NT Compromise -- UPDATE (UDP Flood SRC=53)

From: Loki (lokiat_private)
Date: Mon Dec 24 2001 - 08:09:23 PST
Next message: Kneppers: "SNMP scans, DoS and a VIP crash"
Previous message: Matthew S. Hallacy: "Re: *MAJOR SECURITY BREACH AT CCBILL**"
Next in thread: Mike Lewinski: "Re: NT Compromise -- UPDATE (UDP Flood SRC=53)"
Reply: Mike Lewinski: "Re: NT Compromise -- UPDATE (UDP Flood SRC=53)"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Hello Everyone, last week I posted an incident to this list requesting
information on mapping ports to apps. All of you kindly pointed me
towards fport, inzider, etc. I have a followup for all of you that has
been bugging me all week. I NEED to figure out what this traffic is as
it is what originally gave us the impression it was compromised. SOURCE
PORT of 53? The only thing I can google on this is a bit of references
to Stacheldraht. We have no payloads, no IDS at time. Has anyone seen
this before? Please Advise!

Destination IP Source IP  Prot     DstPrt SrcPrt Stat-Pkts Stat-Bytes
---------------- --------------- ----- ------ ------ ----------

136.XXX.XXX.39 136.XXX.XXX.10 UDP 1363 DNS 2 266 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1362 DNS 1 151 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1361 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1360 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1366 DNS 2 264 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1365 DNS 1 145 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1364 DNS 1 137 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1369 DNS 1 149 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1368 DNS 1 141 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1346 DNS 1 133 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1347 DNS 1 141 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1344 DNS 1 140 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1345 DNS 1 148 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1350 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1351 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1348 DNS 1 149 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1349 DNS 2 254 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1354 DNS 1 142 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1355 DNS 1 150 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1352 DNS 3 381 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1353 DNS 1 134 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1358 DNS 1 144 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1359 DNS 1 152 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1356 DNS 2 272 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1357 DNS 2 258 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1393 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1392 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1395 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1394 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1397 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1396 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1399 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1398 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1401 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1400 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1403 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1402 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1405 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1404 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1376 DNS 2 262 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1377 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1378 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1379 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1380 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1381 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1382 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1383 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1384 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1385 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1386 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1387 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1388 DNS 2 254 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1389 DNS 1 139 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1390 DNS 1 147 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1391 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1303 DNS 1 133 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1302 DNS 1 152 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1301 DNS 1 144 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1300 DNS 1 136 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1299 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1298 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1297 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1296 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1311 DNS 2 254 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1310 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1309 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1308 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1307 DNS 2 282 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1306 DNS 1 133 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1305 DNS 1 149 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1304 DNS 1 141 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1286 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1287 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1284 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1285 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1282 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1283 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1280 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1281 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1294 DNS 2 254 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1295 DNS 2 270 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1292 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1293 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1290 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1291 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1288 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1289 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1333 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1332 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1335 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1334 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1329 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1328 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1331 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1330 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1341 DNS 1 144 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1340 DNS 2 286 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1343 DNS 1 132 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1342 DNS 1 152 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1337 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1336 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1339 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1338 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1317 DNS 1 131 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1318 DNS 1 139 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1319 DNS 1 147 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1312 DNS 1 149 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1313 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1314 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1315 DNS 2 254 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1324 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1325 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1326 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1327 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1320 DNS 2 272 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1321 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1322 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1323 DNS 1 127 
136.XXX.XXX.39 130.49.144.34 ICMP - - 1 56 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1439 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1438 DNS 1 142 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1437 DNS 1 134 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1436 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1435 DNS 1 126 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1434 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1433 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1432 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1431 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1430 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1429 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1428 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1427 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1426 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1425 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1424 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1422 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1423 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1420 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1421 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1418 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1419 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1416 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1417 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1414 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1415 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1412 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1413 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1410 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1411 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1408 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1409 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1469 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1468 DNS 1 144 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1471 DNS 1 142 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1470 DNS 1 128 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1465 DNS 1 151 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1464 DNS 2 292 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1467 DNS 1 136 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1466 DNS 2 268 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1461 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1460 DNS 1 148 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1463 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1462 DNS 1 138 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1457 DNS 2 264 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1456 DNS 2 286 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1459 DNS 1 140 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1458 DNS 2 260 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1452 DNS 1 151 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1453 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1454 DNS 1 135 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1455 DNS 2 256 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1448 DNS 1 128 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1449 DNS 1 136 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1450 DNS 1 143 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1451 DNS 1 144 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1444 DNS 1 144 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1445 DNS 1 127 
136.XXX.XXX.39 136.XXX.XXX.10 UDP 1446 DNS 1 135 

-- 


============================================================
Loki
Founder, Chief Research Scientist
Fate Research Labs
United States VPN Division
------------------------------------------------------------
[w] http://www.fatelabs.com
[e] lokiat_private
[p] +1 412 303 3115
------------------------------------------------------------
"Ipsa Scientia Potestas Est" Knowledge itself is power.
============================================================


----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Next message: Kneppers: "SNMP scans, DoS and a VIP crash"
Previous message: Matthew S. Hallacy: "Re: *MAJOR SECURITY BREACH AT CCBILL**"
Next in thread: Mike Lewinski: "Re: NT Compromise -- UPDATE (UDP Flood SRC=53)"
Reply: Mike Lewinski: "Re: NT Compromise -- UPDATE (UDP Flood SRC=53)"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
This archive was generated by hypermail 2b30 : Mon Dec 24 2001 - 09:29:44 PST