Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Атаки  (Прочитано 19697 раз)
0 Пользователей и 4 Гостей смотрят эту тему.
LP
Помогающий

ru
Offline Offline

« : 30-05-2005 15:40 » new

Установил вчера Agnitum Outpost Firewall, с тех пор постоянно выходят сообщения о каких-то атаках,
сканировании портов моего компа, запросы svchost на какие-то соединения... Задолбался уже...   Так больше нельзя...
Вот сижу, пишу этот пост и постоянно отключаю эти сообщения. Кто-нибудь знает - опасно ли это и что с этим делать?
Записан

Если эта надпись уменьшается, значит ваш монитор уносят
nikedeforest
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #1 : 30-05-2005 20:47 » 

У моего друга тоже так. Относится к этому вполне спокойно и пока ничего страшного не случилось Улыбаюсь
Записан

ещё один вопрос ...
schnibbl
Гость
« Ответ #2 : 31-05-2005 04:42 » 

вот относись спокойно и жди пока тебя вые...т, а на мой взгляд лудше провайдеру пожаловаться. у нас вот тоже сеть локальная раньше было 20 калек, но все друг друга в лицо знали, вместе пили, вместе горевали... эх было времечко.... а терь сеть до 400 человек разрослась естессвенно уже не дружественный масштаб, поэтому эту заразу надо под корень рубить, пока она не научилась грамотно ломать.
Записан
LP
Помогающий

ru
Offline Offline

« Ответ #3 : 31-05-2005 09:25 » 

Может мне IP сменить (только не знаю как) или воспользоваться proxy-серверами? Может быть поможет...
Записан

Если эта надпись уменьшается, значит ваш монитор уносят
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #4 : 31-05-2005 09:55 » 

Если svchost хочет странного, то надо провериться антивирусом и  детектором spyware. 

Атаки, зарегистрированные Outpost'ом, стоит посмотреть в Инете или запостить сюда, поможем разобраться
« Последнее редактирование: 20-12-2007 19:39 от Алексей1153++ » Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
LP
Помогающий

ru
Offline Offline

« Ответ #5 : 31-05-2005 10:27 » 

Вот записи из журнала Outpost'а относительно атак.
Код:
   Дата/Время                Действие              IP-адрес       Просканированы порты
30.05.2005 23:54:49     Сканирование порта      81.176.15.197   TCP (445)
30.05.2005 23:51:59     Сканирование порта      81.176.15.200   TCP (1433, 1025, 139, 135)
30.05.2005 23:50:36     Сканирование порта      81.176.15.211   TCP (445)
30.05.2005 23:48:01     Сканирование порта      81.176.15.175   TCP (445)
30.05.2005 23:05:13     Сканирование порта      81.176.15.245   TCP (445, 1025, 135)
30.05.2005 19:38:49     Сканирование порта      81.176.15.159   TCP (445)
30.05.2005 19:33:54     Сканирование порта      81.176.15.138   TCP (445, 139, 135, 1025)
30.05.2005 18:53:12     Сканирование порта      81.176.15.222   TCP (445)
30.05.2005 18:53:00     Сканирование порта      81.176.15.138   TCP (445, 1025, 139, 135)
30.05.2005 16:42:40     Сканирование порта      81.176.15.138   TCP (135, 139, 1433, 1025)
30.05.2005 0:24:27      Сканирование порта      81.176.15.157   TCP (445, 1025, 135)
Интересно, в IP адресе первые три числа совпадают, а последнее число почти всегда новое.
Сейчас еще скачаю обновления баз Касперского и проверю на вирусы.
Обычно когда у меня бывал какой-нибудь червь, то он обязательно прописывался в реестре на автозагрузку,
а сейчас там вроде все чисто.
« Последнее редактирование: 20-12-2007 19:42 от Алексей1153++ » Записан

Если эта надпись уменьшается, значит ваш монитор уносят
nikedeforest
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #6 : 31-05-2005 11:09 » 

Цитата
а на мой взгляд лудше провайдеру пожаловаться
И что ты ему скажешь Не понял
Записан

ещё один вопрос ...
LP
Помогающий

ru
Offline Offline

« Ответ #7 : 31-05-2005 11:23 » 

Проверил Касперским - ничего серьезного не нашел.
Проверил Ad-Aware - вот результат:

Не знаю насколько это все было серьезно, но я все это хозяйство удалил.

