Houston, we are under attack!

[rvenes]

00 sec(s) after system power on : Blocked intrusion "TCP SYN Flooding" from 83.25.228.68 - email alert sent to minmail

00 sec(s) after system power on : **TCP SYN Flooding**    <TCP>  Source IP:83.25.228.68    Port:48218 Dest IP:minip  Port:7202

00 sec(s) after system power on : Blocked intrusion "TCP SYN Flooding" from 24.103.56.135 - email alert sent to minmail

00 sec(s) after system power on : **TCP SYN Flooding**    <TCP>  Source IP:24.103.56.135  Port:1189  Dest IP:minip  Port:15838

00 sec(s) after system power on : Blocked intrusion "TCP SYN Flooding" from 193.163.220.4 - email alert sent to minmail

00 sec(s) after system power on : **TCP SYN Flooding**    <TCP>  Source IP:193.163.220.4  Port:14425 Dest IP:MINIP  Port:9424

00 sec(s) after system power on : Blocked intrusion "TCP SYN Flooding" from 193.163.220.4 - email alert sent to minmail

00 sec(s) after system power on : **TCP SYN Flooding**    <TCP>  Source IP:193.163.220.4  Port:29937 Dest IP:MINIP  Port:91

 

Og slik forsatte lista nedover i loggen på routern.

 

Fikk også epost fra routern:

 

Dear User:

 

Your SMC Barricade Router has detected and protected you against an attempt to gain access to your network.

 

This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.

 

Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts.

 

Please save this email for comparison with future alert messages that you may get.

 

Alert Information

Time: Fri Jan  9 11:03:54 1970

Message: **TCP SYN Flooding**    <TCP>

Source: 83.25.228.68, 23228

Destination: 80.212.xxx.xxx, 8732

 

Visit the UXN Combat Spam web site to get more detailed information about the intruder - http://combat.uxn.com/

 

1. Type the intruder's IP address into the IP WHOIS search engine 2. Click the Query Button 3. Detailed network and administration information will be displayed

 

Er det bare gutt unger som driver ap?

Eller har fleire fått slikt?

Det skjedde etter klokka 00.00 1 janurar 2005

Burde eg sende mail med logg til [email protected]?

I såfall, kva isp?

Eg har Telenor ADSL....

[bitcowboy]

Hei,

 

en enkel trace av 83.25.228.68 fører frem til:

aiu68.neoplus.adsl.tpnet.pl ... ser ut til å være i Polen

 

Bak 193.163.220.4 skjuler det seg:

proxy-scanner.eris.dk ... muligens et forsøk å skjule seg bak denne proxien ... På denne serveren kjøres det også en irc-server ... kan komme derifra ....

 

Siden du ikke har fast IP hos telenor er dette nok mere tilfeldig ... start om routeren ... få ny IP fra telenor ... da burde du være kvitt problemet for denne omgangen.

Endret 1. januar 2005 av bitcowboy

[embark]

Kanskje det er Kevin Mitnick som hacker deg...

[lostone]

da trur jeg nok ikke den meldingen hadde kommet opp ;]~

[Zerge]

Send mail til Telenor, og få dem til å blokke IP'n i en viss tid i core-routerne sine.

[rvenes]

Kom ingen fleire attacs no.....

Det har roa seg...

[frank_jarle]

sikkert en som har scannet nettverket til Telenor da, ikke godt aa si. Men godt det stoppa i routeren din.

 

For nok av slike angrep selv, kommer enten fra Kina eller USA.

 

Frankie

Singapore

[Sjefern]

Hva er egentlig det værste som kunne skjedd av et slikt angrep?

[petterg]

Har flere slike angrep hver dag - har aldri gitt noen problemer utover å belaste linja. Driver likevel å forbedrer brannmur nå. Skal bl.a. sette alle IP'r som prøver seg med slike angrep i en tarpit, og autogenererer mail til abuse@angripers isp med varsling.

(Det er sjelden at ip'ne angrepet ser ut til å komme fra faktisk stemmer, men man kan være ganske sikker på noen har klart å instalere en bakdør på maskinene som har den ip'n slik at angriper kan missbruke maskina. Altså er det en grunn til at isp for den maskina bør reagere.)