Muitos acessos nas portas 135, 138, 139 e 445

Boa tarde, galera !

De ontem pra cá percebi um tráfego muito intenso nas portas citadas no assunto desse post ... e isso deixa a navegação muuuito lenta !

Eu uso debian, e coloquei a seguinte regra para cada uma das portas que estavam sendo acessadas:

iptables -A INPUT -i eth1 -p tcp --dport 135 -j DROP

Usando o iptraf, percebi que o outro host envia entre 1 e 4 pacotes para a porta do meu server, mas o meu server não manda nenhum pra ele ... no netstat não tem nada que se pareça com isso ...

Alguém saberia me dizer a causa desse "ataque" e como faço pra resolver ?

Obs.: isso tb acontece em um server idêntico em outra empresa que presto serviços ...

Valew !!!!!!

Cara geralmente isso eh worm procurando windows com falha pra se instalar, veja se não eh gerado pela sua rede interna isso.

falows

Num é da rede interna não, k-ra ... eu monitorei a eth1, e os ips de origem são, quase sempre, do Speedy (200.207.qquer.coisa) ...

Mas como eu faço pra barra isso ? Será que com a regra q eu postei não adiantaria ??? eu percebi q depois dessas regras, o meu server não devolve nenhum pacote (antes delas devolvia) ...

Valew, k-ra ! :wink:

Se não passa mais pra sua rede interna e ele não responde ta certo sim, tpo geralmente esses worms ficam buscando a internet toda pra se propagar, e alem de gerar mta requsição nessas portas eles tb geram mtas requisições arp

falows

Blz, então ... vlw, k-ra !!!!!

São tcp, k-ra ... às vezes apareciam uns udp, mas agora não estou vendo mais nenhum deles ...

Esse server é o meu firewall/gateway (tenho outro com samba, etc ...) ... será q pode dar algum problema se eu fechar essas portas (135:139, 445) ???

Vlw !

(xiii ... 1c3_m4n ... seu post sumiu ! hehehe ... :lol: )

hehehe sumiu nao, eu apaguei mesmo, eu ia perguntar uma coisa que jah tinha sido falado e eu nao tinha visto. se eh trafego externo pode fechar, se fosse interno eu ia falar que o netbios do win usa essas portas 137:139 mas eh udp