LP
Помогающий
Offline
|
|
« : 30-05-2005 15:40 » |
|
Установил вчера Agnitum Outpost Firewall, с тех пор постоянно выходят сообщения о каких-то атаках, сканировании портов моего компа, запросы svchost на какие-то соединения... Задолбался уже... Вот сижу, пишу этот пост и постоянно отключаю эти сообщения. Кто-нибудь знает - опасно ли это и что с этим делать?
|
|
|
Записан
|
Если эта надпись уменьшается, значит ваш монитор уносят
|
|
|
nikedeforest
|
|
« Ответ #1 : 30-05-2005 20:47 » |
|
У моего друга тоже так. Относится к этому вполне спокойно и пока ничего страшного не случилось
|
|
|
Записан
|
ещё один вопрос ...
|
|
|
schnibbl
Гость
|
|
« Ответ #2 : 31-05-2005 04:42 » |
|
вот относись спокойно и жди пока тебя вые...т, а на мой взгляд лудше провайдеру пожаловаться. у нас вот тоже сеть локальная раньше было 20 калек, но все друг друга в лицо знали, вместе пили, вместе горевали... эх было времечко.... а терь сеть до 400 человек разрослась естессвенно уже не дружественный масштаб, поэтому эту заразу надо под корень рубить, пока она не научилась грамотно ломать.
|
|
|
Записан
|
|
|
|
LP
Помогающий
Offline
|
|
« Ответ #3 : 31-05-2005 09:25 » |
|
Может мне IP сменить (только не знаю как) или воспользоваться proxy-серверами? Может быть поможет...
|
|
|
Записан
|
Если эта надпись уменьшается, значит ваш монитор уносят
|
|
|
npak
|
|
« Ответ #4 : 31-05-2005 09:55 » |
|
Если svchost хочет странного, то надо провериться антивирусом и детектором spyware.
Атаки, зарегистрированные Outpost'ом, стоит посмотреть в Инете или запостить сюда, поможем разобраться
|
|
« Последнее редактирование: 20-12-2007 19:39 от Алексей1153++ »
|
Записан
|
|
|
|
LP
Помогающий
Offline
|
|
« Ответ #5 : 31-05-2005 10:27 » |
|
Вот записи из журнала Outpost'а относительно атак. Дата/Время Действие IP-адрес Просканированы порты 30.05.2005 23:54:49 Сканирование порта 81.176.15.197 TCP (445) 30.05.2005 23:51:59 Сканирование порта 81.176.15.200 TCP (1433, 1025, 139, 135) 30.05.2005 23:50:36 Сканирование порта 81.176.15.211 TCP (445) 30.05.2005 23:48:01 Сканирование порта 81.176.15.175 TCP (445) 30.05.2005 23:05:13 Сканирование порта 81.176.15.245 TCP (445, 1025, 135) 30.05.2005 19:38:49 Сканирование порта 81.176.15.159 TCP (445) 30.05.2005 19:33:54 Сканирование порта 81.176.15.138 TCP (445, 139, 135, 1025) 30.05.2005 18:53:12 Сканирование порта 81.176.15.222 TCP (445) 30.05.2005 18:53:00 Сканирование порта 81.176.15.138 TCP (445, 1025, 139, 135) 30.05.2005 16:42:40 Сканирование порта 81.176.15.138 TCP (135, 139, 1433, 1025) 30.05.2005 0:24:27 Сканирование порта 81.176.15.157 TCP (445, 1025, 135)
Интересно, в IP адресе первые три числа совпадают, а последнее число почти всегда новое. Сейчас еще скачаю обновления баз Касперского и проверю на вирусы. Обычно когда у меня бывал какой-нибудь червь, то он обязательно прописывался в реестре на автозагрузку, а сейчас там вроде все чисто.
|
|
« Последнее редактирование: 20-12-2007 19:42 от Алексей1153++ »
|
Записан
|
Если эта надпись уменьшается, значит ваш монитор уносят
|
|
|
nikedeforest
|
|
« Ответ #6 : 31-05-2005 11:09 » |
|
а на мой взгляд лудше провайдеру пожаловаться
И что ты ему скажешь
|
|
|
Записан
|
ещё один вопрос ...
|
|
|
LP
Помогающий
Offline
|
|
« Ответ #7 : 31-05-2005 11:23 » |
|
Проверил Касперским - ничего серьезного не нашел. Проверил Ad-Aware - вот результат: Не знаю насколько это все было серьезно, но я все это хозяйство удалил.
|
33.jpg (44.96 Кб - загружено 1681 раз.)
