Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
приходят пакеты на 1433 порт
 
Трое суток с одного адреса идет до 6 пакетов в секунду на 1433 порт. Как победить эту заразу? Делал порт невидимым, давал ответ "Закрыт", выдергивал кабель. Трафик все равно идет и провайдер его считает.
 
http://www.iss.net/security_center/advice/Exploits/Ports/gro ups/SQL/default.htm

Что говорит что у Вас стоит SQL сервер дальше надо в ту сторону копать, проблем может быть куча, особенно когда у Вас нету сервера SQL
 
Цитата
zer0 пишет:
...выдергивал кабель. Трафик все равно идет и провайдер его считает.
:))) значит сетка у тебя идет не по кабелю
 
Никакие ухищрения на Вашей стороне не помогут. Трафик идет от зараженной машины, которая пытается искать другие серверы MS SQL для дальнейшего распространения заразы.
 
Цитата
nmalykh пишет:
Трафик идет от зараженной машины, которая пытается искать другие серверы MS SQL для дальнейшего распространения заразы.

Это понятно. Что это за зараза такая, которая долбится на закрытый порт 4-е сутки. Смотрю логи, в день до 6 атак на 1433 порт, но максимум 10 минут.

Кстати, трафик платный, 10 центов/Мб.
 
Напишите письмо провайдеру, желательно с логами, укажите свой айпи, логин, айпи атакующего, порт, время.
 
Писал, звонил провайдеру. Обещали послать письмо провайдеру атакующего (в Лондоне).
По tracert видно, сервер принадлежит Лондонской велосипедной компании. На фото http://www.lcc.org.uk/ женщины арабского вида с велосипедами.
 
Цитата
zer0 пишет:

Это понятно. Что это за зараза такая, которая долбится на закрытый порт 4-е сутки. Смотрю логи, в день до 6 атак на 1433 порт, но максимум 10 минут.
Вам еще повезло - обычно такого трафика гораздо больше. У меня за сутки такого трафика накапливаются мегабайты, причем идет он на все адреса нашей АС, независимо от того, используются ли эти адреса в реальности. Т. е., данная зараза шлет пакеты не только живым хостам, но и просто по всем адресам IP.
 
Сейчас идет по 30Мег/сутки, а лимит в месяц 1 гиг.
 
Цитата
zer0 пишет:
Писал, звонил провайдеру. Обещали послать письмо провайдеру атакующего (в Лондоне).
По tracert видно, сервер принадлежит Лондонской велосипедной компании. На фото http://www.lcc.org.uk/ женщины арабского вида с велосипедами.
Попросите своего провайдера закрыть фильтром входящий к вам трафик на порту 1433.
 
Проблема решена, провайдер сменил мне IP-ник.
 
ндаа... ip-ник это сильно... :))
Страницы: 1
Читают тему (гостей: 1)