Att man blir scannad hör ju inte till ovanligheterna direkt, speciellt när det gäller port 80, 21, 22, 137 osv. Idag när jag kikar i loggen ser jag till min förvåning att jag har blivit scannad på port 1433 (MS SQL-Server) 32 gånger från helt olika ip-nummer de senaste 30 timmarna, alla har skickat 3 paket. Gemensamt för alla IP:n (som ligger långt ifrån varandra) är att det inte finns någon ägare när man slår upp i RIPE-databasen.

Detta är väl inte så märkligt egentligen, att folk scannar efter SQL-Servrar kan man ju förstå. Men varför har mitt lilla nät blivit så poppis just nu? Har aldrig blivit scannad på 1433 förut... Finns det databaser med ip-nummer som ska scannas som jag har råkat hamna i tro? Detta är ju nästan i klass med CodeRed-anstormningen...;)

Lite lösa funderingar... Men frågar man inte får man inte veta ;) Kan tillägga att det inte finns någon SQL-Server på maskinen ifråga.

/Johan

Det är en ny mask som försöker infektera SQL Server maskiner som står öppna mot internet, utan lösenord på sa-användaren. Hur idiotiskt det är att ha en sådan konfiguration behöver jag nog inte nämna...

Tack, hittade äntligen lite info om det om någon annan är intresserad...

http://online.securityfocus.com/news/429

/Johan