PCDVD數位科技討論區 - 此地無銀三佰兩??

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)

- - 此地無銀三佰兩?? (https://www.pcdvd.com.tw/showthread.php?t=271832)

此地無銀三佰兩??

前幾天在代管的機器上看到有"對面"來的傢伙一直要連到tcp port 170(destination port不變,source port有變,可能想試FW有沒有能用來連到中木馬的機器的洞...BTW,足足試了有兩小時,真是豬頭:tu: ),火大把原先closed port會送的tcp rst關掉直接drop掉,卻變成同一個sorce port持續在送tcp syn超過半小時還不知收手(可見他用的tool還真不怎麼樣:tu: ),後來發現那個IP的25 port有在listen(還是M$ Exchange:)),直接連到其smtp發信給postmaster請其check system或停止此類不友善的行為,說也奇怪不到兩分鐘就停了,可見是個拿到tool就到處亂玩的菜鳥,因為如此一來不就是自己承認有人在亂玩嗎:D:D...

BTW,不知有沒有人遇過類似的狀況啊??真不知"對面"來的傢伙到底在想些什麼,要玩也來點有創意的方式,完全破壞了internet的精神不說,就算成功了對他又有啥好處??不過放些一百年也沒人會看的web page,徒增別人的反感罷了....

可能是基於好奇吧？！ :cry: :shy: :nonono: :eek: :D :)

回覆: 此地無銀三佰兩??

引用:

Originally posted by cmwang
前幾天在代管的機器上看到有"對面"來的傢伙一直要連到tcp port 170
......
BTW,不知有沒有人遇過類似的狀況啊??真不知"對面"來的傢伙到底在想些什麼,要玩也來點有創意的方式,完全破壞了internet的精神不說,就算成功了對他又有啥好處??不過放些一百年也沒人會看的web page,徒增別人的反感罷了....

對面來的?...位置在那...那個網域呢??
p上來參考一下吧~...:D

回覆: 回覆: 此地無銀三佰兩??

引用:

Originally posted by hjfrank
可能是基於好奇吧？！

這種好奇法未免也太白目了點...

引用:

Originally posted by yoyocat
對面來的?...位置在那...那個網域呢??
p上來參考一下吧~...:D

218.22.219.131...以下是whois database的record(看來是ISP給user的dynamic ip,在"對面"的安徽省),BTW,遇到這類情形寫mail到chinanet或cert.org.cn和cnnic抱怨(老實講只差沒開罵了:tu: )通常也沒啥反應,甚至會被退回來(user unknow,夠扯吧:p),但更奇怪的是過幾天從這些subnet來的不友善的connection就會突然減少(只是換從別的subnet來,但其模式或說用的tool看來是一樣的:tu: ),讓人不得不懷疑背後的道理...

root@lab01:~# whois 218.22.219.131
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.22.0.0 - 218.23.255.255
netname: CHINANET-AH
descr: CHINANET Anhui province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: JW89-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-AH
changed: 20010528
status: ALLOCATED PORTABLE
source: APNIC

person: Chinanet Hostmaster
address: No.31 ,jingrong street,beijing
address: 100032
country: CN
phone: +86-10-66027112
fax-no: +86-10-66027334
e-mail:
e-mail:
nic-hdl: CH93-AP
mnt-by: MAINT-CHINANET
changed: 20021016
source: APNIC

person: Jinneng Wang
address: 17/F, Postal Building No.120 Changjiang
address: Middle Road, Hefei, Anhui, China
country: CN
phone: +86-551-2659073
fax-no: +86-551-2659287
e-mail:
nic-hdl: JW89-AP
mnt-by: MAINT-NEW
changed: 19990818
source: APNIC

不過我滿好奇的 , 你開 port 170 , 是做哪方面的事情 ??

引用:

Originally posted by lioushen
不過我滿好奇的 , 你開 port 170 , 是做哪方面的事情 ??

問題是我的機器根本沒開port 170,據google上的資料port 170是某個跑M$ OS的機器才會中的木馬的特徵,而我的機器根本是跑*nix的(所以也沒被裝這個木馬,至少我自己作弱點測試時沒發現),就像常有人拿攻擊IIS的tool要攻apache(反之亦然,要攻擊別人前好歹得弄清楚要攻擊些啥吧:p)完全是non-sense的行為,更不要說瞎試了兩個多小時還不知收手,非得要人點他還不知如何作damage control了...

print-srv 170/tcp #Network PostScript

C:\WINDOWS\system32\drivers\etc
裡頭有個services檔
用notepad打開
可看見系統常用的port及敘述
...講是這樣講
170是幹嘛的還是搞不清楚

回覆: 回覆: 回覆: 此地無銀三佰兩??

引用:

Originally posted by cmwang
這種好奇法未免也太白目了點...
218.22.219.131...以下是whois database的record(看來是ISP給user的dynamic ip,在"對面"的安徽省),BTW,遇到這類情形寫mail到chinanet或cert.org.cn和cnnic抱怨(老實講只差沒開罵了:tu: )通常也沒啥反應,甚至會被退回來(user unknow,夠扯吧:p),但更奇怪的是過幾天從這些subnet來的不友善的connection就會突然減少(只是換從別的subnet來,但其模式或說用的tool看來是一樣的:tu: ),讓人不得不懷疑背後的道理...

我覺得, 通常恐怖的人不是擁有那些專業知識的人或Hacker,
是那些拿到別人寫好的工具, 就沾沾自喜躍欲試的天兵.

大陸多是動態ip, 而且幾乎沒有管理的問題(因為沒有管理)
看cmwang兄這樣形容, 我覺得好像是機房人員在亂搞...:fear:

引用:

Originally posted by cmwang
就像常有人拿攻擊IIS的tool要攻apache(反之亦然,要攻擊別人前好歹得弄清楚要攻擊些啥吧:p)

這個我的紀錄檔中 ,也常常看見:D
應該是只是會玩工具的人亂用吧 ......

引用:

Originally posted by u8526425
print-srv 170/tcp #Network PostScript

C:\WINDOWS\system32\drivers\etc
裡頭有個services檔
用notepad打開
可看見系統常用的port及敘述
...講是這樣講
170是幹嘛的還是搞不清楚

謝謝指點