Российские распределенные вычисления на платформе BOINC
Форум участников распределённых вычислений.

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<567
Опции
К последнему сообщению К первому непрочитанному
Offline Demis  
#121 Оставлено : 31 августа 2017 г. 12:42:27(UTC)
Demis


Статус: Я тут не впервой

Группы: Member
Зарегистрирован: 29.05.2017(UTC)
Сообщений: 45

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 7 раз в 7 постах
Автор: Sid Перейти к цитате
Автор: Demis Перейти к цитате
Автор: Sid Перейти к цитате
Бегло посмотрел код - открывается слушающий сокет на этом порту.
По приходу запроса на соединение проверяется, есть ли ip в списке разрешенных. Если нет, то выводиться это сообщение.
Надо рыть глубже. smile
То-то и оно, что глубже. В обычном состоянии нат не будет знать какому хосту во внутрь сети закинуть пакет, соответственно пакет будет отброшен и до внутреннего хоста не дойдет (и значит в логе этого хоста не появится). Исключение из этого, пожалуй, только если на роутере/файерволле сделан маппинг конкретного порта на внутренний хост.



Вот этого точно нет.
Хостов больше десяти, маппинг на все не сделаешь.
Тоже удивляюсь, как определяется, каким хостам слать пакеты.
WireShark поможет понять, конечно, но нужно время.

Еще идея - как я писал, пакеты приходят только на Линух машины. А там Боинк относительно старый 7.4.22 - тот, что был в репозитарии. Для винды уже есть 7.6.34
Может стоит обновить, но самому собирать лениво - машин много.

Кстати, можно на ансибле сделать обновление боинков на всех машинах, но нужно время.

Ну да, на все это нужно время и не мало.

Гипотетически можно предположить,
что у одного из считаемых проектов или боинк-клиента есть "иконка/баннер"
и прописан путь не локально в папку проекта, а в Интернет.

Тогда и будет, что боинк-клиент "дергает" этот путь, пакет улетает через нат, ответ прилетает обратно,
нат его "узнает", перекидивает отправившему, а дальше мы видим в логе.

Наверное это можно выловить просмотрев все xml-ки проектов, плюс самого боинк-клиента,
если он не стандартный.

Есть конечно еще вариант "скрытого" ретранслятора внутри сети на одном из компов, будь-то в виде бяки или вполне пристойной проги.

И таки, да, выше упоминалось про форум на эйнштейнеhttps://einsteinathome.org/ru/content/boinc-remote-host
Там чуть выше (над моей первой цитатой) есть пост:
Код:

> How can i connect BOINC-manager (v. 4.25 Win32) to BOINC-client on remote
> host. I cant do that, when i try to connect (File/Select computer...) to
> remote BOINC, "GUI RPC request from non-allowed address *.*.*.*" shows up in
> BOINC log-messages on remote host.
>
> Whats wrong, or what i have to do?
>
Hi Maxll,

you have to start the boinc client with the option -allow_remote_gui_rpc, than you can connect the client from an other host.

BamBam

Не пробовали посмотреть этот момент?

Вспомнилось одно письмо коллеге "по цеху". Не думаю, что это Ваш вариант, но просто имейте ввиду, что и такие фокусы встречаются:
Код:
-------- Пересылаемое сообщение --------
15.04.2017, 20:25, "DemIS" <>:

Интересную вещь, я тут обнаружил, кто-то стал ломится на 500-ый порт.

В логах такая диагностика:
Mar 20 05:03:02 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.94[12016]
Mar 23 05:05:07 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.78[10193]
Mar 25 18:18:34 gw1 mpd: [L-1] LCP: parameter negotiation failed
Mar 26 03:33:04 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.122[18379]
Mar 27 05:23:23 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.82[8645]
Mar 28 05:22:47 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.122[54098]
Mar 29 04:54:22 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.118[4651]
Mar 30 04:55:57 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.114[53043]
Mar 31 03:10:06 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.78[43564]
Apr 1 04:23:25 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.122[34083]
Apr 2 04:00:30 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.106[16416]
Apr 3 05:48:30 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.122[8382]
Apr 4 04:25:03 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.90[2984]
Apr 5 03:41:25 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.126[5884]
Apr 6 04:42:35 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.66[28794]
Apr 7 04:07:56 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.74[52106]
Apr 8 16:16:08 gw1 mpd: [L-1] LCP: parameter negotiation failed
Apr 9 04:56:05 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.66[6446]
Apr 10 05:31:01 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.74[26131]
Apr 11 05:29:39 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.70[36877]
Apr 12 05:05:59 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.78[56397]
Apr 13 05:13:41 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.90[21908]
Apr 14 04:24:00 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.74[20131]
Apr 15 03:32:34 gw1 iked: [INFO]: ikev1.c:997:isakmp_ph1begin_r(): respond new phase 1 negotiation: MY-EXTERNAL-IP[500]<=>216.218.206.94[61898]

Интересно, думаю, а кто это?
Полез смотреть сети.
На айрине, ну да, амеры, калифорния.

Ладно, думаю, посмотрим "по тупому", например в браузере http://216.218.206.94/
И???
Читаем:
The Shadowserver Foundation

If you are looking at this page, then more than likely, you noticed a scan coming from this server across your network and/or poking at a service that you have running.

The Shadowserver Foundation is currently undertaking a project to search for publicly accessible devices that have services running that should not be exposed because they are trivial to exploit or abuse. The goal of this project is to identify hosts that have these types of services exposed and report them back to the network owners for remediation.

Further details on this scanning project can be found on our blog at: http://blog.shadowserver.org/2014/03/28/the-scannings-will-continue-until-the-internet-improves/

Statistics on these scans can be found at: http://blog.shadowserver.org/2014/08/22/of-scannings-and-statistics/

If you would like to sign up for reports on any data that we have collected on your network, you can request them from here: https://www.shadowserver.org/wiki/pmwiki.php/Involve/GetReportsOnYourNetwork

All of the probes that are used in our tests are benign and do not ( and will never ) contain exploit code. Scans with these types of tools are off-limits for us.

All the data that we collect is visible to anyone who connects to a particular host with on the proper port using the proper commands.

If you have any more questions please feel free to send us an email at: dnsscan [at] shadowserver [dot] org.

Иду по ссылке:
http://blog.shadowserver.org/2014/03/28/the-scannings-will-continue-until-the-internet-improves/
Вижу текст пониже про ISAKMP (там вооще много каких протоколов перечислено)
и ссылка на https://isakmpscan.shadowserver.org/

Иду туда и читаю внимательно, а там:
Vulnerable ISAKMP Scanning Project

This scan is looking for devices that contain a vulnerability in their IKEv1 packet processing code that could allow an unauthenticated, remote attacker to retrieve memory contents, which could lead to the disclosure of confidential information. More information on this issue can be found on Cisco's site at: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

The goal of this project is to identify the vulnerable systems and report them back to the network owners for remediation.

Information on these vulnerable devices has been incorporated into our reports and is being reported on a daily basis.
Methodology

We are querying all computers with routable IPv4 addresses that are not firewalled from the internet with a specifically crafted 64 byte ISAKMP packet and capturing the response. We intend no harm, but if we are causing problems, please contact us at: dnsscan [at] shadowserver [dot] org.
Whitelisting

To be removed from this set of scanning you will need to send an email to dnsscan [at] shadowserver [dot] org with the specific CIDR's that you would like to have removed. You will have to be the verifiable owner of these CIDR's and be able to prove that fact. Any address space that is whitelisted will be publicly available here: https://isakmpscan.shadowserver.org/exclude.html

Естественно дальше иду уже на:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
И вот тут все становится уже окончательно понятным.

Амеры запустили сканер на весь тырнет по поиску уязвимых хостов по целому ряду протоколов.
Ну что-же благое дело.

Вот одно меня только мучает:
Применяю racoon2 для связи сетей уже так года с 2009-2010 (примерно).
Тот самый IKEv1 вырезан мной из конфигов еще тогда.
В /etc/ipsec.conf, да и во всех настройках тоже, и прописаны жестко конкретные IP адреса.

В ipfw тоже жестко прописаны конкретные IP адреса для подключения к 500 порту.
Перепроверил загруженные правила, все вроде верно, никаких ань (any) нету.

И собственно вопрос, а как это они тогда законнектились ко мне на 500-ый порт?
На вскидку вроде все в правилах красиво, но нужно будет конечно это дело перепроверить еще раз двадцать.
Чудес ведь не бывает, все чудеса делаются собственными руками.

https://www.us-cert.gov/ncas/alerts/TA14-017A

С уважением,

-------- Конец пересылаемого сообщения --------

Отредактировано пользователем 1 сентября 2017 г. 13:52:16(UTC)  | Причина: пришли мысли и начали с кем-то беседовать...

Пользователи, просматривающие эту тему
Guest (2)
7 Страницы«<567
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

AlexA theme. Created by AlexA
Форум YAF 2.1.1 | YAF © 2003-2018, Yet Another Forum.NET
Страница сгенерирована за 0.057 секунды.