Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Should I be worried? Severity="info" NBNS

So I have tons of these packets logged.

The machine is trying to connect through a NIC that is local only (no gateway) to port 137 on external IP addresses. I will contact the software manufacturer, but what is the threat of these packets?

Does the fact that the Astaro (v7.505) states severity="info" mean that this is just making me aware? If this was a threat would the severity value change?

Thanks!
-Nator


This thread was automatically locked due to age.
  • Without looking at the complete log line, it's hard to say if this should worry you.  In most logs, "info" just means that the programmer's code is working as designed.

    Cheers - Bob
  • 2010:08:16-00:00:29 info ulogd[3924]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth3" outitf="eth1" dstmac="00:22:19:ae:51:5d" srcmac="00:0c:29:2f:8a:ad" srcip="192.168.1.105" dstip="111.222.333.444" proto="17" length="78" tos="0x00" prec="0x00" ttl="127" srcport="137" dstport="137"


    I hope this helps. I modified the IPs, but this is what I see thousands of.

    Thanks!
  • My guess...  If the 'dstip' is the same in every blocked packet, the device at 192.168.1.105 is misconfigured to think that it can get NETBIOS name resolution from outside.  If the destination IP changes, the device at 192.168.1.105 probably was infected by a Trojan and is now a member of a netbot army.[;)]

    Cheers - Bob
  • Hi, port 137 is one of the 3 MicroSoft NetBios ports, used for filesharing, etc., between Windows computers.

    Perhaps that computer is trying to mount a remote network share?

    Barry
  • Actually you are right Barry, the computer is constantly accessing a mapped drive on 192.168.1.2

    But the drive is mapped, set to remember the credentials and never disconnects. And it's still sending these packets...
  • 'nator, the traffic between 192.168.1.105 and 192.168.1.2 shouldn't transit the Astaro - it doesn't, does it?

    Barry, I thought a port-137 query was, "tell me the NETBIOS names you know" or some other way of getting name resolution in NETBIOS, but that was after and before my "techy" phases. [;)]

    Cheers - Bob
  • Well I captured the packets using tcpdump -s 0 on the Astaro through Putty so they're making their way to the Astaro and getting blocked by the packet filter. Never any response from the external IP (due to filter of course).

    To clarify a little, the machine has 2 NICs. 

    1 - IP address of lets say 192.168.10.105/24 with DG: 192.168.10.1 with Internet access

    2 - IP address: 192.168.1.105/24 DG: N/A. Used for access to mapped drive on 192.168.1.2 only

    Port 137 packets are running from 192.168.1.105 > External IPs
  • Another strange thing is that I cannot pickup this traffic with Sysinternals Process Monitor.

    There is very little traffic passed from that IP and none of it is port 137

    hmmmm

    Scratch that... I found it, had to remove the default filters. It's coming from the "system" process. Not the software that I'm running. But it only happens when said software is actively running.
  • Well I didn't find the cause or reason, but my solution: disable WINS (NetBIOS) on the Windows 2003 server's NICs.

    Simply go into the NIC's properties> Internet Protocol (TCP/IP)> advanced > WINS > Disable NetBIOS over TCP/IP

    Done. No more packets... Makes the server more secure too since this protocol is often attacked and/or prodded from malicious users online.

    Thanks for the help guys,
    'nator