Firewall log
 

# Time Packet Information Reason Action
23|Aug 6 01 |From:213.33.19.40 To:213.33.32.106 |default permit |block
| 12:56:53 |TCP src port:03461 dest port:00080 |<2,00> |
24|Aug 6 01 |From:213.46.2.212 To:213.33.32.106 |default permit |block
| 12:59:36 |TCP src port:03354 dest port:00080 |<2,00> |
25|Aug 6 01 |From:213.46.2.212 To:213.33.32.106 |default permit |block
| 12:59:42 |TCP src port:03354 dest port:00080 |<2,00> |
26|Aug 6 01 |From:213.33.59.86 To:213.33.32.106 |default permit |block
| 13:04:44 |TCP src port:03884 dest port:00080 |<2,00> |
27|Aug 6 01 |From:213.33.59.86 To:213.33.32.106 |default permit |block
| 13:04:47 |TCP src port:03884 dest port:00080 |<2,00> |
28|Aug 6 01 |From:213.33.59.86 To:213.33.32.106 |default permit |block
| 13:04:54 |TCP src port:03884 dest port:00080 |<2,00> |
29|Aug 6 01 |From:213.47.75.242 To:213.33.32.16 |default permit |block
| 14:00:06 |TCP src port:03832 dest port:00080 |<2,00> |
30|Aug 6 01 |From:213.47.75.242 To:213.33.32.16 |default permit |block
| 14:00:09 |TCP src port:03832 dest port:00080 |<2,00> |
31|Aug 6 01 |From:213.47.75.242 To:213.33.32.16 |default permit |block
| 14:00:15 |TCP src port:03832 dest port:00080 |<2,00> |
32|Aug 6 01 |From:213.33.67.132 To:213.33.32.16 |default permit |block
| 14:21:13 |TCP src port:01798 dest port:00080 |<2,00> |
33|Aug 6 01 |From:213.33.67.132 To:213.33.32.16 |default permit |block
| 14:21:15 |TCP src port:01798 dest port:00080 |<2,00> |
34|Aug 6 01 |From:213.33.67.132 To:213.33.32.16 |default permit |block
| 14:21:21 |TCP src port:01798 dest port:00080 |<2,00> |
35|Aug 6 01 |From:213.88.192.3 To:213.33.32.16 |default permit |block
| 14:21:48 |TCP src port:03030 dest port:00080 |<2,00> |
36|Aug 6 01 |From:213.88.192.3 To:213.33.32.16 |default permit |block
| 14:21:51 |TCP src port:03030 dest port:00080 |<2,00> |
37|Aug 6 01 |From:213.88.192.3 To:213.33.32.16 |default permit |block
| 14:21:57 |TCP src port:03030 dest port:00080 |<2,00> |
38|Aug 6 01 |From:213.33.71.43 To:213.33.32.16 |default permit |block
| 14:51:31 |TCP src port:03777 dest port:00080 |<2,00> |
39|Aug 6 01 |From:213.33.71.43 To:213.33.32.16 |default permit |block
| 14:51:35 |TCP src port:03777 dest port:00080 |<2,00> |
40|Aug 6 01 |From:213.33.71.43 To:213.33.32.16 |default permit |block
| 14:51:41 |TCP src port:03777 dest port:00080 |<2,00> |
41|Aug 6 01 |From:213.33.57.162 To:213.33.32.16 |default permit |block
| 14:52:38 |TCP src port:03332 dest port:00080 |<2,00> |
42|Aug 6 01 |From:213.33.57.162 To:213.33.32.16 |default permit |block
| 14:52:41 |TCP src port:03332 dest port:00080 |<2,00> |
43|Aug 6 01 |From:213.33.57.162 To:213.33.32.16 |default permit |block
| 14:52:47 |TCP src port:03332 dest port:00080 |<2,00> |
44|Aug 6 01 |From:195.3.96.67 To:192.168.1.1 |default permit |block
| 15:05:10 |UDP src port:00053 dest port:01250 |<2,00> |
45|Aug 6 01 |From:213.221.142.139 To:213.33.32.16 |default permit |block
| 15:09:31 |TCP src port:01714 dest port:00080 |<2,00> |
46|Aug 6 01 |From:213.221.142.139 To:213.33.32.16 |default permit |block
| 15:09:34 |TCP src port:01714 dest port:00080 |<2,00> |
47|Aug 6 01 |From:213.221.142.139 To:213.33.32.16 |default permit |block
| 15:09:40 |TCP src port:01714 dest port:00080 |<2,00> |
48|Aug 6 01 |From:213.154.74.236 To:213.33.32.16 |default permit |block
| 15:26:14 |TCP src port:03053 dest port:00080 |<2,00> |
49|Aug 6 01 |From:213.154.74.236 To:213.33.32.16 |default permit |block
| 15:26:20 |TCP src port:03053 dest port:00080 |<2,00> |
50|Aug 6 01 |From:213.229.57.90 To:213.33.32.16 |default permit |block
| 15:32:09 |TCP src port:02793 dest port:00080 |<2,00> |
51|Aug 6 01 |From:213.229.57.90 To:213.33.32.16 |default permit |block
| 15:32:12 |TCP src port:02793 dest port:00080 |<2,00> |
52|Aug 6 01 |From:213.229.57.90 To:213.33.32.16 |default permit |block
| 15:32:18 |TCP src port:02793 dest port:00080 |<2,00> |
53|Aug 6 01 |From:213.33.71.43 To:213.33.32.16 |default permit |block
| 15:37:56 |TCP src port:03053 dest port:00080 |<2,00> |
End of Firewall Log

