|
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!
Здравствуйте, гость ( Вход | Регистрация )
Сейчас обсуждают
 
| |
|
|
Постоянные атаки на порт |
|
|
mephisto |
13.10.2008, 18:02
|
ортодоксальный линуксоид
Группа: VIP
Сообщений: 7 724
Регистрация: 17.11.2007
Из: столицы вашей родины
Пользователь №: 10 849
|
Цитата(Ninzik @ 12.10.2008, 15:03) Подскажите, что это значит ? » Спойлер (нажмите, чтобы прочесть) « Дата/Время IP атакующего Событие Тип атаки 15:55:21 85.30.222.11 Атакующий разблокирован 15:55:21 222.254.231.164 Атакующий разблокирован 15:55:21 67.80.107.175 Атакующий разблокирован 15:55:21 208.186.134.103 Атакующий разблокирован 15:55:21 58.227.182.230 Атакующий разблокирован 15:55:21 76.10.132.137 Атакующий разблокирован 15:55:21 206.81.47.74 Атакующий разблокирован 15:55:21 68.53.151.234 Атакующий разблокирован 15:55:21 84.47.120.142 Атакующий разблокирован 15:55:21 194.225.57.14 Атакующий разблокирован 15:50:21 85.30.222.11 Узел заблокирован на 5 мин. DOS 15:50:21 222.254.231.164 Узел заблокирован на 5 мин. DOS 15:50:21 67.80.107.175 Узел заблокирован на 5 мин. DOS 15:50:21 208.186.134.103 Узел заблокирован на 5 мин. DOS 15:50:21 58.227.182.230 Узел заблокирован на 5 мин. DOS 15:50:21 76.10.132.137 Узел заблокирован на 5 мин. DOS 15:50:21 206.81.47.74 Узел заблокирован на 5 мин. DOS 15:50:21 68.53.151.234 Узел заблокирован на 5 мин. DOS 15:50:21 84.47.120.142 Узел заблокирован на 5 мин. DOS 15:50:21 194.225.57.14 Узел заблокирован на 5 мин. DOS Попсовый фаирволл отрабатывает деньги, которые вы за него заплатили должны были заплатить Есть простое и изящное решение проблемы - заблокировать все входящие подключения и жить спокойно, забив на статистику. Проблема в том, что товарищи, мало понимающие в IT, судят об эффективности фаирволла по количеству "атак", которые он "отразил", а маркетологи успешно эти пользуются...
|
|
|
|
ZekZion |
18.10.2008, 2:40
|
Стань лучше и мир станет прекрасней =)
Группа: Sibnet-club
Сообщений: 1 047
Регистрация: 20.9.2008
Из: нет доступа
Пользователь №: 50 426
Репутация: 217
|
А у меня тоже чушь всякая лезет. Всё кто-то постоянные атаки на порт организовывает. Я не заморачиваюсь, не банковский я сервак. Самое главное блокирую, а насчёт записей, на заборе тоже пишут.
|
|
|
|
mephisto |
18.10.2008, 20:27
|
ортодоксальный линуксоид
Группа: VIP
Сообщений: 7 724
Регистрация: 17.11.2007
Из: столицы вашей родины
Пользователь №: 10 849
|
Цитата(the.h3rmit @ 18.10.2008, 14:19) Про фаервол с интерактивным режимом работы кто-нибудь слышал?
Это не серьёзно Цитата(the.h3rmit @ 18.10.2008, 14:19) Можно попробовать нюкнуть гада - Вы в своем праве, ведь преднамеренный скан (а равно - атаку) начал противник.
И с каких пор понятие самооборона (я про юридические нормы), распространяется на случай вмешательства в работу электронно-вычислительных машин?
|
|
|
|
-Kelt- |
29.10.2008, 19:50
|
.....Tactical Ops.....
Группа: Sibnet-club
Сообщений: 499
Регистрация: 26.2.2008
Пользователь №: 22 388
Репутация: 137
|
Цитата(Necromancer @ 23.7.2008, 20:07) Заходишь в кис, в меню "защита" выбираешь сетевой экран и в правой части, в окне, жмешь на "настроить". В открывшемся окне в "системе фильтрации" жми кнопку "настройка". Далее, выбираешь вкладку "Правила для пакетов" и справа жми кнопку "Добавить". Ставь галку в строке "Локальный порт" и в нижней половине, жмя на синенькие (типа гиперссылки ) надписи, выбирай, что нужно сделать . Например, так: Сделал всё так, но атаки всё равно продолжаются
|
|
|
|
4ерт |
3.1.2009, 1:28
|
Братуха
Группа: Пользователи
Сообщений: 5 014
Регистрация: 19.1.2008
Из: Алтай
Пользователь №: 17 458
Репутация: 312
|
По делу кто может сказать, кто это балует? Или все мастера только дурковать и ст[МАТ]ся? Задрали хакереныши уже, толку нет, а лезут постоянно. Чмошники. И чего надо-то??1:01:37 190.11.14.226 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5632) 0:58:13 92.125.118.139 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5888) 0:36:10 92.125.54.209 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5888) 0:28:49 60.222.224.138 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (772) 0:24:18 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 16415, 20480) 0:24:17 88.80.7.82 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36895) 0:24:08 92.125.89.33 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5888) 0:19:48 78.146.72.103 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (4801) 0:09:51 92.125.89.85 Подсеть заблокирована на 60 мин. SCAN (59764, 53764, 29725) 0:09:23 94.210.65.107 Подсеть заблокирована на 60 мин. DOS 0:09:23 218.19.119.37 Подсеть заблокирована на 60 мин. DOS 0:09:23 220.246.221.193 Подсеть заблокирована на 60 мин. DOS 0:09:23 77.40.47.251 Подсеть заблокирована на 60 мин. DOS 0:09:23 194.186.53.206 Подсеть заблокирована на 60 мин. DOS 0:09:23 65.92.64.152 Подсеть заблокирована на 60 мин. DOS 0:09:22 92.126.215.19 Подсеть заблокирована на 60 мин. DOS 0:09:22 213.25.140.254 Подсеть заблокирована на 60 мин. DOS 0:09:22 114.154.241.73 Подсеть заблокирована на 60 мин. DOS 0:09:22 92.113.30.1 Подсеть заблокирована на 60 мин. DOS 0:08:34 79.173.80.255 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:34 93.155.194.168 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 85.140.109.156 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 212.152.35.119 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 77.239.239.177 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 92.125.30.108 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 91.122.203.133 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 92.53.78.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 93.190.200.141 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 0:08:33 89.110.17.222 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764) 02.01.2009 23:58:30 78.159.102.118 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36608) 02.01.2009 23:51:33 60.222.224.134 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516) 02.01.2009 23:48:41 92.125.111.35 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173) 02.01.2009 23:37:03 202.97.238.233 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516) 02.01.2009 23:11:24 202.97.238.230 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516) 02.01.2009 22:57:59 202.97.238.234 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516) 02.01.2009 22:48:27 60.222.224.139 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (772)PS: Тиснул этот пост - и как рукой всё сняло! Что - это местных деятелей дела??? Сцыкнули? Сутками поминутные атаки и сканирования шли, когда ни выйди.((( PS: DOS-атака (на отказ в обслуживании), через прокси наверное шла. А вот чьи IP-адреса - 60.222.224.***, 202.97.238.***, 88.80.7.82 ?? Это - постоянные участники событый. Есть смелые от админов или от спецов, разрулить ситуёвину? Пока на Сибнет не авторизуюсь, в инете спокойне брожу. А вот ранние дела, кгда через city выходил. ***************************************************************************** » Спойлер (нажмите, чтобы прочесть) « 15.11.2008 12:35:13*212.94.96.124Атакующий разблокирован 15.11.2008 12:35:13*212.94.96.70Атакующий разблокирован 15.11.2008 11:52:41*212.94.96.124Подсеть заблокирована на 60 мин.SCAN (47041, 12080, 50482) 15.11.2008 11:52:40*212.94.96.70Подсеть заблокирована на 60 мин.SCAN (47041, 12080, 50482) 15.11.2008 11:51:35*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (47041) 15.11.2008 11:51:34*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (47041) 15.11.2008 11:19:37*212.94.96.124Атакующий разблокирован 15.11.2008 10:58:25*212.94.96.124Подсеть заблокирована на 60 мин.SCAN (16062, 12296, 11634) 15.11.2008 10:57:32*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (12296) 15.11.2008 10:57:04*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (16062) 15.11.2008 10:47:15*212.94.96.70Атакующий разблокирован 15.11.2008 10:31:44*90.189.192.82Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (29451) 15.11.2008 10:19:01*212.94.96.70Подсеть заблокирована на 60 мин.SCAN (36882, 43707, 28854) 15.11.2008 10:15:50*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (15016) 15.11.2008 10:15:49*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (15016) 15.11.2008 10:04:01*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (26505) 15.11.2008 10:02:17*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (28085) 15.11.2008 9:51:54*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (44448) 15.11.2008 9:51:50*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (44448) 15.11.2008 9:31:38*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (7605) 15.11.2008 9:31:35*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (7605) 15.11.2008 9:21:31*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (1439) 15.11.2008 9:21:24*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (1439) 15.11.2008 9:18:01*212.94.96.124Атакующий разблокирован 15.11.2008 9:18:01*212.94.96.70Атакующий разблокирован 15.11.2008 8:45:01*212.94.96.124Подсеть заблокирована на 60 мин.SCAN (53793, 2633, 14041) 15.11.2008 8:44:40*212.94.96.70Подсеть заблокирована на 60 мин.SCAN (53793, 2633, 56845) 15.11.2008 8:43:28*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (53793) 15.11.2008 8:43:27*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (53793) 14.11.2008 23:51:30*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (614)
IP-адреса Алтайского DNS-сервера, техподдержка наша?..(( Сообщение отредактировал 4ерт - 3.1.2009, 11:11
|
|
|
|
77sergej |
6.1.2009, 6:14
|
Молчун
Группа: Пользователи
Сообщений: 1
Регистрация: 6.1.2009
Пользователь №: 72 406
Репутация: 0
|
Всё началось в субботу вечером, когда наблюдатели в США и Южной Корее впервые отметили необычную сетевую активность: отслеживая входящий трафик, можно было заметить прибегающие со всех направлений (а, точнее, от компьютеров со случайными Интернет-адресами) короткие пакеты. Длиною в три - четыре сотни байт, они приходили на порт с номером 1434. Всего за пару часов количество этих пакетов в Сети возросло до таких объёмов, что каналы, объединяющие многих провайдеров (т.н. бэкбон-сети) перестали справляться с нагрузкой, недопустимо сильно увеличив время прохождения через них информации. Попросту говоря, попытка рядового пользователя Сети достучаться до какого-то сайта в пяти случаях из десяти заканчивалась неудачей. Таково было положение дел в Японии, странах Европы и ряде других государств. В Штатах и Южной Корее ситуация была самой тяжёлой: многие провайдеры попросту прекратили свою работу, больше того - начались перебои в работе оборудования, подключенного к Сети (так, отказались выдавать деньги 13 тысяч банкоматов Bank of America). Пиком эпидемии стал выход из строя пяти из тринадцати корневых серверов службы DNS, поддерживающих работу всего Интернет.
Причины происходящего прояснялись медленно. В первые часы удалось лишь выяснить, что виноват во всём "червь", эксплуатирующий уязвимость в программном продукте Microsoft SQL Server. Именно эта программа "слушает" порт 1434, обрабатывая поступающую на него информацию. На основании этих сведений были выработаны и первые рекомендации по ограничению масштабов эпидемии: закрыть порт от связи с внешним миром. Благодаря этому уже в течение шести часов после начала, развитие инфекции удалось приостановить. А чуть позже появились и сведения о её масштабах: по различным данным (Symantec приводит цифру в 22 тысячи), эпидемия охватила от двух десятков до 25 тысяч узлов, на которых работал MS SQL Server. Однако, как два десятка тысяч машин, рассылая пакеты размером меньше килобайта, едва не повесили всю Сеть?!
