Portscan from my own WAN IP-Adress detected!?

*bump*

same here today, 10 emails with this notification.

Which version do you use? We had that during our beta phase ...
Cheers,
andreas

5.203

Hi,

guess an outgoing portscan, from one of your internal clients?

Chris

i think no, because the iptable-engine first run ips as nat. also at home  i have running counter-strike on a client and if you refresh your server the asl also locates a portscan, but from the internal ip.

Hi,

for the packetfilter yes, but not for the proxy-services (they come from the corresponding interface eg. the wan interface). 

Novalogic traffic gets classified as SQL Attack :-).

Chris

edit
Forgot, how is he triggered, 10 connections in 5 second to one port or multiple ports?
/edit

I also would expect some traffic generated by one of the proxies. Multiple downloads of several small files from a FTP server might look like a port scan for example. Could you please post the ports that were used by the portscan?

Xeno

FYI:

2005:07:06-12:39:48 (none) snort[11784]: spp_portscan: PORTSCAN DETECTED on (null) from 213.146.120.x (THRESHOLD 10 connections exceeded in 3 seconds)
2005:07:06-12:39:50 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 12 connections across 12 hosts: TCP(12), UDP(0)
2005:07:06-12:39:52 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
2005:07:06-12:40:04 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:08 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:40:19 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:22 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:27 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:29 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 6 connections across 6 hosts: TCP(6), UDP(0)
2005:07:06-12:40:31 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
2005:07:06-12:40:33 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 5 connections across 5 hosts: TCP(5), UDP(0)
2005:07:06-12:40:37 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 8 connections across 8 hosts: TCP(8), UDP(0)
2005:07:06-12:40:43 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:40:55 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:16 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:18 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:25 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
2005:07:06-12:41:35 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:44 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:41:49 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:42:05 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:42:08 (none) snort[11784]: spp_portscan: End of portscan from 213.146.120.x: TOTAL time(140s) hosts(48) TCP(62) UDP(0)

FYI:

2005:07:06-12:39:48 (none) snort[11784]: spp_portscan: PORTSCAN DETECTED on (null) from 213.146.120.x (THRESHOLD 10 connections exceeded in 3 seconds)
2005:07:06-12:39:50 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 12 connections across 12 hosts: TCP(12), UDP(0)
2005:07:06-12:39:52 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
2005:07:06-12:40:04 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:08 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:40:19 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:22 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:27 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:40:29 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 6 connections across 6 hosts: TCP(6), UDP(0)
2005:07:06-12:40:31 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
2005:07:06-12:40:33 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 5 connections across 5 hosts: TCP(5), UDP(0)
2005:07:06-12:40:37 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 8 connections across 8 hosts: TCP(8), UDP(0)
2005:07:06-12:40:43 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:40:55 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:16 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:18 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:25 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
2005:07:06-12:41:35 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:41:44 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:41:49 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
2005:07:06-12:42:05 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
2005:07:06-12:42:08 (none) snort[11784]: spp_portscan: End of portscan from 213.146.120.x: TOTAL time(140s) hosts(48) TCP(62) UDP(0)

Hi,

compare those logs with the proxy logs, maybe we can see some matches. 
I hate those logs, all relevant data is missing. Like source, target, ports etc. Those snort messages are really useless for forensic. 

Could be everything and nothing. Pop reqest to multiple accounts, HTTP request to multihomed sites, Trojan talking home or searching for others. 

Chris

i looked into the weblogs and surfed again this sites, but nothing do in ips. so i can not reproduce this error.

other logfiles show nothing.

Hi,

mybe some Adware talking to there home servers. 
I guess the only thing you can do to get sure, is making a tcpdump the next time the alerts are triggerd. 

Chris