Irgendwie eigenartig oder??? Von diversen rechnern in europa wird 3mal versucht auf meinen nicht existenten web server zuzugreifen. Für eine synflood attacke sind es aber zu wenig. Trotz einer anderen ip gehts um 14h weiter. Das ganze läuft seit gestern 15:30. (Das log ist auf platzgründen extrem gekürzt)

schaut nach code red aus...

hm, ich habe seit 1. August auch seltsame Zugriffe auf Port 80, allerdings bei weitem nicht so häufig (15 - 20/Tag). Allerdings sind heute die meisten Zugriffsversuche gekommen. Ich würde auch sagen, dass Code Red umgeht. Zum Glück hab ich auf das bessere OS gesetzt :tux: :D

Sieht folgendermassen im access_log vom Apache aus:

212.19.61.90 - - [06/Aug/2001:19:23:30 +0200] "GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u 9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90 90%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078 %u0000%u00=a HTTP/1.0" 404 205

Code Red ???

gut, zu langsam

ich tippe schon auf code red :)

schön langsam könnt er aber wieder verschwinden... :(

@LouCypher
Die Attacken auf meinen Rechner kommen von den selben IP´s wie bei Dir! 4x sogar total identisch. :confused:
Von hier kommen die meisten Attacken!

Reverse DNS Lookup of 213.67.42.57
The computer name ("domain name") identified for this IP address is:

h57n2fls33o917.telia.com

(Note: if you see "Unavailable", instead of a computer name, that means no reverse DNS entry was found for this IP address, and so the domain name could not be identified.)

@ Lou Cyper...
habe dir ein mail geschickt mit eiber url...
vieleicht hilft dir das weiter...:D :D
im feld musst du die ip oder die adresse eingeben und enter klicken..
mfg.morph:tux:

habe seit 20.00 uhr 15100 zugriffe...grösstenteils von der adresse 224.0.0.9 schön langsam sch**** ich drauf...:o
mfg.morph:tux:

ich hab auch einige alerts bei mir... aber von der Zahl her bewegt es sich im normalen Bereich! ;)

Code red wär möglich, wär cool wenn mehr von euch eure firewall logs posten würdet (sofern was eigenartiges vorgeht), macht spass diese dinger zu interpretieren.

@manfred: ich vermute dass sich auf diesen rechnern ein daemon eingenistet hat der sein unwesen treibt. Btw: 213.67.42.57 = http://www.ripe.net/perl/whois?query...Anfrage+senden , jaja die sweden :)

@der_morpheus1: Danke für die mail, hilft mir in dem fall zwar nicht aber cool is trotzdem :) 224.x.x.x ist eine multicast adresse, aon nervt mich damit auch, hab einfach die firewall angewiesen sie nicht zu loggen, ist aber harmlos.