Изюминка крылась в принципе работы "червя". Он, кстати, не прояснён полностью и на данный момент, но в общих чертах сводится к использованию пары уязвимостей в MS SQL Server, открытых ещё летом прошлого года. Одна из них заключается в возможности переполнения буфера и выполнения произвольного кода на компьютере с запущенным SQL Server. Её, вирус длиной в четыре сотни байт, использовал для заражения сервера. Инфицировав сервер, вирус приступал к размножению: SQL Server наделён своеобразной ping-функцией, которая заставляет его, в ответ на запрос, поступивший на порт 1434, отсылать ответ. Вирус, рассылая такие запросы по случайным IP-адресам, сканировал адресное пространство Сети, отыскивая новые жертвы - и заражая их немедленно по обнаружении. Но, одновременно с этим, производилась и другая работа: вирус организовывал между двумя обнаруженными SQL-серверами бесконечный обмен информацией, для чего использовалась вторая уязвимость. Дело в том, что ping-функция, если на неё прислать особый пакет, отвечает тем же самым пакетом. Представьте теперь, что сервер 1 шлёт такой пакет на сервер 2, тот отсылает его обратно, и вызывает ответную реакцию: сервер 1, получив пакет от 2-го сервера, опять отвечает на него и т.д. Такое бесконечное перебрасывание "мяча" способно съесть до 60% вычислительной мощности каждого из участвующих в нём серверов, ещё и многократно увеличив трафик. Именно этот трафик и перегрузил бэкбон-сети.
На жёсткий диск вирус не сохранялся, равно как ничего на нём не портил, поэтому удалить его с машины можно было простой выгрузкой SQL Server из памяти. Тем не менее, несмотря на всю простоту, эксперты уже назвали эпидемию SQL Slammer Worm (так прозвали нового "червя") самой тяжёлой за последние полтора года. По масштабам и последствиям с ней может сравниться только эпидемия Code Red. Впрочем, о последствиях пока судить рано: как предупреждают вирусологи, через несколько дней неизбежно появятся варианты Slammer, который могут вызвать ещё большие разрушения.
Эпидемия Slammer замечательно продемонстрировала ужасающую незащищённость современной Сети перед вирусными инфекциями. Частично виною тому - человек (администраторам серверов было просто лень поставить нужные "заплатки"), частично - инфраструктура Сети (нет никаких инструментов ограничения избыточного трафика). Как защититься от новых эпидемий? Можно ли устранить человеческий фактор из компьютерной безопасности? Можно ли найти универсальное техническое решение, гарантирующее защищённость машин? А может быть стоит просто максимально ужесточить наказание за преступления в киберпространстве?
|
|
|
|
4ерт |
12.1.2009, 3:28
|
Братуха
Группа: Пользователи
Сообщений: 5 014
Регистрация: 19.1.2008
Из: Алтай
Пользователь №: 17 458
Репутация: 312
|
Цитата(77sergej @ 6.1.2009, 5:14) Всё началось в субботу вечером, когда наблюдатели в США и Южной Корее впервые отметили необычную сетевую активность: отслеживая входящий трафик, можно было заметить прибегающие со всех направлений (а, точнее, от компьютеров со случайными Интернет-адресами) короткие пакеты. Длиною в три - четыре сотни байт, они приходили на порт с номером 1434. Причины происходящего прояснялись медленно. В первые часы удалось лишь выяснить, что виноват во всём "червь", эксплуатирующий уязвимость в программном продукте Microsoft SQL Server. Именно эта программа "слушает" порт 1434, обрабатывая поступающую на него информацию. Можно ли устранить человеческий фактор из компьютерной безопасности? Можно ли найти универсальное техническое решение, гарантирующее защищённость машин? А может быть стоит просто максимально ужесточить наказание за преступления в киберпространстве?
