Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 3348 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscan from my own WAN IP-Adress detected!?

druide

A portscan was detected. 
The originating source IP address was:xxx.xxx.xxx.xxx

The portscan event was:
spp_portscan: PORTSCAN DETECTED on (null) from xxx.xxx.xxx.xxx (THRESHOLD 10 connections exceeded in 5 seconds)


The source IP is my own WAN IP-Adress!

Best Regards
Druide


This thread was automatically locked due to age.
Parents
  • 0
    *bump*

    same here today, 10 emails with this notification.
  • 0 in reply to synopex
    Which version do you use? We had that during our beta phase ...
    Cheers,
    andreas
  • 0 in reply to synopex
    Hi,

    guess an outgoing portscan, from one of your internal clients?

    Chris
  • 0 in reply to NimmdirKeks
    i think no, because the iptable-engine first run ips as nat. also at home  i have running counter-strike on a client and if you refresh your server the asl also locates a portscan, but from the internal ip.
  • 0 in reply to synopex
    Hi,

    for the packetfilter yes, but not for the proxy-services (they come from the corresponding interface eg. the wan interface). 

    Novalogic traffic gets classified as SQL Attack :-).

    Chris

    edit
    Forgot, how is he triggered, 10 connections in 5 second to one port or multiple ports?
    /edit
  • 0 in reply to NimmdirKeks
    I also would expect some traffic generated by one of the proxies. Multiple downloads of several small files from a FTP server might look like a port scan for example. Could you please post the ports that were used by the portscan?

    Xeno
  • 0 in reply to Xeno
    FYI:

    2005:07:06-12:39:48 (none) snort[11784]: spp_portscan: PORTSCAN DETECTED on (null) from 213.146.120.x (THRESHOLD 10 connections exceeded in 3 seconds)
    2005:07:06-12:39:50 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 12 connections across 12 hosts: TCP(12), UDP(0)
    2005:07:06-12:39:52 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
    2005:07:06-12:40:04 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
    2005:07:06-12:40:08 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:40:19 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
    2005:07:06-12:40:22 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
    2005:07:06-12:40:27 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
    2005:07:06-12:40:29 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 6 connections across 6 hosts: TCP(6), UDP(0)
    2005:07:06-12:40:31 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
    2005:07:06-12:40:33 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 5 connections across 5 hosts: TCP(5), UDP(0)
    2005:07:06-12:40:37 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 8 connections across 8 hosts: TCP(8), UDP(0)
    2005:07:06-12:40:43 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:40:55 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:41:16 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:41:18 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:41:25 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 4 connections across 4 hosts: TCP(4), UDP(0)
    2005:07:06-12:41:35 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:41:44 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
    2005:07:06-12:41:49 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 2 connections across 2 hosts: TCP(2), UDP(0)
    2005:07:06-12:42:05 (none) snort[11784]: spp_portscan: portscan status from 213.146.120.x: 1 connections across 1 hosts: TCP(1), UDP(0)
    2005:07:06-12:42:08 (none) snort[11784]: spp_portscan: End of portscan from 213.146.120.x: TOTAL time(140s) hosts(48) TCP(62) UDP(0)
  • 0 in reply to synopex
    Hi,

    compare those logs with the proxy logs, maybe we can see some matches. 
    I hate those logs, all relevant data is missing. Like source, target, ports etc. Those snort messages are really useless for forensic. 

    Could be everything and nothing. Pop reqest to multiple accounts, HTTP request to multihomed sites, Trojan talking home or searching for others. 

    Chris
  • 0 in reply to NimmdirKeks
    i looked into the weblogs and surfed again this sites, but nothing do in ips. so i can not reproduce this error.

    other logfiles show nothing.
  • 0 in reply to synopex
    Hi,

    mybe some Adware talking to there home servers. 
    I guess the only thing you can do to get sure, is making a tcpdump the next time the alerts are triggerd. 

    Chris
Reply Children
No Data