|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Troche włamów miałęm do komputera? Mam się czym martwić? , NimnuL-Redakcja 6/06/04 15:01
Witam,
Stałkę mam od prawie dwóch tygodni. Na kompie (Win2k SP3) zainstalowane ma mKerio. Do dzisiaj nie zaglądałem w logi ataków. Dzisiaj kliknąłem i zdębiałem. Ponad 200 wpisów w logach o skanach portów, misc-activity (co to jest?) i atempted-recon (co to jest?).
Tu jest widok moich logów:
http://klub.chip.pl/nimnul/temp/logi.gif
Mam się czym przejmować czy to norma? Dotąd miałem sutawione by ataki o niskim zagrozeniu Kerio dopuszczał. teraz przestawiłem by blokował wszystki. A może to bez sensu i pozwolic dopuszczać te o niskim priorytecie?
Dzieki
PozdrawiamGdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - hyh , bor@s 6/06/04 15:06
a może nie ufać priorytetom, tylko samemu tak pokonfigurować abyś wiedział co ci wchodzi do kompa, a co nie?- To znaczy jak? , NimnuL-Redakcja 6/06/04 15:10
jak to skonfigurowac i skad wiedziec co ma prawo wejsc? Czy te ataki miały jakiekolwiek znaczenie? Czy przez jakiś misc-activity mozna sie wlamac do kompa?Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Hmm... , DJopek 6/06/04 15:16
Prościej ustalic samemu reguły co ma przechodzić a co nie. Ja w Kerio tak ustawiam i mam spokój... Ja mam taką zasadę że blokuję wszystko co się pojawia, chyba że chcę aby dany proces przeszedł...
A te logi to pewnie nic groźnego, standardowe skanowanie sieci, zarówno przez dostawcę (ja tak miałem na początku Chello) i pewnie przez innych użytkowników sieci... Może jakiś dzieciak zabawia się super hackerskim programem do skanów otwartych portów? itp. itd.
BTW to kto by się chciał do Ciebie NimnuL włamywać? :-)))- Pewnie wlamywac nikt by sie nie chcial , NimnuL-Redakcja 6/06/04 15:19
nic ciekawego na kompie tez nie mam, ale nie lubie jak sie dzieje cos bez mojej wiedzy.
A jak zdefiniować by pytał mnie czy dopuścic daną akcje wejsciowa? Bo chyba źle szukam . . .Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - Odp. , DJopek 6/06/04 15:57
Jak to się ustawia w nowym Kerio to Ci nie powiem bo używam 2.1.5. U mnie jest taki suwak i ustawia się "ask me first" i przy każdym odwołaniu nie zdefiniowanym pyta się co robić...- Mówisz o sekcji Ataki, tak? , NimnuL-Redakcja 6/06/04 16:14
no ja mam tam do wybru jedynie Dopuść i Blokuj. Nie ma możliwości by pytał ... przynajmniej nie w tym miejscu . . . może gdzieś indziej się ustawia. . .
Ale co ja się ogólnie martwię. . . u mnie na sieci nikt nie ma nawet antywirusa i zyja <hehe>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - U mnie nie ma żadnych sekcji ;) , DJopek 6/06/04 16:22
mam zakładkę Firewall gdzie można włączyć/wyłączyć Kerio, i tam jest taki suwaczek. IMHO te nowe wersje Kerio to straszna hybryda się zrobiła, dlatego jestem dalej przy 2.1.5.
- aj, NimnuL, cos sie opuszczasz :) , gorky 6/06/04 15:18
http://twojepc.pl/boardPytanie72167.htm
i powtorze: www.grc.com- a zeby cie pocieszyc :) , gorky 6/06/04 15:21
tu masz logi z JEDNEJ MINUTY na moim sprzetowym firewallu (wyjatkowo spokojnie, czasem jest ponad 30 prob wejscia/minute)
2nd day 19:02:11 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.3.105 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=13158 DF PROTO=TCP SPT=1430 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:02:08 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=61.48.42.236 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=44 ID=41293 DF PROTO=TCP SPT=3105 DPT=6881 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:02:05 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=61.48.42.236 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=44 ID=40849 DF PROTO=TCP SPT=3105 DPT=6881 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:02:04 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.77.4 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=47778 DF PROTO=TCP SPT=2066 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:02:02 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.30.34 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2937 DF PROTO=TCP SPT=2936 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:02:01 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.77.4 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=47501 DF PROTO=TCP SPT=2066 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:02:00 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.11.60 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=20672 DF PROTO=TCP SPT=2372 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:01:56 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.30.34 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2633 DF PROTO=TCP SPT=2936 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:53 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.30.34 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2464 DF PROTO=TCP SPT=2936 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:53 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.34.18 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=23204 DF PROTO=TCP SPT=4568 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:01:51 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.229.97 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=25687 DF PROTO=TCP SPT=3432 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:50 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.34.18 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22789 DF PROTO=TCP SPT=4568 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:01:47 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.229.97 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=25196 DF PROTO=TCP SPT=3432 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:42 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.74.139 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=26034 DF PROTO=TCP SPT=4456 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:01:40 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.28.233.238 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=15022 DF PROTO=TCP SPT=1762 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:39 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.74.139 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=25419 DF PROTO=TCP SPT=4456 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
2nd day 19:01:38 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.28.233.238 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=14780 DF PROTO=TCP SPT=1762 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:22 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.26.7 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=34776 DF PROTO=TCP SPT=3452 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:19 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.26.7 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31422 DF PROTO=TCP SPT=3452 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:18 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.38.200 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=37043 DF PROTO=TCP SPT=2644 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:15 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.38.200 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=36587 DF PROTO=TCP SPT=2644 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
2nd day 19:01:11 user alert klogd: Intrusion -> IN=ppp41 OUT= MAC= SRC=83.29.238.212 DST=83.29.5.144 LEN=48 TOS=0x00 PREC=0x00 TTL=57 ID=24057 DF PROTO=TCP SPT=2569 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0- No nieźle ... , NimnuL-Redakcja 6/06/04 15:30
a shieldUp pokazuje mi coś takiego jak:
Unable to connect with NetBIOS to your computer
Preliminary Internet connection refused
Solicited TCP Packets: RECEIVED (FAILED)
Ping Reply: RECEIVED (FAILED) —
3 porty mam otwarte POP3, SSH i FTP.
To norma? Czy jeśli nie to można temu zaradzić? W sumie wcześniej nie interesowałem się tym tematem, więc zaczynam od podstaw.Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - hmm... , gorky 6/06/04 15:37
no jezeli nie uzywasz kompa jako serwera to raczej wszystkie powinny byc zamkniete...
ale nie wiem jak sie to ustawia pod windowsem :-)
pod linuksem masz intuicyjne iptables i zero problemow...
to co masz na tych logach to tylko skanowanie portow - dopoki beda zamkniete to nie masz powodow do obaw. nic wiecej ci nie powiem bo jakis dziwny jest ten raport - na tym moim mozesz zauwazyc ze sa to ataki glownie na tcp 135 i 445 (sasser i blaster)
i Mackie dobrze pisze - sprawdz kto ma w twoim lanie ip 192.168.1.150- To moze ktos wie jak sie je zamyka? , NimnuL-Redakcja 6/06/04 15:45
ewentualnie czy musza byc zamkniete jak mam firewalla?? czy moze mozna olac?Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Hmmm no tak, ale pytam , NimnuL-Redakcja 6/06/04 15:27
co to byly za wpisy u mnie, czy maja jakiekolwiek znaczenie?
Przejrzalem stronke jaka podales, ShieldUp pokazuje mi, ze czesci testow nie przeszlem . . . mam sie martwic? :)Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Ale przecierz to jest norma ze ktoś cie skanuje. Ja pamiętam ze swojego czasu , trol 6/06/04 15:20
jak miałem ZoneAlarm... to co 5 minut wyskakiwało mi powiadomienie o próbie włamania. Walic to - dopuki Ci ktoś nie podeśle trojana to nie ma co sie tym przejmować. Niech se skanują
ps. Są takie trojany które skanują podane zakresy IP wyszukując czy ktoś aby nie ma firewalla i czy przypadkiem nie ma zainstalowanego odpowiedniego trojana - ja mysle ze własnie dlatego jest tyle powiadomień o próbie włamań. - o cholera ale masz tych wlamow... , Mackie Messer 6/06/04 15:28
Czlowieku jak wlamy? Ktos sie zalogowal z zewnatrz na twoim kompie, ze spawnowal twoja konsole? Masz wyciek jakis danych? Zostawili Ci backdora? Ja tu widze sam skaning. Ten zewnetrzny to pewnie jakies automaty. No jeszcze ktos mocno pinguje z IP 192.168.1.150. Mowisz ze jestescie w paru na IDSLce? Spytaj sie admina czyj to ip. A moze sam admin sie rozglada po sieci? Niczym sie nie przejmuj. Kerio czuwa. Po,"Predzej sam siebie zgasze, niz sie wypale"
F. Nietzsche - Dzieki , NimnuL-Redakcja 6/06/04 15:35
w sumie zdziwiły mnie te logi, bo na serwerze ponoć jest zainstalowany firewall i antywirus. Programowy, ale zawsze.
Tak, mam ADSL 512/128 na lokalnej, ale kompy wzajemnie sie nie widzą. Podpytam admina.
Szkód na kompie nie zaobserwowałem, ale szczęka mi opadła jak logi zobaczyłem . . . w temacie jestem świezynka. . .Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Jezcze pytanie , NimnuL-Redakcja 6/06/04 16:24
co to jest w Kerio:
nasłuchujące? są jeszcze połączenia wychodzące i przychodzące, ale to sie domyslam .. .a co oznaczają nasłuchujące?
W zakladce Przegląd, w połączeniach na dole. . . .
dziekiGdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - czeklajasce na polaczenie z zewnatrz procesy.. , Okota 6/06/04 17:14
np jakies programy do wymiany plikow... itd.. jakies servery... a to ze masz otwarte porty w shieldsUP to sie nie martw bo to nie musza byc twoje jesli to siec wewnetrzna i niemasz zew. ip.
ja mam wiecej od ciebie atakow na ip zewnetrzne ale mam Outpost firewall i sie nie przejmuje na shieldsup niemam zadnego widocznego portu... niestety kerio niezdalo u mnie testow....Dyslektyka błąd nie pyka...
RTS wszechczasów:
Supreme Commander - Moze niedlugo sie Outpostem pobawie , NimnuL-Redakcja 6/06/04 17:37
1.2.3.Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Nimnul - daj spokój z firewall-em , Micky 7/06/04 15:14
zblokuj porty poza podstawowymi i zainstaluj antywirka i po kłopocie, wyłącz do tego NetBIOS, Remote registry i wszystkie autoupdate-y - a w internecie działaj na koncie użytkownika o minimalnych uprawnieniach
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
