Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 3149 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible breach

Jazzie05
Hi, 

I had a weird occurrence yesterday. I had the following entry in the web security usage report



It is at the bottom, the "anonymous" access... I only have two clients on my network. No pinholes in the FW (no inbound rules). Here is the second very strange occurrence that was from Taiwan! :



Which showed access to the SMTP service. Now I only have the SMTP proxy activated in order to receive notifications. I do not have a relay or smtp server for that matter. This is disturbing to say the least... I took measures to turn off the SMTP proxy in the mean time and I am watching my network a little more closely than usual. Does anyone know how/why this is happening. Especially if I don't have any external access to my FW... 


BTW: I did a 'Whoisip" on the ip and found it going to here:

OrgName:    Asia Pacific Network Information Centre 
OrgID:      APNIC
Address:    PO Box 2131
City:       Milton
StateProv:  QLD
PostalCode: 4064
Country:    AU

ReferralServer: whois://whois.apnic.net

NetRange:   219.0.0.0 - 219.255.255.255 
CIDR:       219.0.0.0/8 
NetName:    APNIC5
NetHandle:  NET-219-0-0-0-1



Regards
Jazzie


This thread was automatically locked due to age.
Parents
  • 0
    Probably someone scanning your external IP(s).

    Shouldn't be a concern as long as you aren't allowing any unknown external traffic through the firewall.

    Barry
  • 0 in reply to BarryG
    Hi BarryG!

    That may very well be! But, how does that explain the web proxy usage (1.2 Megs)?? this was from the anonymous user. How does one get anonymous on the fw anyways?

    The smtp access was small enough not to cause too much panic. It is the other bandwidth from this anonymous user that concerns me...

    Regards
    Jazzie
  • 0 in reply to Jazzie05
    Make sure you don't have the http proxy allowing external traffic, or even listening on the EXT interface, if possible.

    Then, check it with a portscanner from outside, or use one of the online portscanners such as the ShieldsUp test at grc.com

    the proxy port (80 or 8080 IIRC, depending on how you have the proxy setup) should be listed as 'closed' or 'filtered'.

    Barry
Reply
  • 0 in reply to Jazzie05
    Make sure you don't have the http proxy allowing external traffic, or even listening on the EXT interface, if possible.

    Then, check it with a portscanner from outside, or use one of the online portscanners such as the ShieldsUp test at grc.com

    the proxy port (80 or 8080 IIRC, depending on how you have the proxy setup) should be listed as 'closed' or 'filtered'.

    Barry
Children
  • 0 in reply to BarryG
    [SIZE=2]Hi, what are your packet filter rules?[/SIZE]
  • 0 in reply to RFCat_vk_01
    BarryG-

    Did a few port scans from GRC and Symantec. Both came out "Stealth" (closed)  Thnx for the heads up...

    RFCat_vk-

    Hi,

    I have all outbound rules for web surfing, email clients, IM (Adium), LOTR (online) and Guild wars. I only enable the game ports when needed. Otherwise they are off.  No icmp traffic and have spoof protection turned on normal. I still wonder how the anonymous account got access?

    Regards
    Jazzie
  • 0 in reply to Jazzie05
    Ok, 

    here it is again, this time it is from Italy, using the SMTP service again!



    And here is the SMTP usage:



    So in the mean time, I have turned off SMTP proxy usage all together. Better that then some kind of hole in the SMTP service, letting anyone use the service. Which is not favorable. The downside is no notifications, but I could live with that... 

    Regards
    Jazzie
  • 0 in reply to Jazzie05
    Jazzie05,

    You did not answer BarryG. In the HTTP Proxy > Allowed Networks what do you have listed? It should just list your internal networks. Make sure you did not put the ANY definition in the Allowed Networks for the HTTP and SMTP Proxy.
  • 0 in reply to Hi-con
    Hi-con-

    It is all set to my internal network. I would never make a mistake and set it to any. I have the internal server portion of my proxy going to my private ip...


    Regards
    Jazzie
  • 0 in reply to Jazzie05
    Hi,
    I would suggest that you have a look at the allowed protocols/ports in your various proxy configurations, because somewhere there is an "any" hiding.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hallo,

    one idea, have you a nat/dnat/snat-rule and you have enabled the option "Automatic 
    packet filter rule: " ? Then you have a rule, this rule is not visible in the packet filter screen.
    I had the same, the port 443 was open after a external portscan, was a dnat-rule for the Windows Home Server with enabled option for automatic packet filter rule. In the packet filter screen this rule was not visible.
    Hope, it will help you.

    Best regards for the new year 2008

    Egbert
  • 0 in reply to RFCat_vk_01
    Hi all!

    First of all, Happy New Year! (where ever you are! [:)] second, I don't have any hidden rule or Snat/Dnat rules to allow SMTP service to Taiwan. I just checked my network access log and sure enough, the same ip from Taiwan has used the SMTP that is supposed to be set to my interal ip. (Because Astaro wants an internal server, I set one of my ip's (internal) to the internal server and have a smart host for my ISP (Comcast). I love getting notifications, but if I have to give it up to keep any undesirables out, so be it... All rules I have are internal network----Outbound to any. Not the other way around. I re-installed Astaro to be sure it wasn't anything I did and the result is the same. Why would someone from Taiwan use my system (Astaro allowing) as a relay for smtp? I am pretty close on going for a different distro. I shall give it a week or so with close monitoring to see...

    Regards
    Jazzie05
  • 0 in reply to Jazzie05
    Why would someone from Taiwan use my system (Astaro allowing) as a relay for smtp?


    There's a big difference between TRIED and SUCCEEDED.

    If you have the SMTP proxy enabled, it will listen on the external interface, but that DOES NOT mean that it is relaying mail for spammers.

    Barry
  • 0 in reply to BarryG
    I understand this, but it states that the user had access to the network/proxy. For my eyes, this isn't right! it states the user from the ip sent and was acknowledged by the network. (no tried, but suceeded) in sending 500K in packets. And he/she done it more than once. It doesn't state blocked... And I have no rules allowing such an action..

    Regards
    Jazzie05