А здесь сегодня началось. Червь тут или ещё что. Ау - специалисты!!! Классическая атака? » Спойлер (нажмите, чтобы прочесть) « 1:03:11 90.36.11.246 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:10 82.127.194.198 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:09 212.21.255.225 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:08 77.199.19.182 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:04 88.169.208.159 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:02 79.53.29.127 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:01 79.154.192.91 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:01 62.1.138.237 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:03:00 200.193.10.200 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 1:02:54 77.206.213.133 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:55:59 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 14340) 0:52:53 82.57.102.235 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:52:51 60.222.224.140 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516) 0:52:48 79.10.140.25 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:52:46 85.155.153.133 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:52:45 217.130.56.137 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:52:42 220.96.32.127 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:52:41 94.37.59.65 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:52:37 90.36.11.246 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800) 0:49:14 90.189.192.82 Подсеть заблокирована на 60 мин. SCAN (15409, 16689, 62512) 0:48:40 90.189.192.82 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (15409) 0:45:47 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (26549) А здесь - часть заблокированных пакетов. + 3 Intrusion.Win.MMSQL.Worm.Helkern в 01.00.28, 01.04.48 и 01.08.19 на порт 1434.» Спойлер (нажмите, чтобы прочесть) « 0:50:01 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:54 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:49 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:47 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:44 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:41 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:38 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82 0:49:34 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:31 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:24 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:23 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82 0:49:23 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:19 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:19 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:17 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:16 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:16 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82 0:49:15 Блокировать OUT TCP 92.125.107.74 12710 90.189.192.86 80 ACK 90.189.192.82 0:49:15 Блокировать OUT TCP 92.125.107.74 12741 90.189.192.86 80 ACK 90.189.192.82 0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:14 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:14 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12532 RST ACK Заблокировано Детектором атак 0:48:50 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12609 RST ACK Заблокировано Детектором атак 0:48:40 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12604 RST ACK Заблокировано Детектором атак 0:45:47 Блокировать IN UDP 212.94.96.70 53 92.125.107.74 46439 Заблокировано Детектором атак
Ну и что это было - спецы-аналитики? Админов сибнет тоже хотелось бы услышать, так как это произошло после авторизации, да и IP, с которых атака началась, известные..(( Сообщение отредактировал 4ерт - 12.1.2009, 3:32
|
|
|
|
mephisto |
12.1.2009, 12:08
|
ортодоксальный линуксоид
Группа: VIP
Сообщений: 7 724
Регистрация: 17.11.2007
Из: столицы вашей родины
Пользователь №: 10 849
|
Цитата(4ерт @ 12.1.2009, 2:28) » Спойлер (нажмите, чтобы прочесть) « 0:50:01 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:54 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:49 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:47 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:44 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:41 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82 0:49:38 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82 0:49:34 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:31 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:24 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:23 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82 0:49:23 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:19 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:19 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:17 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:16 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:16 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82 0:49:15 Блокировать OUT TCP 92.125.107.74 12710 90.189.192.86 80 ACK 90.189.192.82 0:49:15 Блокировать OUT TCP 92.125.107.74 12741 90.189.192.86 80 ACK 90.189.192.82 0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:14 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82 0:49:14 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12532 RST ACK Заблокировано Детектором атак 0:48:50 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12609 RST ACK Заблокировано Детектором атак 0:48:40 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12604 RST ACK Заблокировано Детектором атак 0:45:47 Блокировать IN UDP 212.94.96.70 53 92.125.107.74 46439 Заблокировано Детектором атак
Ну и что это было - спецы-аналитики? Админов сибнет тоже хотелось бы услышать, так как это произошло после авторизации, да и IP, с которых атака началась, известные..(( Ну ты сам подумай, что к тебе может с 80-го порта идти? А про это ты бы вообще у себя спросил: Код 0:49:47 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:31 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:23 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:19 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:17 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:16 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82 0:49:15 Блокировать OUT TCP 92.125.107.74 12710 90.189.192.86 80 ACK 90.189.192.82 0:49:15 Блокировать OUT TCP 92.125.107.74 12741 90.189.192.86 80 ACK 90.189.192.82
От тебя же трафик идёт
|
|
|
|
4ерт |
12.1.2009, 14:58
|
Братуха
Группа: Пользователи
Сообщений: 5 014
Регистрация: 19.1.2008
Из: Алтай
Пользователь №: 17 458
Репутация: 312
|
Цитата(mephisto @ 12.1.2009, 11:08) Ну ты сам подумай, что к тебе может с 80-го порта идти? А про это ты бы вообще у себя спросил: От тебя же трафик идёт Потому и спрашиваю, что не спец. Пакеты от меня - в ответ на атаку и сканирование, а что по атаке скажете? Сам себя атаковал, и worm (helkern) приглашал?? Давай уже с начала рассмотрим, а не телегу впереди лошади пускать.( PS: Теоретики..( Ответы получил здесь. http://forum.sibnet.ru/index.php?showtopic=158709Сообщение отредактировал 4ерт - 12.1.2009, 19:39
|
|
|
|
mephisto |
13.1.2009, 1:06
|
ортодоксальный линуксоид
Группа: VIP
Сообщений: 7 724
Регистрация: 17.11.2007
Из: столицы вашей родины
Пользователь №: 10 849
|
Цитата(4ерт @ 12.1.2009, 13:58) Потому и спрашиваю, что не спец. Пакеты от меня - в ответ на атаку и сканирование
Да ну? Ладно, давай рассуждать логически: если атаку порезал фаер, то кто на неё может ответить (вопрос "нафига??!" пока опустим)? Правильно! Фаервол! Тогда встаёт вопрос зачем он отправленные собой же пакеты блокирует? Вывод: либо фаервол глючит и его нужно пустить под откос, либо пакеты всё же слал не фаирвол и это нифига не ответ на "атаку". Хм, а кто же тогда? На 80-й порт? Ответ прост: браузер! Причем шлет он их с твоего ведома, в попытке отобразить нужную тебе страницу. Почему тогда фаераол считает их потенциально опасными? Да потому что трава у разработчиков была забористая и в больших количествах. Цитата(4ерт @ 12.1.2009, 13:58) , а что по атаке скажете?
Обычный трафик между web-сервером и браузером, почему его фаирвол блокирует смотри выше. P. S. Ты либо почитай книжку по сетевым технологиям, либо не лазь в логи фаирвола.
|
|
|
|
4ерт |
13.1.2009, 2:27
|
Братуха
Группа: Пользователи
Сообщений: 5 014
Регистрация: 19.1.2008
Из: Алтай
Пользователь №: 17 458
Репутация: 312
|
Цитата(mephisto @ 13.1.2009, 0:06) Да ну? Ладно, давай рассуждать логически: если атаку порезал фаер, то кто на неё может ответить (вопрос "нафига??!" пока опустим)? Правильно! Фаервол! Тогда встаёт вопрос зачем он отправленные собой же пакеты блокирует? Вывод: либо фаервол глючит и его нужно пустить под откос, либо пакеты всё же слал не фаирвол и это нифига не ответ на "атаку". Хм, а кто же тогда? На 80-й порт? Ответ прост: браузер! Причем шлет он их с твоего ведома, в попытке отобразить нужную тебе страницу. Почему тогда фаервол считает их потенциально опасными? Да потому что трава у разработчиков была забористая и в больших количествах. Обычный трафик между web-сервером и браузером, почему его фаирвол блокирует смотри выше. P. S. Ты либо почитай книжку по сетевым технологиям, либо не лазь в логи фаирвола.
Если в моей профессии кто профан, то книжки не помогут. Outpost 2009 - кривой? Тогда атак в природе не существует.. И 7 десятков всякого зверья мои антивири придумали тоже. Помощь от мудрецов мне здесь такая не нужна, тему можно закрыть.
|
|
|
|
mephisto |
13.1.2009, 3:33
|
ортодоксальный линуксоид
Группа: VIP
Сообщений: 7 724
Регистрация: 17.11.2007
Из: столицы вашей родины
Пользователь №: 10 849
|
Цитата(4ерт @ 13.1.2009, 1:27) Если в моей профессии кто профан, то книжки не помогут. Outpost 2009 - кривой? Тогда атак в природе не существует.. И 7 десятков всякого зверья мои антивири придумали тоже. Помощь от мудрецов мне здесь такая не нужна, тему можно закрыть.
Похоже ты не правильно понимаешь, что в данном контексте подразумевается под словом "атака". Что касается Outpost 2009: Какая версия у тебя стоит? Случайно не бета? Если нет, то ты уверен, что в версии, установленной у тебя нет багов? Outpost единственный фаерфол на компьютере?
|
|
|
|
4ерт |
13.1.2009, 4:59
|
Братуха
Группа: Пользователи
Сообщений: 5 014
Регистрация: 19.1.2008
Из: Алтай
Пользователь №: 17 458
Репутация: 312
|
Цитата(mephisto @ 13.1.2009, 2:33) Похоже ты не правильно понимаешь, что в данном контексте подразумевается под словом "атака". Что касается Outpost 2009: Какая версия у тебя стоит? Случайно не бета?
