Επιθέσεις firewall – Αναλύσεις Logs – Βοήθεια – Γνώμες

**RpMz** · 28-01-20, 18:52

Το φτιάχνω αυτό το νήμα για να μπορούμε να αναλύουμε logs, από διάφορα που βλέπουμε στα μπρίκια μας.

Αν δεν συμφωνούν οι mod, μπορούν να το διαγράψουν.

- - - Updated - - -

Και ας ξεκινήσω με δικά μου logs.

Τις τελειταίες 4 μέρες λαμβάνω τα παρακάτω:

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: 111111111.png
Εμφανίσεις: 49
Μέγεθος: 52,6 KB
ID: 211031

Port UDP 22937.

Έβαλα ένα Rule με αποτέλεσμα να έχει αρκετά hint.

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: 2222222.PNG
Εμφανίσεις: 28
Μέγεθος: 36,0 KB
ID: 211032

Με λίγο ψάξιμο δεν βρήκα ιδιαίτερο.

Για ρίξτε καμία ιδέα.

**Nikiforos** · 28-01-20, 20:59

καλησπέρα, τσεκαρες την ip αυτη τι ρολο βαραει με nmap ? και φυσικα να ψαξεις απο που ειναι.
Εγω κατα καιρους στα logs στο fw βλεπω port scanners γιατι τρωνε πορτα αλλα τους ψαχνω αν δεν βαριεμαι και βρισκω μερικους πολυ ανοιχτους τελικα.

**RpMz** · 29-01-20, 09:49

Είναι απο καμιά 10αρια διαφορετικές IP.

**griniaris** · 29-01-20, 12:45

χωρες προελευσης?

Η 2.87.115.133 παντως ειναι cosmote. Εσυ απο οτι βλεπω ..... γραφεις οτι εχεις vodafone
Μηπως εχεις κανα VPN η τιποτα αλλο ?

**Nikiforos** · 29-01-20, 12:53

Αρχικό μήνυμα από RpMz

Είναι απο καμιά 10αρια διαφορετικές IP.

Καλημέρα, μηπως είναι τιποτα δικο σου? γιατι και εγω κατι τετοιο ειχα παθει και εψαξα και ηταν τα δικα μου τελικα...

αλλα εμενα ηταν μια Ip.
Τωρα αν είναι πολλες είναι περιεργο.
Ολες ξεκινανε από τα ιδια? cosmote είναι, και εμενα στο εξοχικο ετσι είναι η ip.

**RpMz** · 29-01-20, 14:43

Destination έχει ένα VM που κάνω remote δουλίτσες. Ίσως να έχει τσιμπήσει κάτι ή τρέχει κάτι cloud.

Source IP List που έβαλα για λίγο στο MT:

Κώδικας:

37.212.38.69           jan/29/2020 13:28:35
179.100.53.73          jan/29/2020 13:28:56
213.34.163.254         jan/29/2020 13:29:03
59.86.57.32            jan/29/2020 13:29:11
31.209.235.190         jan/29/2020 13:29:17
81.147.176.29          jan/29/2020 13:29:31
80.147.26.181          jan/29/2020 13:29:45
90.154.70.180          jan/29/2020 13:29:52
69.203.202.245         jan/29/2020 13:29:59
163.172.221.76         jan/29/2020 13:30:06
121.254.20.2           jan/29/2020 13:30:13

Η σύνδεση είναι ΟΤΕ με dynamic ip.

**griniaris** · 29-01-20, 15:19

Αρχικό μήνυμα από RpMz

Destination έχει ένα VM που κάνω remote δουλίτσες. Ίσως να έχει τσιμπήσει κάτι ή τρέχει κάτι cloud.

Source IP List που έβαλα για λίγο στο MT:

Κώδικας:

37.212.38.69           jan/29/2020 13:28:35
179.100.53.73          jan/29/2020 13:28:56
213.34.163.254         jan/29/2020 13:29:03
59.86.57.32            jan/29/2020 13:29:11
31.209.235.190         jan/29/2020 13:29:17
81.147.176.29          jan/29/2020 13:29:31
80.147.26.181          jan/29/2020 13:29:45
90.154.70.180          jan/29/2020 13:29:52
69.203.202.245         jan/29/2020 13:29:59
163.172.221.76         jan/29/2020 13:30:06
121.254.20.2           jan/29/2020 13:30:13

Η σύνδεση είναι ΟΤΕ με dynamic ip.

Αν κανεις disable to VPN πως συμπεριφερεται ? συνεχιζει ?

**RpMz** · 30-01-20, 09:32

Το απενεργοποίησα για κανα 15λεπτο και το ενεργοποίησα, αλλα δεν ξανα είδα κάτι.

Το παρακολουθούμε.

Θέμα: Επιθέσεις firewall – Αναλύσεις Logs – Βοήθεια – Γνώμες

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές