Atak ?
Wydrukowane z: Forum Magazynu Komputerowego ENTER Wątek: Autor wątku: Użytkownik
Temat: Atak ? Szanowni Forumowicze. Oto raport Firewall-a po kilku minutach pracy w necie :
Odpowiedzi:
Autor odpowiedzi: motiwm To był atak z zagranicy: Amsterdam, Holandia. Widać że ktoś skanował porty aby uzyskać dostęp do twojego kompa.
Adres URL wątku: http://forum.enter.pl/archiwum/forum_watek_nr_3572.html
Forum: Klub Użytkownika
Wysłane: 21/01/2003 20:04:20
Treść:
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 62738) [TCP Flags: S].
Time: 21-01-03 19:33:02
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 62803) [TCP Flags: S].
Time: 21-01-03 19:33:32
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 63318) [TCP Flags: S].
Time: 21-01-03 19:37:50
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 63461) [TCP Flags: S].
Time: 21-01-03 19:39:06
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 63608) [TCP Flags: S].
Time: 21-01-03 19:40:22
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 63836) [TCP Flags: S].
Time: 21-01-03 19:41:38
The firewall has blocked Internet access to your computer (TCP Port 6346) from 146.50.166.250 (TCP Port 63996) [TCP Flags: S].
Time: 21-01-03 19:42:56
Czy jest ktoś kto mógłby zinterpretować te wpisy ? Czy był to atak na komputer ? Co z tym zrobić ? Czy był to atak? z Polski, czy z zagranicy?
Dziękuję, old
Wysłano: 21/01/2003 20:10:08
Treść:
Autor odpowiedzi: koziolek
Wysłano: 21/01/2003 20:10:50
Treść:
Nie wygląda to na atak.
Port 6346 nie jest wykorzystywany przez znane wirusy, natomiast używa go GNUtella. Jeżeli jej nie używasz, to po prostu ktoś przeskanował Twój komputer pod kątem tego programu, co jest absolutnie niegroźne. Jeżeli natomiast używasz Gnutelli, to nie ma co się dziwić.
A jak sprawdzić skąd ten niby "atak" ? Użyj programu VisualRoute (do pobrania tutaj: http://www.chip.pl' Target=_Blank>Link w dziale Download).
Autor odpowiedzi: koziolek
Wysłano: 21/01/2003 20:11:20
Treść:
Hehehehe, dobre :), dobre :) jednoczesne i do tego różne zdania :)
Autor odpowiedzi: motiwm
Wysłano: 21/01/2003 20:13:58
Treść:
No właśnie z tego skorzystałem, i oto co wyświetlił:
It is a HTTP server (running Apache/1.3.12 (Unix) (Red Hat/Linux) PHP/3.0.15).
Autor odpowiedzi: koziolek
Wysłano: 21/01/2003 20:16:29
Treść:
Ale kto to wyświetlił ? Jaki komputer i jaki port ?
Autor odpowiedzi: motiwm
Wysłano: 21/01/2003 20:22:21
Treść:
To wyświetlił VisualRoute
zobacz tutaj: http://www.enter.net.pl/www/motiwm/temp/maptable.gif' Target=_Blank>Link
Autor odpowiedzi: koziolek
Wysłano: 21/01/2003 20:28:02
Treść:
Już rozumiem. Moim zdaniem 3 wyjścia:
- ten IP to serwer proxy
- ten IP to serwer WWW oraz jakiś węzeł GNUtelli
- ten IP to jakiś komputer roboczy, na którm zainstalowany jest serwer WWW apache (może koleś sobie coś testuje), a także GNUtella, której on używa.
VisualRoute widać sprawdza co siedzi m.in. na porcie 80, a tam siedział Apache. Troszkę to dziwne, ale zauważ, że na tym porcie 6346 nie siedzi chyba nic innego poza GNUtellą, więc co to za próba włamania, jeśli już z założenia jest skazana na porażkę ?
Autor odpowiedzi: golonez
Wysłano: 21/01/2003 20:41:23
Treść:
W 99,9% to nie atak, gybym sie przejmowal kazdym takim komunikatem - a mam ich dziennie ze 1200, to schizofreni bym chyba dostał.
Pozdrowienia
Paweł
Autor odpowiedzi: Jurtv
Wysłano: 22/01/2003 11:24:31
Treść:
Witam
A co myslicie o takim komunikacie?
Rule "Default Block Backdoor/SubSeven Trojan horse" blocked (212.xxx.xxx.xxx),27374). Details:
Inbound TCP connection
Local address,service is (212.xxx.xxx.xxx),27374)
Remote address,service is (212.217.71.162,2588)
Process name is "N/A"
To IP jest z Maroka ,a internet nie zna granic ;)
Pozdrawiam Jurtv.
Autor odpowiedzi: golonez
Wysłano: 22/01/2003 12:04:55
Treść:
Mysle ze ktos sprawdzał czy masz zainstalowanego subseven:)
Pozdrowienia
Paweł
Autor odpowiedzi: Jurtv
Wysłano: 22/01/2003 12:20:42
Treść:
Ale udało mu się przysporzyc mi zajęcia,przeskanowałem wszystko antywirem i się okazało przy okazji że wskoczył mi I worm,do tego przeskanowałem sobie porty czy coś nie siedzi i na wszelki wypadek wpisałem ciekawskiego Marokańczyka do firewalla jako persona non grata ;)
Wolę wirusy,nie cierpię trojanów
Pozdrawiam Jurtv.
Autor odpowiedzi: koziolek
Wysłano: 22/01/2003 13:14:32
Treść:
Ja też nie cierpię trojanów, ale wirusów także :)
Autor odpowiedzi: Jurtv
Wysłano: 22/01/2003 13:19:26
Treść:
Ja już nic nie lubię ;(.
Ja się tu bawię znacznikami ,a w tym czasie alarm :
Date: 2003-01-22 Time: 13:05:08
Rule "Default Block Hack 'A' Tack Trojan horse" blocked (212.xxx.xxx.xxx),31789). Details:
Inbound UDP packet
Local address,service is (212.xxx.xxx.xxx),31789)
Remote address,service is (212.71.59.117,31790)
Process name is "N/A"
Tym razem z Arabii Saudyjskiej i co znowu mnie skanowali ?
Niebezpieczne to zycie na zewnętrznym IP :)
Autor odpowiedzi: Jurtv
Wysłano: 22/01/2003 14:01:22
Treść:
I ponowny alarm,tym razem z IP 211.225.117.101-Seul i ponownie trojan SubSeven
Co tak często, czy też tak macie ?
Pozdrawiam Jurtv.
Autor odpowiedzi: koziolek
Wysłano: 22/01/2003 14:04:12
Treść:
Mi teraz nie loguje takich rzeczy (mam "Tiny PF"), ale kiedyś na ZoneAlarmie było troszkę takich skaningów jedorazowych portów. Moim zdaniem, gdy nie ma się trojana, to nie ma się też czym przejmować. A żeby nie mieć trojana, trzeba stale czuwać nad komputerem (czyt. nad pozostałymi uzytkownikami... :)
Edited by - Koziolek on 2003-01-22 14:05:01
Autor odpowiedzi: golonez
Wysłano: 22/01/2003 14:04:41
Treść:
quote:
2003-01-22 12:15:05 Próba połączenia 212.76.83.253 TCP(17300)
2003-01-22 12:15:00 Próba połączenia 61.11.27.146 UDP(137)
2003-01-22 12:12:42 Próba połączenia 81.50.4.33 UDP(137)
2003-01-22 12:09:05 Próba połączenia 195.158.106.112 UDP(137)
2003-01-22 12:08:07 Próba połączenia 212.52.192.70 TCP(1433)
2003-01-22 12:07:56 Próba połączenia 213.186.79.170 TCP(3616)
2003-01-22 12:06:07 Próba połączenia 210.212.145.1 UDP(137)
2003-01-22 12:05:56 Próba połączenia 213.186.79.170 TCP(3616)
2003-01-22 12:05:43 Próba połączenia 80.14.33.65 UDP(137)
2003-01-22 11:57:22 Próba połączenia 80.14.33.65 UDP(137)
2003-01-22 11:52:01 Próba połączenia 218.11.116.208 UDP(137)
2003-01-22 11:51:24 Próba połączenia 213.186.79.170 TCP(3588)
2003-01-22 11:46:45 Próba połączenia 218.77.196.2 UDP(137)
2003-01-22 11:45:30 Próba połączenia 213.186.79.170 TCP(3564)
2003-01-22 11:43:30 Próba połączenia 213.186.79.170 TCP(3564)
2003-01-22 11:41:49 Próba połączenia 212.76.48.191 UDP(137)
2003-01-22 11:39:45 Próba połączenia 213.186.79.170 TCP(3549)
2003-01-22 11:37:45 Próba połączenia 213.186.79.170 TCP(3549)
i tak przez caly dzień:) - czesciowo dzieki kazaa i emule
Pozdrowienia
Paweł
Edited by - golonez on 2003-01-22 14:06:07
Autor odpowiedzi: Jurtv
Wysłano: 22/01/2003 14:39:40
Treść:
Gdyby mnie tak delikatnie informował mój firewall to bym się może nie przejmował (chociaż nie mam zamiaru panikować) ;)
Autor odpowiedzi: Yeti55
Wysłano: 22/01/2003 16:31:41
Treść:
Golonez, a jak byś zareagował na skanowaie 10tys portów z jednego adresu trochę rozłożone w czasie (w sumie cztery próby w trzy dni)???
Pozdrowienia od FUTRZAKA
Autor odpowiedzi: golonez
Wysłano: 22/01/2003 16:51:17
Treść:
Jawna agresja;) - a co zrobic to juz zalezy chyba skad. Czsami chyba mozna sie tylko lepiej obwarować. Na szczeście takie skanowania przytrafiaja sie chyba wyłacznie serwerom, a nie zwykłym domowym pecetom - a moze sie mylę?. Ja przynajmniej przez 3 lata użytkownia nie odnotowałem ataku na taka skalę...
Pozdrowienia
Paweł
ps. i co w takiej sytuacji zrobiłeś
Edited by - golonez on 2003-01-22 16:54:17
Autor odpowiedzi: koziolek
Wysłano: 22/01/2003 19:20:14
Treść:
Domowy pecet właściwie poza trojanami i bug'ami w MIE oraz Outlooku nie jest zagrożony . Taki skan, o którym mówił Futrzak, to chyba przypadek jeśli się trafił dla kogoś z pecetem. Zresztą hakerów chyba nie interesują zwykłe pecety (bo to zresztą nie jest wyzwanie) tylko serwerki :)
Autor odpowiedzi: dominik w.
Wysłano: 22/01/2003 20:12:08
Treść:
Polecam artykuł w Komputer Świat Ekspert pt. "Namierzyć intruza", gdzie krok po kroku opisane jest jak namierzyć skanyjący nas komputer.
pozdrawiam
dominik w.(debica)
Autor odpowiedzi: koziolek
Wysłano: 22/01/2003 20:15:51
Treść:
Nareszcie udało mi się odnaleźć Bazę WHOIS. Oto adres:
http://www.ripe.net/perl/whois' Target=_Blank>Link
Można się dowiedzieć co się czai za numerem IP i do kogo słać maile (adres abuse@)
Autor odpowiedzi: Użytkownik
Wysłano: 22/01/2003 20:21:54
Treść:
Dzięki za odpowiedzi.
Normalnie nie przejmuję się komunikatami Firewall-a, który w czasie połączenia
z netem co kilka minut informuje mnie o próbie włamania.
Zerkam tylko na numer IP delikwenta - czy się nie powtarza.
Pierwszy raz mi się zdarzyło, że IP się powtarzało w kolejnych 7 próbach ataku.
I to mnie zaniepokoiło, i do Was napisałem.
Jeszcze raz dziękuję.
old
Autor odpowiedzi: koziolek
Wysłano: 22/01/2003 20:23:33
Treść:
Nie ma sprawy i polecamy się na przyszłość ! (ostatnie słowa to zachęta do kolejnych odwiedzin ;)
Forum Magazynu Komputerowego ENTER : http://forum.enter.pl/
© 1997-2004 LUPUS Sp. z o.o.