|
« Последнее редактирование: 31-05-2005 11:26 от LP »
|
Записан
|
Если эта надпись уменьшается, значит ваш монитор уносят
|
|
|
npak
|
|
« Ответ #8 : 31-05-2005 12:46 » |
|
Мда, впечатляющая коллекция шпиёнов Как узнать подробности про сканирование портов: набрать в гугле port scan номер порта и затем глядеть результаты. Например, поиск "port scan 445" выдал в числе первых ссылку на http://www.linklogger.com/TCP445.htmTCP Port 445 Common Use
Microsoft-DS Service is used for resource sharing on Windows 2000, XP, 2003, and other samba based connections. This is the port that is used to connect file shares for example. Inbound Traffic
Inbound scans are typically systems which are trying to connect to file shares that might be available on your system and hence these should be blocked. While most of this traffic is the result of worms or viruses which can use open file shares to propagate, they also can be the result of malicious users attempt to connect to your computer. Once connected they can download, upload or even delete or edit files on the connected file share. If you use open file shares (including sharing of printers, etc) on your local network (LAN), then you should be using a firewall such that your local file shares are not accessible from the internet. Connecting to open file shares is likely the easiest and most common hack on the internet and yet one of the most effective for malicious activities like identity theft or installing RATs (Remote Access Trojans) to take control of systems remotely for example.
Lately TCP Port 445 has become the target of LSASS exploiting worms like Sasser and Korgo.
|
|
|
Записан
|
|
|
|
LP
Помогающий
Offline
|
|
« Ответ #9 : 31-05-2005 14:11 » |
|
Как я понял тут все время говорится о каких-то разделяемых ресурсах и файлах, используя которые черви, вирусы и хакеры проникают на компьютер. А если у меня нет этих share файлов? Чего ж они хотят тогда Share folder для пиринговых сетей ведь не в счет? Спасибо, npak, что просветил и надоумил проверить систему spyware детектором, даже представить не мог, что у меня на компьютере столько народу притаилось.
|
|
|
Записан
|
Если эта надпись уменьшается, значит ваш монитор уносят
|
|
|
npak
|
|
« Ответ #10 : 01-06-2005 10:13 » |
|
Известно, что определённые запросы на определённые порты могут привести к доступу в систему, чем пользуются вирусы. Я полагаю, что в локальной сетке есть заражённые компьютеры, которые пытаются передать заразу дальше, и ищут в окрестности уязвимый компьютер, на который можно было бы залезть. Поиск ведётся сканированием открытых портов -- вдруг повезёт.
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #11 : 01-06-2005 11:10 » |
|
Cогласен с npak по поводу кто сканирует, а комп надо аккуратно чистить и проверять... Так нельзя с 10-к червей в компе ууууу.
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
schnibbl
Гость
|
|
« Ответ #12 : 01-06-2005 12:41 » |
|
если провайдер солидный то он обязан (и кстати сказать нифига они не отфутболивают) принимать инфу к сведению по поводу "недобропорядочных личностей" и в общем то довольно действенно если они своими сервисами таког очела обслуживают то поимев пару заяв на него нетрудно проверить и если он действительно фигней страдает, таких отключают или штрафуют, в зависимости от серьезности. а если сеть локальная на маленький район, разговор еще короче и иногда не только штрафными санкциями ограничиваются.
|
|
|
Записан
|
|
|
|
schnibbl
Гость
|
|
« Ответ #13 : 01-06-2005 12:47 » |
|
вот у меня терь сомнения большие свхост ломится на пару адресочков, раньше я был в своем касперском уверен а после этой темы.......
|
|
|
Записан
|
|
|
|
npak
|
|
« Ответ #14 : 01-06-2005 14:44 » |
|
schnibbl,
svchost может ходить в инет по причине adware, которых касперский не отслеживает. Проверь систему каким-нибудь сканером adware, как LP недавно, может быть обнаружишь что-нибудь интересное.
|
|
|
Записан
|
|
|
|
schnibbl
Гость
|
|
« Ответ #15 : 02-06-2005 06:54 » |
|
меня еще задевает что у меня файрвол стоит и свхост я вообще запретил выход в сеть а он на эти 2-3 йп всё равно лезет причем файрвол показывает эти соединения а убить их не может..
|
|
|
Записан
|
|
|
|
npak
|
|
« Ответ #16 : 02-06-2005 10:01 » |
|
Что это значит показывает эти соединения а убить их не может Какой файервол, как пытаешься разорвать соединение? Если тебя не устраивает, что эти соединения устанавливаются, пропиши файерволу правило блокировать соединения.
|
|
|
Записан
|
|
|
|
|