+ Responder ao Tópico



  1. #1
    violinista
    Visitante

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    Boa tarde, galera !

    De ontem pra cá percebi um tráfego muito intenso nas portas citadas no assunto desse post ... e isso deixa a navegação muuuito lenta !

    Eu uso debian, e coloquei a seguinte regra para cada uma das portas que estavam sendo acessadas:

    iptables -A INPUT -i eth1 -p tcp --dport 135 -j DROP

    Usando o iptraf, percebi que o outro host envia entre 1 e 4 pacotes para a porta do meu server, mas o meu server não manda nenhum pra ele ... no netstat não tem nada que se pareça com isso ...

    Alguém saberia me dizer a causa desse "ataque" e como faço pra resolver ?

    Obs.: isso tb acontece em um server idêntico em outra empresa que presto serviços ...

    Valew !!!!!!

  2. #2

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    Cara geralmente isso eh worm procurando windows com falha pra se instalar, veja se não eh gerado pela sua rede interna isso.

    falows



  3. #3
    violinista
    Visitante

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    Num é da rede interna não, k-ra ... eu monitorei a eth1, e os ips de origem são, quase sempre, do Speedy (200.207.qquer.coisa) ...

    Mas como eu faço pra barra isso ? Será que com a regra q eu postei não adiantaria ??? eu percebi q depois dessas regras, o meu server não devolve nenhum pacote (antes delas devolvia) ...

    Valew, k-ra ! :wink:

  4. #4

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    Se não passa mais pra sua rede interna e ele não responde ta certo sim, tpo geralmente esses worms ficam buscando a internet toda pra se propagar, e alem de gerar mta requsição nessas portas eles tb geram mtas requisições arp

    falows



  5. #5
    violinista
    Visitante

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    Blz, então ... vlw, k-ra !!!!!

  6. #6
    violinista
    Visitante

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    São tcp, k-ra ... às vezes apareciam uns udp, mas agora não estou vendo mais nenhum deles ...

    Esse server é o meu firewall/gateway (tenho outro com samba, etc ...) ... será q pode dar algum problema se eu fechar essas portas (135:139, 445) ???

    Vlw !

    (xiii ... 1c3_m4n ... seu post sumiu ! hehehe ... :lol: )



  7. #7

    Padrão Muitos acessos nas portas 135, 138, 139 e 445

    hehehe sumiu nao, eu apaguei mesmo, eu ia perguntar uma coisa que jah tinha sido falado e eu nao tinha visto. se eh trafego externo pode fechar, se fosse interno eu ia falar que o netbios do win usa essas portas 137:139 mas eh udp