@ moskito

Von<http://www.securityfocus.com/>
__________________________________________________ __________
The Internet security Web site said the most obvious difference between previous variants of Code Red and the latest one was that Web server logs will record a GET request containing "XXXXXX" instead of the familiar "NNNNNN'" of Code Red.
__________________________________________________ __________

HTH
g17

@LouCypher
super Link, ist schon bei meinen Favoriten, thx!

ich hab in der regel nur portscans )standard sub seven blockiert ....prozessname N/A - sonst würd ich mir sorgen machen :D)

-hab heut nur eine komische meldung gefunden:
Datum: 06.08.01 Uhrzeit: 22:50:45
Regel "Implicit block rule" blockierte (206.142.53.2,http). Details:
Abgehende TCP-Verbindung
Lokale Adresse, Dienst ist (localhost,1037)
Remote-Adresse, Dienst ist (206.142.53.2,http)
Prozessname ist "C:\PROGRAMME\MORPHEUS\MORPHEUS.EXE"
was auch immer morpheus alles macht war nur komisch da diese de einzige meldung heute dieser art war

The firewall has blocked routed traffic from 172.18.95.135 to 224.0.0.13 (IP Protocol 103).

Occurred: 120 times between 06.08.01 22:02:52 and 06.08.01 23:02:32

ist da wohl jemand schwer beschäftigt einen flood in Gang zu bringen....

LZ

DU?

172.xxx.xxx.xxx kannst nur Du sein
224.0.0.13 ist die IANA=Internet Assigned Numbers Authority
Eine Multicastaddr.

Zu Protocol 103 siehe:
http://www.networksorcery.com/enp/protocol/pim.htm

Zu Multicast siehe:
http://www.seicom-muc.de/booklet/multicast.htm

HTH
g17

Der multicast bereich 224.0.0.0-239.255.255.255 wird u.a. vom rip2 protokoll von routern verwendet die damit routen updaten bzw. neue router im lokalen lan aufspüren. Multicasts werden bei routern broadcasts vorgezogen da, erstere nicht von den pc's im lan verarbeitet werden und daher selbige nicht belasten wie es bei broadcasts der fall währe. Falls ich nicht irre, dann sind multicast aktionen harmlos, und für attacken nicht geeignet.

War sicher nicht ich, da ich mit Aon hier bin und da hab ich 62.47.xxx.xxx IP´s.
Leider nicht, zum Updaten der Firmware gut geeignet. Alcatel ADSL!


The firewall has blocked routed traffic from 172.18.95.135 to 224.0.0.13 (IP Protocol 103).

Occurred: 56 times between 07.08.01 08:37:44 and 07.08.01 09:05:20

Entweder sind die Jet/web Heinis am werken oder es ist da doch was wahres an dem italienischen Gerücht.

best regards,

LZ

@lz: mach mal ein tracert irgendwo hin. Du wirst merken dass diese ip gleich als erste angezeigt wird, dass ist der dfü server von aon. Die schicken immer multicasts raus, da vermute ich, selbiger auch als router funzt. Ist übrigens eine private ip adresse, wie bei den aon dfü servern üblich.

Route-Verfolgung zu www.wcm.at [195.179.151.2]
über maximal 30 Abschnitte:

1 40 ms 44 ms 37 ms WAFRCR13.highway.telekom.at [172.18.95.135]
2 43 ms 44 ms 43 ms 172.19.95.129
3 49 ms 43 ms 43 ms WNEURO02.highway.telekom.at [195.3.68.50]
4 43 ms 45 ms 44 ms WNEURO02-AUX3.highway.telekom.at [195.3.68.9]
5 42 ms 43 ms 44 ms AUX1.highway.telekom.at [195.3.68.241]
6 45 ms 41 ms 41 ms VIX1-AUX1.highway.telekom.at [195.3.82.226]
7 41 ms 43 ms 44 ms vix.Wien.is-bone.net [193.203.0.31]
8 44 ms 43 ms 43 ms 194.163.13.41
9 42 ms 44 ms 43 ms 194.163.13.254
10 47 ms 44 ms 42 ms www.wcm.at [195.179.151.2]

Route-Verfolgung beendet.

recht hast;

best regards
LZ

@g17: danke für die info :)