TwojePC.pl © 2001 - 2024
|
|
A R C H I W A L N A W I A D O M O Ś Ć |
|
|
|
czy ktoś się chce do mnie włamać ??? (potrzebna diagnoza, długie) , GULIwer 2/01/03 03:14 Black Ice 2.9 w ostatnim czasie mi wariował, to tylko część z tego no jak widac tylko ~12h:
Czas, Atak, Intruz, Zliczanie
2002-12-29 13:53:23, TCP port scan, 192.168.0.88, ...............48
2002-12-29 13:53:13, TCP port scan, 192.168.0.88, ...............17
2002-12-29 13:53:13, NetBus port probe, 192.168.0.88, ...........6
2002-12-29 13:53:13, SubSeven port probe, 192.168.0.88, .........3
2002-12-29 13:53:13, TCP trojan horse probe, 192.168.0.88, ......3
2002-12-29 13:53:13, TCP port probe, 192.168.0.88, ..............102
2002-12-29 13:53:11, Proxy port probe, 192.168.0.88, ............6
2002-12-29 13:53:11, SOCKS port probe, 192.168.0.88, ............3
2002-12-29 13:53:11, SQL port probe, 192.168.0.88, ..............3
2002-12-29 13:53:11, PCAnywhere port probe, 192.168.0.88, .......3
2002-12-29 13:52:21, HTTP port probe, 192.168.0.35, .............24
2002-12-29 13:51:23, ICMP subnet mask request, 192.168.0.88, ....1
2002-12-29 13:51:02, SNMP port probe, 192.168.0.88, .............1
2002-12-29 13:38:59, HTTP port probe, BBBB, .....................8
2002-12-29 13:06:58, HTTP port probe, BBBB, .....................4
2002-12-29 12:58:00, HTTP port probe, BBBB, .....................3
2002-12-29 01:58:08, MSRPC UDP port probe, AAAA, ................22
2002-12-29 01:29:41, TCP port scan, 192.168.0.88, ...............49
2002-12-29 01:29:31, TCP port scan, 192.168.0.88, ...............16
2002-12-29 01:28:35, ICMP subnet mask request, 192.168.0.88, ....1
2002-12-29 01:28:15, SNMP port probe, 192.168.0.88, .............1
2002-12-29 01:24:06, Queso Scan, 192.168.0.95, ..................36
2002-12-29 01:24:06, TCP port scan, 192.168.0.95, ...............627
2002-12-29 01:20:44, TCP SYN flood, 192.168.0.95, ...............14
2002-12-29 01:20:35, TCP port scan, 192.168.0.95, ...............129
2002-12-29 01:20:30, TCP SYN flood, 192.168.0.95, ...............1
2002-12-29 01:20:20, TCP port probe, 192.168.0.95, ..............115
2002-12-29 01:20:20, XWINDOWS port probe, 192.168.0.95, .........1
2002-12-29 01:20:19, IRC port probe, 192.168.0.95, ..............1
2002-12-29 01:20:18, TCP trojan horse probe, 192.168.0.95, ......1
2002-12-29 01:20:12, NMAP ping, 192.168.0.95, ...................2
2002-12-29 01:20:09, TCP FIN scan, 192.168.0.95, ................2599
2002-12-29 01:19:49, TCP FIN scan, 192.168.0.95, ................502
chodzi mi o to czy któryś z tych alarmów Black Ice jest prawdziwych a który jest fałszywy. Nie wiem czy mam juz iść obić morde czy poczekać :) Tu umieszcze po jednym z przypadków z numerkami jakby ktoś znający sie na włamaniach mógł mi pomóc
1. 2002-12-29 13:53:23, TCP port scan, 192.168.0.88, ...............48
2. 2002-12-29 13:53:13, NetBus port probe, 192.168.0.88, ...........6
3. 2002-12-29 13:53:13, SubSeven port probe, 192.168.0.88, .........3
4. 2002-12-29 13:53:13, TCP trojan horse probe, 192.168.0.88, ......3
5. 2002-12-29 13:53:11, Proxy port probe, 192.168.0.88, ............6
6. 2002-12-29 13:53:11, SOCKS port probe, 192.168.0.88, ............3
7. 2002-12-29 13:53:11, SQL port probe, 192.168.0.88, ..............3
8. 2002-12-29 13:53:11, PCAnywhere port probe, 192.168.0.88, .......3
9. 2002-12-29 13:52:21, HTTP port probe, 192.168.0.35, .............24
10. 2002-12-29 13:51:23, ICMP subnet mask request, 192.168.0.88, ...1
11. 2002-12-29 13:51:02, SNMP port probe, 192.168.0.88, ............1
12. 2002-12-29 12:58:00, HTTP port probe, BBBB, ....................3
13. 2002-12-29 01:58:08, MSRPC UDP port probe, AAAA, ...............22
14. 2002-12-29 01:28:35, ICMP subnet mask request, 192.168.0.88, ...1
15. 2002-12-29 01:24:06, Queso Scan, 192.168.0.95, .................36
16. 2002-12-29 01:24:06, TCP port scan, 192.168.0.95, ..............627
17. 2002-12-29 01:20:44, TCP SYN flood, 192.168.0.95, ..............14
18. 2002-12-29 01:20:20, TCP port probe, 192.168.0.95, .............115
19. 2002-12-29 01:20:20, XWINDOWS port probe, 192.168.0.95, ........1
20. 2002-12-29 01:20:19, IRC port probe, 192.168.0.95, .............1
21. 2002-12-29 01:20:18, TCP trojan horse probe, 192.168.0.95, .....1
22. 2002-12-29 01:20:12, NMAP ping, 192.168.0.95, ..................2
23. 2002-12-29 01:20:09, TCP FIN scan, 192.168.0.95, ...............2599
Z tego co sie orintuje to IP 88 to Windoza i gościu nawet sie nie maskuje NeoTrace mi powiedział jaki system itp. i ktoś mi powiedział że to przez jakąś gre motory coś z GP w nazwie ale PCAnywhere ????. Z IP 95 to jest problem ani Black ICe ani NeoTrace nie jest w stanie wyciągnać żadnych informacji a NeoTrace domniemywa ze to użytkownik Linuxa/Unixa ale przy pozycji 22 Black Ice uznał to za największe zagrożenie.
