Wzmożona aktywność w poszukiwaniu otwartych SOCKS proxy

Author: hoaxer \ luty 7, 2004 \ Aktualności \ 0 komenarzy

Jak poinformował zespół CERT – od paru dni można zaobserwować większą ilość przypadków skanowań w poszukiwaniu otwartych proxy – port 1080/TCP, 3127/TCP oraz 3128/TCP. Dwa ostatnie porty otwierane są na komputerach zainfekowanych wirusem MyDoom.

Na porcie 1080/TCP rezyduję usługa SOCKS. Wykorzystywana jest do przekierowywania połączeń przez firewalle. Jeżeli jest źle skonfigurowana, możliwe jest jej wykorzystanie do przekierowywania nieuwierzytelnionych połączeń z zewnątrz. Dzięki temu, atakujący, który znajdzie takiego pośrednika, może maskować swój rzeczywisty adres. Podobne możliwości oferują komputery zainfekowane wirusem MyDoom, najczęściej na portach 3127 i 3128. Port 3128 jest także kojarzony ze Squidem (proxy http).

Skanowanie jest charakterystyczne – każde źródłowe IP odpytuje wyżej wymienione trzy porty. Informacje o otwartych proxy mogą posłużyć w przyszłości do rozsyłania spamu lub do przeprowadzania dalszych ataków.

Wykresy przedstawiające aktywność na portach w ciągu ostatnich pięciu dni

Wojciech Grzegorz Mysiakmarzec 17, 2021"https://www.youtube.com/results?search_query=hackers+winnings+digital+pa…"
Filip M.październik 9, 2020"My też zdecydowaliśmy się na voip od firmy Super VoIP i była to najlepsz…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
Arkadiusz Siczeklipiec 1, 2020"Nie wiem czy w dobie ekshibicjonizmu internetowego możemy w ogóle mówić…"