<br><br><div class="gmail_quote">On Tue, May 22, 2012 at 11:18 PM, Mike Perry <span dir="ltr"><<a href="mailto:mikeperry@torproject.org" target="_blank">mikeperry@torproject.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thus spake Jon (<a href="mailto:torance.ca@gmail.com">torance.ca@gmail.com</a>):<br>
<div class="im"><br>
> On Tue, May 22, 2012 at 3:17 PM, Mike Perry <<a href="mailto:mikeperry@torproject.org">mikeperry@torproject.org</a>>wrote:<br>
><br>
</div><div class="im">> > > On Tue, 22 May 2012 13:29:54 -0500<br>
> > > Jon <<a href="mailto:torance.ca@gmail.com">torance.ca@gmail.com</a>> allegedly wrote:<br>
> > ><br>
> > > > Yep same here, got notice today from ISP on a report of the 20th for<br>
> > > > alledged hacking with someone using sqlmap. the reporting ip was a<br>
> > > > brazilian gov ip address.<br>
> > > ><br>
> > > > I just blocked the port and kept on serving....<br>
> ><br>
> > As of yet, no one has mentioned the port. Out of curiosity, is it<br>
> > included in the Reduced Exit Policy?<br>
> > <a href="https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy" target="_blank">https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy</a><br>
> ><br>
</div><div class="im">> >  The port was 57734 - of course that doesn't mean another port could be<br>
> used<br>
<br>
</div>Are you sure that's not the source port (which is randomized) for the<br>
incident? This is a weird destination port. <br>
<br>
If so, simply switching to the Reduced Exit Policy (or adding a reject<br>
line for *:57734) would prevent the attack from using your exit. No need<br>
to stop exiting entirely.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Mike Perry<br>
</font></span><br>______________________________________________<br>
<br></blockquote></div>Yes, that was the source port that was used thru my machine. ( you are correct, Mike )<br><br>The destination port was 80. The Host: 200.189.123.184<br><br>COSED [CSG-GOP-009] SCAN Sqlmap SQL Injection Scan = The Alert  that started the alleged hack attempt<br>
<br><br> I have had similar incidents in the past and all I did was block the port that was used and never had any more issues of the type that was reported.<br><br>This particular issue is the 1st for me. Time will tell if it did work or not. At this point, I am still running a Exit relay.<br>
<br><br>Jon<br>