Версии фаера и антивирей - последние, обновления ежедневные. Бетками не пользуюсь. Дело не в портах и не в пакетах. Мне нужна была безопасность и я её наконец-то получил. После авторизации здесь постоянно начинались тормоза и внедрение всякой хери. Причем в последнее время после сканов подбиралось то зверьё, которое мои 2 антивируса не видели. Идеальных нет, но помогали сканеры. Кстати сейчас фаер зафиксировал наезд, + Worm.Helkern. 3:52:48 * 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 14340) 3:52:57 * UDP от 61.153.180.10 на локальный порт 1434 Обнаружено: Intrusion.Win.MSSQL.worm.HelkernНо такие мелочи - не беспокоят. Спасибо за участие и советы.) Сейчас проблем нет.********************************************************************* Только от этих шалости, да ещё 2 сети заблокированы. Жизнь в интернете наладилась!)) 5:11:56 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 14340)5:12:00 Блокировать IN TCP 88.80.7.82 18221 92.125.89.94 3127 SYN Заблокировано Детектором атак 5:12:00 Блокировать IN TCP 88.80.7.82 20673 92.125.89.94 3128 SYN Заблокировано Детектором атак 5:12:00 Блокировать IN TCP 88.80.7.82 45404 92.125.89.94 80 SYN Заблокировано Детектором атак 5:12:00 Блокировать IN TCP 88.80.7.82 10889 92.125.89.94 8000 SYN Заблокировано Детектором атак 5:11:59 Блокировать IN TCP 88.80.7.82 25735 92.125.89.94 1080 SYN Заблокировано Детектором атак 5:11:59 Блокировать IN TCP 88.80.7.82 50599 92.125.89.94 8080 SYN Заблокировано Детектором атак 5:11:57 Блокировать IN TCP 88.80.7.82 18221 92.125.89.94 3127 SYN Заблокировано Детектором атак 5:11:57 Блокировать IN TCP 88.80.7.82 20673 92.125.89.94 3128 SYN Заблокировано Детектором атак 5:11:57 Блокировать IN TCP 88.80.7.82 45404 92.125.89.94 80 SYN Заблокировано Детектором атак 5:11:57 Блокировать IN TCP 88.80.7.82 10889 92.125.89.94 8000 SYN Заблокировано Детектором атак 5:11:56 Блокировать IN TCP 88.80.7.82 25735 92.125.89.94 1080 SYN Заблокировано Детектором атак 5:11:56 Блокировать IN TCP 88.80.7.82 50599 92.125.89.94 8080 SYN Заблокировано Детектором атак Антивири чистые, без фаеров и брэндмауэров. + Outpost.)) Сообщение отредактировал 4ерт - 14.1.2009, 6:39
|
|
|
|
Tabon |
13.1.2009, 7:29
|
Ы
Группа: Sibnet-club
Сообщений: 918
Регистрация: 15.7.2007
Из: Новокузнецк
Пользователь №: 2 088
|
Цитата(4ерт @ 13.1.2009, 4:59) но надеюсь на более конструктивную помощь.)
а какой помощи ты хочешь? если хочешь, что бы тебя перестали атаковать, тогда вычисляй атакующего и отбери у него компьютер, все остальные способы не столь эффективны Сообщение отредактировал Tabon - 13.1.2009, 7:29
|
|
|
|
ДКА |
15.1.2009, 23:20
|
Виртуальная реальность
Группа: Sibnet-club
Сообщений: 792
Регистрация: 23.5.2008
Из: Бикатунский острог
Пользователь №: 34 033
Репутация: 43
|
Цитата(4ерт @ 13.1.2009, 1:27) Если в моей профессии кто профан, то книжки не помогут. Outpost 2009 - кривой? Тогда атак в природе не существует.. И 7 десятков всякого зверья мои антивири придумали тоже. Помощь от мудрецов мне здесь такая не нужна, тему можно закрыть.
Поставил для интереса Outpost, конечно маниакальный фаер - Сибирьтелеком тоже атакует . 4ерт вот адресок, развлекайся. Хотя странновато все это у тебя.
|
|
|
|
mephisto |
15.1.2009, 23:37
|
ортодоксальный линуксоид
Группа: VIP
Сообщений: 7 724
Регистрация: 17.11.2007
Из: столицы вашей родины
Пользователь №: 10 849
|
Цитата(ДКА @ 15.1.2009, 22:20) Поставил для интереса Outpost, конечно маниакальный фаер - Сибирьтелеком тоже атакует . 4ерт вот адресок, развлекайся. Хотя странновато все это у тебя. Вот интересная ссылка по теме
|
|
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|