Mam pytanko poblokowąłem sobie co tylko mogłem, jakie porty odblokować abym widział otoczenie sieciowe (bo teraz nie widze :() a jednocześnie abym nie był wystawiony na ataki no i komu skopać 4literyI'm only noise on wires - Dlaczego ... , PaszkfiL 2/01/03 09:11
... ja tam widze tylko IP lokalne ?? nie masz jakiegos kolegi w sieci ktory se jaja robi ?? ;)o([-_-])o ..::Love::BaSS::.. - adresy 192.168..... , bwana 2/01/03 10:11
to adresy lokalne (jak pisze Paszkfil), prawdopodobnie masz XP i dzielisz lacze internetowe na komputerze, z ktorego pochodzi log z blackice-a (przynajmniej tak to wyglada u mnie;)).
tak czy siak, jest w tych logach sporo prob sprawdzania, czy na Twoim kompie znajduja sie rozne trojany(subseven, netbus), serwer PC ANYWHERE (to takie cos do zdalnego zarzadzania komputerem, w sumie mozna to takze potraktowac jako trojana), serwer XWINDOWS (tez mozna tym nabruzdzic) wiec KTOS na 99% chce cos od Twojego kompa, co wiecej, ten ktos jest w sieci lokalnej. Sprawdz (jesli mozesz) kto w lokalnym necie ma (lub mial w tym czasie) ip z koncowka 88 oraz 95. Ponadto, BlackIce pobiera informacje NetBios o komputerze "atakujacym" tj. nazwe grupy roboczej/domeny oraz nazwe komputera (oczywiscie, "haker" jesli wie co robi, wylaczyl sobie publikowanie tych informacji i BlackIce ich Ci nie pokaze, tym niemniej sprobowac warto). Jesli to siec w szkole/pracy/kafejce/siec osiedlowa to pokaz logi wlascicielowi/adminowi. Jesli to siec w Twoim mieszkaniu, przesluchaj zone/meza/dzieci/wnuki :)"you don't need your smile when I cut
your throat" - gosciu... , Holek 2/01/03 11:00
IMHO zapuscil jakiegos PortScana i nie bardzo wie, bo robi - bo kazdy srednio zdolny hakier wie, ze po pierwsze to trzeba sie zamaskowac. Sprawdz czy z tym IP leci MAC (BLACK ICE ma taka opcje) - jesli nie dostajesz MAC, znaczy - gosc jest cwany i podszywa sie pod jakies IP, ewentualnie maskuje...
Jedno "ale" z tych skanowow wynika jedno, ze facet nie wie nawet czego szuka i niespecjalnie zna sie na rzeczy, podejrzewam, ze wszyscy w sieci zaliczyli takie "macanie klamek", delikwent - nawet jesli znalazlby wszystkie otwarte porty nadal nie wiedzialby, co robic (mam u mnie takich w sieci na peczki, kiedys nawet odpalilem u siebie serwer netbusa na zachete - jakos skanowali, widzieli, a nikt nie przyszedl...:( )
Generalnie - BLOCK him, szczegolnie PING - skaner nie dostanie odpowiedzi od kompa i pewnie nawet nie poleci po portach - i masz goscia z glowy - odczepi sie gdyz nie bedzie widzial sensu w tym co robi (jesli teraz widzi sens w takim skanowaniu - to juz jest dziwne...)
pozdr..."...here I am on The Road again..." - Ja bym jeszcze do providera zapodal wydruk i pliki z logiem , Thadeus 2/01/03 11:16
i lamer mialby nieprzyjemnosci u waszego providera, sam kieduys tak zrobilem na w przypdaku takiego mlotka. I poskutkowalo :) Dostal po uszach od admina (kiedys na samym pocztku byl ok znal sie na wszytskim i siec dzialal, ale jak zmienili admina to syfffffffffffffff jest nie z tej ziemi ) i mnie jeszcze przepraszal :) Pewnie wydawalo mi sie ze nie zuwaze a jak sie tlumaczyl ze tylko chcial poogladac program bo nie wiedzial do czego sluy i chcial porty wlasne skanowac :)... - tak to locale (zbiorczo) i pytanko , GULIwer 2/01/03 11:41
bo ja siedze w LAN z dostepem do netu ale nie ja udostepniam. wiecie jakby to był ktos z zew. to poprostu by mi sie nie chciało a że local to blisko taki delikwent mieszka. Bede musiał pogadac z providerem ale najpierw zapłace za net bo od 10/02 nie płace :) dziwna sprawa jak jestem na bierząco z opłatami to zawsze sie jakies awarie zdarzaja a jak zalegam to wsio chodzi OK :)))
Holek MAC znalazł wszystkich poza IP 95 widać cwaniaczek j.w. się zastosuje, heh a może to sam admin bo juz kiedyś o tym pisałem rozsyłał trojany po ludziach no ale
Pytanko
Które porty zatem odblokować aby miec poczucie bezpieczeństwa ale zeby chodziło w miare wszystko, szczególnie otoczenie sieciowe
dziękiI'm only noise on wires - emm... na moj maly rozumek ... , XCLONE 2/01/03 12:20
otoczenie sieciowe dziela na NETBeui ... przynajmniej jak tego nie ma w protokolach w w98 to otoczenia nie ma ...
a co do portow, to podam ci moje 2 ulubione adresy :)
http://www.ripe.net/...ervices/db/whois/whois.html
http://www.iana.org/assignments/port-numbers
http://www.iana.org
pierwszy do sprawdzania delikwentow z zewnetrzymi IP ... czesto sie przydaje do okreslenia zrodla wlamu ...
drugi - baza zarejestrowanych portow, zawierajaca "duzo" informacji (uwaga modemowcy :P)
Pozdr.
Artur S.
IMHO to jakis czubek zapodal jakiegos skanera, lub ma jakiegos wira (watpie - byloby bardziej sprecyzowane) i sam nie wie, co dalej .. :P - napietnowac i olac .. :PThe World HAS Changed..
:P - Black Ice jak widac dobrze sobie radzi , bwana 2/01/03 12:29
mozesz ew. zaopatrzyc sie w jakis lepszy (?) firewall, na Boardzie bylo mnostwo dyskusji na ich temat a takze na temat ich konfigurowania. Obecnie mam Kerio PF i nie narzekam, poprzednio BlackIce i tez nie bylo powodow do narzekania.
jesli podejrzewasz, ze admin Twojej sieci trenuje "hakierke" to musisz uderzyc bezposrednio do jego przelozonego (np. wlasciciela sieci, dyrektora/prezesa firmy etc.)
a z tym placeniem za siec to... wstyd! na poczte (do kasy) marsz! :-D"you don't need your smile when I cut
your throat" - baa , GULIwer 2/01/03 13:36
kumpel ma NIS (ja też miałem ale se darowałem jak mi ostatnio XP rozłożył) i nic takiego nie ma (tj. komuniaktów, widać niski poziom alarmów) a Kerio próbowałem ale za dużo krzyczał, czego bym nie odpalił to odrazu wrzeszczy ze "ta aplikacja moze spowodować to i to" a ja lubie decydować co mi chodzi, przeszło rok nie miałęm antywirusa a żadnego nie złapałem choc próby były
co do zapłaty taaaaaa i znowu neta nie bedzie :)
XCOLNE NeoTracer Pro działa jak ten ripe.net i chyba nawet korzysta z ich zasobów
a co do drugiego linka mam wersje "okrojoną" bez podziału na TCP/UDP/itd. takze THX przyda sięI'm only noise on wires - kerio , bwana 2/01/03 14:28
wystarczy dodac regule,ze caly ruch wychodzacy z lokalnego komputera jest uznany za dozwolony (jesli nie masz trojanow, to chyba nie stwarza to dodatkowego ryzyka). co do aplikacji, to zawsze kiedy Kerio sie czepia np. gdy cos otwiera notatnik czy inne "malo niebezpieczne" programy - zaznaczasz, zeby utworzyc regule zezwalajaca i koniec z pytaniami o ten konkretny program. Przy kazdym komunikacie Kerio nalezy popatrzec skad (z jakiej aplikacji, z jakiego IP) wchodzi zadanie czegos tam i przemyslec to z lekka;) Mysle jednak, ze jesli masz Black Ice, zostan przy nim, bedziesz miec problemy konfiguracyjne z glowy."you don't need your smile when I cut
your throat" - Polecam także , masza 2/01/03 16:57
Sygate lub Outpost, tam też są takie reguły, że wystarczy raz dopuścić, i nie będize się "pluł" do wszystkiego ;-))
IMHO jak odpalasz jakąś nową grę sieciową, no to wiadomo, nowy plik dla niego, no i wykryje że coś nie tak. A kerio, czy Tiny, potrafił na każdej stronie internetowej coś wołać ;-)
Nie wiem jak jest w nowych wersjach tych FW, ale mi jakoś ani Kerio, ani Tiny nie przypadły do gustu. ;-)Pozdrowionka !!!
|
|
|
|
|
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
|
|
|
|