Wzmożona aktywność w poszukiwaniu otwartych SOCKS proxy
Jak poinformował zespół CERT – od paru dni można zaobserwować większą ilość przypadków skanowań w poszukiwaniu otwartych proxy – port 1080/TCP, 3127/TCP oraz 3128/TCP. Dwa ostatnie porty otwierane są na komputerach zainfekowanych wirusem MyDoom.
Na porcie 1080/TCP rezyduję usługa SOCKS. Wykorzystywana jest do przekierowywania połączeń przez firewalle. Jeżeli jest źle skonfigurowana, możliwe jest jej wykorzystanie do przekierowywania nieuwierzytelnionych połączeń z zewnątrz. Dzięki temu, atakujący, który znajdzie takiego pośrednika, może maskować swój rzeczywisty adres. Podobne możliwości oferują komputery zainfekowane wirusem MyDoom, najczęściej na portach 3127 i 3128. Port 3128 jest także kojarzony ze Squidem (proxy http).
Skanowanie jest charakterystyczne – każde źródłowe IP odpytuje wyżej wymienione trzy porty. Informacje o otwartych proxy mogą posłużyć w przyszłości do rozsyłania spamu lub do przeprowadzania dalszych ataków.
Wykresy przedstawiające aktywność na portach w ciągu ostatnich pięciu dni