Jak poinformował zespół CERT - od paru dni można zaobserwować większą ilość przypadków skanowań w poszukiwaniu otwartych proxy - port 1080/TCP, 3127/TCP oraz 3128/TCP. Dwa ostatnie porty otwierane są na komputerach zainfekowanych wirusem MyDoom.
Na porcie 1080/TCP rezyduję usługa SOCKS. Wykorzystywana jest do przekierowywania połączeń przez firewalle. Jeżeli jest źle skonfigurowana, możliwe jest jej wykorzystanie do przekierowywania nieuwierzytelnionych połączeń z zewnątrz. Dzięki temu, atakujący, który znajdzie takiego pośrednika, może maskować swój rzeczywisty adres. Podobne możliwości oferują komputery zainfekowane wirusem MyDoom, najczęściej na portach 3127 i 3128. Port 3128 jest także kojarzony ze Squidem (proxy http).
Skanowanie jest charakterystyczne - każde źródłowe IP odpytuje wyżej wymienione trzy porty. Informacje o otwartych proxy mogą posłużyć w przyszłości do rozsyłania spamu lub do przeprowadzania dalszych ataków.
[OBRAZ]
[OBRAZ]
[OBRAZ]
Wzmożona aktywność w poszukiwaniu otwartych SOCKS proxy
Bezpieczeństwo |
So, 7 Luty 2004 02:06:52 +0100 |
Autor:
Redakcja
| Czytań: 4207
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.