Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal.

    Gostaria de um auxilio, ja busquei aqui no forum e vasculhei dentro do MK mas sinceramente não sei onde encontrar.

    Bem... hoje recebi uma notificação da CERT.br que um IP Válido estava "efetuando varreduras pela vulnerabilidade remota do software RealVNC (5900/TCP)" nos informando horário e IP, atualmente meu sistema de relatórios (Mysarg/SARG) esta fora do ar, nos clientes utilizo o IP Interno Fixo e o IP Válido é Dinamico, como atualmente o meu controle é somente pelo meu servidor (MK) gostaria de identificar este IP Válido se vinculou a qual IP Interno Fixo... em firewall>connections não consigo esta informação.

    # todos os horarios estao em GMT.
    Dec 09 18:50:23.420432 187.48.XXX.XX.1572 > xxx.xxx.xxx.66.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 2842338058:2842338058(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38174, len 48)
    Dec 09 18:50:24.870814 187.48.
    XXX.XX.1577 > xxx.xxx.xxx.67.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3328741:3328741(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38216, len 48)
    Dec 09 18:50:26.586836 187.48.
    XXX.XX.1580 > xxx.xxx.xxx.68.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 748310453:748310453(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38362, len 48)
    Dec 09 18:50:27.000016 187.48.
    XXX.XX.1582 > xxx.xxx.xxx.69.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 1638714322:1638714322(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38367, len 48)
    Dec 09 18:50:27.903823 187.48.
    XXX.XX.1583 > xxx.xxx.xxx.70.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3065811441:3065811441(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38409, len 48) etc.......


    Grato,
    Anderson

  2. Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.



  3. Citação Postado originalmente por bjaraujo Ver Post
    Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.
    Bom dia,

    No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...

    Não encontro onde se vinculam ambos.


    Anderson

  4. cria uma regra forward, com especifica a devida porta e coloca no action log.
    ai quem gerar trafego nessa porta, ficara registrado no address list.
    ai vc vai monitorando e vendo qtos clientes estao fazendo isso.



  5. Citação Postado originalmente por UsadosMAC Ver Post
    Bom dia,

    No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...

    Não encontro onde se vinculam ambos.


    Anderson
    Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
    Algo provisório seria você bloquear tal porta e esperar uma reclamação.






Tópicos Similares

  1. Ip publico no cliente rede em brigie
    Por salvato no fórum Redes
    Respostas: 3
    Último Post: 22-11-2013, 12:02
  2. Respostas: 5
    Último Post: 08-07-2012, 22:56
  3. Respostas: 4
    Último Post: 30-08-2011, 15:26
  4. Usar VNC em cliente com IP público via PPPoE
    Por ricardofjayme no fórum Redes
    Respostas: 2
    Último Post: 14-08-2008, 12:27
  5. IP Publico em Clientes
    Por Jonatanmcc no fórum Redes
    Respostas: 2
    Último Post: 26-05-2008, 08:57

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L