[linux] Re: iptables
Peter Fokker
nllgg op berestijn.nl
Zo Aug 28 13:52:48 CEST 2005
On Sun, Aug 28, 2005 at 11:45:29AM +0200, Hugo van der Kooij wrote:
> On Sun, 28 Aug 2005, Gijs Hillenius wrote:
>
> > Aug 27 23:54:00 waterstof kernel: filtered on INPUT IN=nas1 OUT=
> > MAC=00:d0:41:02:0e:a5:00:11:21:1b:12:78:08:00 SRC=61.152.158.123
> > DST=213.211.174.11 LEN=339 TOS=0x00 PREC=0x00 TTL=40 ID=0 DF PROTO=UDP
> > SPT=57433 DPT=1027 LEN=319
>
> Weer een windows machine die fout geconfigureerd staat. [...]
Niet noodzakelijkerwijs. Het kan heel goed een phishing expedition zijn;
op 1026/udp en hogere poorten in de buurt (oa. 1027) wordt door Windows
clients (soms/meestal) geluisterd naar Instan Messages. Recentelijk
onderschepte ik er eentje: daar staat iets in als "Uw machine is besmet,
klik hier om op te ruimen". En dat popt dan gewoon op (althans: dat is
de bedoeling). Voor een eenvoudige eindgebruiker lastig te onderscheiden
van een 'echt' bericht, vooral omdat het niet een pop-up in een browser is.
Wacht, ik zoek 'm er even bij... (ik had 'm met tcpdump opgevangen):
2005-08-10
I happened to observe the following UDP-packet knocking on my door(s).
Well well well... Trying to scare my users and tempting them to download
'whatever' from 'SwipeSpy.com'? Very convincing name, though.
This is yet another reason NOT to allow MS Messenger!
(Note: MS Messenger listens on UDP1026 and upward for incoming messages.
If a message arrives, it is put on the user's screen)
17:25:03.377326 222.223.135.2.36651 > 62.59.32.58.1026: udp 438 (DF)
0x0000 4500 01d2 0000 4000 3311 81c4 dedf 8702 E..... op .3.......
0x0010 3e3b 203a 8f2b 0402 01be d9cf 0400 2800 >;.:.+........(.
0x0020 1000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030 0000 0000 f891 7b5a 00ff d011 a9b2 00c0 ......{Z........
0x0040 4fb6 e6fc 3c4d 21d5 1893 d270 7259 6db8 O...<M!....prYm.
0x0050 2f27 a23a 0000 0000 0100 0000 0000 0000 /'.:............
0x0060 0000 ffff ffff 6601 0000 0000 1000 0000 ......f.........
0x0070 0000 0000 1000 0000 5345 4355 5249 5459 ........SECURITY
0x0080 0000 0000 0000 0000 1000 0000 0000 0000 ................
0x0090 1000 0000 414c 4552 5400 0000 0000 0000 ....ALERT.......
0x00a0 0000 0000 2201 0000 0000 0000 2201 0000 ...."......."...
0x00b0 4d69 6372 6f73 6f66 7420 5769 6e64 6f77 Microsoft.Window
0x00c0 7320 6861 7320 6465 7465 6374 6564 2079 s.has.detected.y
0x00d0 6f75 7220 696e 7465 726e 6574 2062 726f our.internet.bro
0x00e0 7773 6572 0a69 7320 696e 6665 6374 6564 wser.is.infected
0x00f0 2077 6974 6820 5370 7977 6172 652c 2041 .with.Spyware,.A
0x0100 642d 7761 7265 2c20 616e 6420 5468 6965 d-ware,.and.Thie
0x0110 6677 6172 652e 0a0a 596f 7572 2070 7269 fware...Your.pri
0x0120 7661 6379 2069 7320 696e 2064 616e 6765 vacy.is.in.dange
0x0130 722e 0a57 6520 7265 636f 6d6d 656e 6420 r..We.recommend.
0x0140 616e 2069 6d6d 6564 6961 7465 2073 7973 an.immediate.sys
0x0150 7465 6d20 7363 616e 2e20 506c 6561 7365 tem.scan..Please
0x0160 2076 6973 6974 0a0a 6874 7470 3a2f 2f53 .visit..http://S
0x0170 7769 7065 5370 792e 636f 6d0a 0a46 6169 wipeSpy.com..Fai
0x0180 6c75 7265 2074 6f20 6469 7369 6e66 6563 lure.to.disinfec
0x0190 7420 636f 756c 6420 616c 6c6f 7720 7468 t.could.allow.th
0x01a0 6972 6420 7061 7274 6965 7320 6163 6365 ird.parties.acce
0x01b0 7373 0a74 6f20 796f 7572 2070 6572 736f ss.to.your.perso
0x01c0 6e61 6c20 696e 666f 726d 6174 696f 6e2e nal.information.
0x01d0 0a00 ..
--Peter Fokker
--
Get it right the first time!
More information about the Linux
mailing list