Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UNDER ATTACK!!!

asher
guys I need your help...this morning I have been portscanned by the same ip address like 10 times....they keep doing it every five minutes...I have reported them to the ISP but they keep doing it??

I am nervous...

I chekced my ports and everything is locked down tight...is there anything else I can do?

How do i know if he has gotten in somehow..

arghhh

asher


This thread was automatically locked due to age.
Parents
  • 0
    okay i called earthlink about the ips....207.69.188.186 and 207.69.188.187 and it seems that those ips are registered to their DNS servers...why is this showing up as a portscan??

    asher
  • 0 in reply to asher
    There is an attack against DNS servers with in effect turns them into zombies.

    They need to upgrade their DNS software.....
  • 0 in reply to Bob M
    are u suggesting that their dns servers have been hacked and are now being used as dummy terminals to conduct atttacks against other machines....

    wouldnt they notice this i mean earthlink is not some small isp!!

    asher
  • 0 in reply to asher
    This is not a hacked system.  Just an ill-formed DNS query with a sppofed IP source address that comes and hits you.

    I know.  I get them and am working on upgrading my DNS.  I get hit about every other day.  I reduced the number of hits against my DNS, and them going out by putting my DNS server behind ASL, and have ASL stop the outgoing 'portscans'.

    I really need to set up a sniffer to capture that incoming packet, but I haven't as this is a known DNS problem with BIND 8.3 (or whatever 8.x I am running) and fixed in higher versions.
  • 0 in reply to asher
    Yes, I get these every so often.  From my own DNS server to a bunch of addresses.  I KNOW that I have to upgrade to BIND 9.2.1 form BIND 8.4, but I have had some problems with the config file for 9.x.  Next week I hope to finish testing.

    One of many:

    Date: 22 Aug 2002 10:32:08 -0000
    Message-ID: 
    MIME-Version: 1.0
    To: rgm@htt-consult.com
    Subject: Portscan detected by gate.htt-consult.com
    From: notify@gate.htt-consult.com
    Content-ID: 

    A T T E N T I O N
    =================

    Portscan detected:
    ------------------
       System Date: Aug 22 2002
       System Time: 10:32:07

         Source IP: 65.84.78.210
         Target IP: 146.139.254.3

       detected by: gate.htt-consult.com
  • 0 in reply to Bob M
    okay this is INSANE!!

    I got 350 YES 350 emails about portscanse and they all are from internal adress...this is what it says...

    A T T E N T I O N
    =================

    Portscan detected:
    ------------------
       System Date: Aug 21 2002
       System Time: 16:12:08

         Source IP: 192.168.2.43
         Target IP: 173.173.26.199

    the target ips change....

    WHAT THE HELL IS GOING ON!!

    Needless to say i have shut off the PSD...this is crazy

    asher
  • 0 in reply to Bob M
    First of all, there's no need to set defcon 5 over some petty portscans.

    Secondly, it is possible to exclude certain hosts from the portscanning module. Do this for your DNS hosts.
Reply Children
No Data