Porty 143 a 1035

[Dan Lukes]

On 21 May 98 at 12:55, La o Igor wrote:

> Z logu vidim, ze jsme velmi casto ocuchavani
> na vyse uvedenych portech. Podle RFC je
> 143 = IMAP2 a 1035 tam neni vubec.
> nevi nekdo, k cemu tyto porty slouzi ?
> Neco od MS ?

    Myslim, ze tentokrat to bude neco jineho. Po svete se evidentne
potlouka nekdo, kdo bud zna nejakou dokumentovanou chybu a snazi se najit,
kde vsude je software, ktery ji ma, nebu doufa nejakou takovou chybu najit.

Tech utoku je totiz v posledni dobe hodne:
Datum Port Odkud
11.5 143 Svedsko/Datastugan
11.5 161 Svedsko/Kyrknatet AB
19.5 143 UK/Internal Systems LTD
24.5 143 Madarsko/Academy of Sciences
30.5  53 Svycarsko/Ingenieurschule Biel
 1.6  53 Norsko/University of Trodheim
 2.6  53 Portugal/Telepac (tamni TELECOM)

    Vsechny utoky maji spolecneho jmenovatele - utok prichazi z portu 0
(normalne se nemuze stat - uz jen to ukazuje, ze jde o neco divneho) a
prochazi pravdepodobne vsechny existujici IP adresy (pozoroval jsem tyto
aktivity ve dvou dost si vzdalenych IP blocich po sobe). Podle me
tedy ocuchaval i vsechny IP v Cechah, jenze malokdo ma zapnute logy
na podobne veci.

    Vsechny organizace zaslali po me stiznosti jednotnou reakci - nekdo se
jim prolamal provilegovane na stroj, spustil scan program  a smazal po sobe
stopy. Pokud vim, udalosti se zabyva cert.org, otazka ale je, zdali se na
neco prijde.



                                            Dan


Dan Lukes (FIO holding, a.s.) tel: +420 2 24102204, fax: ...301
root,   webmaster,   postmaster   and   othermaster  of  FIONet
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz