004 00:16 ]

Programmers don't die. They GOSUB without RETURN