Tag Attack.Portscan
Kurzinfo
Rechner, die viele Rechner oder viele Ports kontaktiert haben.
Treffsicherheit
Hoch, außer bei Adreß-Spoofing.
Da bei Portscans, zumindest wie sie uns berichtet werden, in der Regel keine Verbindung (insb. 3-Way-Handshake) zustande kommt, sind diese Hinweise auf Adreß-Spoofing anfällig. Das ist im Einzelfall anhand z.B. von Flow-Records nachzuprüfen.
Fehldiagnosen wegen interner Überprüfungen (Nagios, Nessus, etc...) sind unwahrscheinlich, da die hier gemeldeten Beobachtungen von Netzen außerhalb des ACOnet stammen.
Beschreibung
Verbindungsversuche mit vielen Ports eines Rechners oder dem selben Port vieler Rechner sind ein Hinweis darauf, daß jemand mögliche ziele für Angriffe erkundet oder bereits einen Angriff versucht.
- Häufig sehen wir Scans nach port 445 durch Bots wie z.B. Conficker, die sich zu verbreiten versuchen, port 22 bei Einbruchsversuchen mittels schwacher Paßwörter auf ssh, neuerdings auch Remote Desktop Protocol (port 3389).
- Scans auf port 22 oder 23 ausgehend von Windows PCs können auf infizierte Rechner hindeuten die versuchen verwundbare IOT Geräte zu identifizieren und zu infizieren um diese dem Mirai Bot Netz hinzuzufügen (siehe Links Abschnitt).
Regelmäßig sind die Rechner, von denen derartige Aktivitäten ausgehen, von Malware befallen oder weisen einen kompromittierten Account auf oder haben verwundbare PHP-Scripts.
Erfahrungen
(bisher keine Erfahrungsberichte verfügbar)
Links
https://www.golem.de/news/botnetz-wie-mirai-windows-als-sprungbrett-nutzt-1702-126342.html