* 33.jpg (44.96 Кб - загружено 1682 раз.)
« Последнее редактирование: 31-05-2005 11:26 от LP » Записан

Если эта надпись уменьшается, значит ваш монитор уносят
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #8 : 31-05-2005 12:46 » 

Мда, впечатляющая коллекция шпиёнов Улыбаюсь

Как узнать подробности про сканирование портов: набрать в гугле port scan номер порта и затем глядеть результаты.  Например, поиск "port scan 445" выдал в числе первых ссылку на http://www.linklogger.com/TCP445.htm

Цитата
TCP Port 445
Common Use

Microsoft-DS Service is used for resource sharing on Windows 2000, XP, 2003, and other samba based connections.  This is the port that is used to connect file shares for example.
Inbound Traffic

Inbound scans are typically systems which are trying to connect to file shares that might be available on your system and hence these should be blocked.  While most of this traffic is the result of worms or viruses which can use open file shares to propagate, they also can be the result of malicious users attempt to connect to your computer.  Once connected they can download, upload or even delete or edit files on the connected file share.  If you use open file shares (including sharing of printers, etc) on your local network (LAN), then you should be using a firewall such that your local file shares are not accessible from the internet.  Connecting to open file shares is likely the easiest and most common hack on the internet and yet one of the most effective for malicious activities like identity theft or installing RATs (Remote Access Trojans) to take control of systems remotely for example.

Lately TCP Port 445 has become the target of LSASS exploiting worms like Sasser and Korgo.
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
LP
Помогающий

ru
Offline Offline

« Ответ #9 : 31-05-2005 14:11 » 

Как я понял тут все время говорится о каких-то разделяемых ресурсах и файлах, используя которые
черви, вирусы и хакеры проникают на компьютер. А если у меня нет этих share файлов? Чего ж они хотят тогда Улыбаюсь  Share folder для пиринговых сетей ведь не в счет?

Спасибо, npak, что просветил и надоумил проверить систему spyware детектором, даже представить не мог, что у меня на компьютере столько народу притаилось.
Записан

Если эта надпись уменьшается, значит ваш монитор уносят
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #10 : 01-06-2005 10:13 » 

Известно, что определённые запросы на определённые порты могут привести к доступу в систему, чем пользуются вирусы.  Я полагаю, что в локальной сетке есть заражённые компьютеры, которые пытаются передать заразу дальше, и ищут в окрестности уязвимый компьютер, на который можно было бы залезть. Поиск ведётся сканированием открытых портов -- вдруг повезёт.
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии

il
Offline Offline
Пол: Мужской
Бодрый птах


« Ответ #11 : 01-06-2005 11:10 » 

Cогласен с npak по поводу кто сканирует, а комп надо аккуратно чистить и проверять...
Так нельзя с 10-к червей в компе Жаль ууууу.
Записан

А птичку нашу прошу не обижать!!!
schnibbl
Гость
« Ответ #12 : 01-06-2005 12:41 » 

если провайдер солидный то он обязан (и кстати сказать нифига они не отфутболивают) принимать инфу к сведению по поводу "недобропорядочных личностей" и в общем то довольно действенно если они своими сервисами таког очела обслуживают то поимев пару заяв на него нетрудно проверить и если он действительно фигней страдает, таких отключают или штрафуют, в зависимости от серьезности.
а если сеть локальная на маленький район, разговор еще короче и иногда не только штрафными санкциями ограничиваются.
Записан
schnibbl
Гость
« Ответ #13 : 01-06-2005 12:47 » 

вот у меня терь сомнения большие Улыбаюсь свхост ломится на пару адресочков, раньше я был в своем касперском уверен а после этой темы.......
Записан
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #14 : 01-06-2005 14:44 » 

schnibbl,

svchost может ходить в инет по причине adware, которых касперский не отслеживает.  Проверь систему каким-нибудь сканером adware, как LP недавно, может быть обнаружишь что-нибудь интересное.
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
schnibbl
Гость
« Ответ #15 : 02-06-2005 06:54 » 

меня еще задевает что у меня файрвол стоит и свхост я вообще запретил выход в сеть а он на эти 2-3 йп всё равно лезет причем файрвол показывает эти соединения а убить их не может..
Записан
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #16 : 02-06-2005 10:01 » 

Что это значит
Цитата
показывает эти соединения а убить их не может

Какой файервол, как пытаешься разорвать соединение?  Если тебя не устраивает, что эти соединения устанавливаются, пропиши файерволу правило блокировать соединения.
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines