[Linuxtrent] Pacchetti 127.0.0.1
- From: Gelpi Andrea <liste@xxxxxxxx>
- To: LinuxTrent <linuxtrent@xxxxxxxxxxxxx>
- Date: 11 Sep 2003 05:55:13 +0200
Salve,
dopo aver parlato con un po' di esperi del setore, credo dia ver capito
l'esatta origine degli strani pacchetti provenienti da Internet con
soregente 127.0.0.1
Dunque un PC infetto ha chiesto al DNS di risolvere il nome
windowsupdate.com e qualche incosciente a configurato il suo DNS per
rispondere 127.0.0.1
A questo punto il PC infetto forgia dei pacchetti così fatti:
IP Sorgente: i primi due ottetti uguali a quelli del PC infetto, gli
altri due random porta fra 1000 e 1999
IP destinazione 127.0.0.1 porta 80
Tale pacchetto viene spedito in rete dal virus stesso, ma il primo
apparato di rete che lo riceve non può che rispondere picche e riponde
all'IP sorgente che trova nel pacchetto. Ecco da dove arrivano i
pacchetti che si vedono.
Sicuramente dal 26 agosto c'è un PC infetto con IP 80.105.x.y
Tutti i PC sulla rete 80.105/16 (Interbusiness) ricevono pacchetti come
quelli in oggetto.
Per scoprire chi è bisognerebbe fare uno scan della rete e cercare quali
PC hanno le porte in uso dal virus aperte, ma senza essere autorizzati
non è un'operazione molto sana.
Mi resta da capire perché tali pacchetti li vede snort e non iptables.
--
Gelpi ing. Andrea
****************************
* Landmine must be stopped.
****************************
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
