Сейчас обсуждают

[mephisto]

Подскажите, что это значит ?

» Спойлер (нажмите, чтобы прочесть) «

Дата/Время IP атакующего Событие Тип атаки
15:55:21 85.30.222.11 Атакующий разблокирован
15:55:21 222.254.231.164 Атакующий разблокирован
15:55:21 67.80.107.175 Атакующий разблокирован
15:55:21 208.186.134.103 Атакующий разблокирован
15:55:21 58.227.182.230 Атакующий разблокирован
15:55:21 76.10.132.137 Атакующий разблокирован
15:55:21 206.81.47.74 Атакующий разблокирован
15:55:21 68.53.151.234 Атакующий разблокирован
15:55:21 84.47.120.142 Атакующий разблокирован
15:55:21 194.225.57.14 Атакующий разблокирован
15:50:21 85.30.222.11 Узел заблокирован на 5 мин. DOS
15:50:21 222.254.231.164 Узел заблокирован на 5 мин. DOS
15:50:21 67.80.107.175 Узел заблокирован на 5 мин. DOS
15:50:21 208.186.134.103 Узел заблокирован на 5 мин. DOS
15:50:21 58.227.182.230 Узел заблокирован на 5 мин. DOS
15:50:21 76.10.132.137 Узел заблокирован на 5 мин. DOS
15:50:21 206.81.47.74 Узел заблокирован на 5 мин. DOS
15:50:21 68.53.151.234 Узел заблокирован на 5 мин. DOS
15:50:21 84.47.120.142 Узел заблокирован на 5 мин. DOS
15:50:21 194.225.57.14 Узел заблокирован на 5 мин. DOS

Попсовый фаирволл отрабатывает деньги, которые вы за него заплатили должны были заплатить

Есть простое и изящное решение проблемы - заблокировать все входящие подключения и жить спокойно, забив на статистику. Проблема в том, что товарищи, мало понимающие в IT, судят об эффективности фаирволла по количеству "атак", которые он "отразил", а маркетологи успешно эти пользуются...

[4ерт]

А проблему атак, сканирования и перебора портов решил. Восьмой по счету из антивирусов, по очереди ставившихся на систему, нашел несколько "хакерских утилит удаленного управления компьютером" и грохнул их. Их не видел ни один популярный антивирь, которые здесь обсуждаются!!!
В архивах безобидных программ и прочем... Фаер и этот антивирь "свой хлеб" отработали!
Теперь ни в глобале, ни здесь - никакого внимания моей персоне. Надолго-ли?

Сообщение отредактировал 4ерт - 16.10.2008, 19:13

[ДКА]

И что за чудо-антивирус если не секрет ?

Сообщение отредактировал ДКА - 17.10.2008, 20:30

[ZekZion]

А у меня тоже чушь всякая лезет.
Всё кто-то постоянные атаки на порт организовывает.
Я не заморачиваюсь, не банковский я сервак.
Самое главное блокирую, а насчёт записей, на заборе тоже пишут.

[the.h3rmit]

Какие повторяющиеся атаки, вы о чем, люди? Про фаервол с интерактивным режимом работы кто-нибудь слышал? Начинается атака - фаер спрашивает, мол, Хозяин, этого ты знаешь? - дальше просто: да - разрешить, нет - запретить (навечно, 1 час и т.д.). И никаких больше вопросов. А вообще лучшая защита - это нападение. Можно попробовать нюкнуть гада - Вы в своем праве, ведь преднамеренный скан (а равно - атаку) начал противник.

[mephisto]

Про фаервол с интерактивным режимом работы кто-нибудь слышал?

Это не серьёзно

Можно попробовать нюкнуть гада - Вы в своем праве, ведь преднамеренный скан (а равно - атаку) начал противник.

И с каких пор понятие самооборона (я про юридические нормы), распространяется на случай вмешательства в работу электронно-вычислительных машин?

[Vlad_t]

Intrusion.Win.MSSQL.worm.Helkern. как атакующий порт заблокировать в KIS 8 ?

[-Kelt-]

Заходишь в кис, в меню "защита" выбираешь сетевой экран и в правой части, в окне, жмешь на "настроить". В открывшемся окне в "системе фильтрации" жми кнопку "настройка". Далее, выбираешь вкладку "Правила для пакетов" и справа жми кнопку "Добавить". Ставь галку в строке "Локальный порт" и в нижней половине, жмя на синенькие (типа гиперссылки ) надписи, выбирай, что нужно сделать . Например, так:

Сделал всё так, но атаки всё равно продолжаются

[4ерт]

По делу кто может сказать, кто это балует? Или все мастера только дурковать и ст[МАТ]ся? Задрали хакереныши уже, толку нет, а лезут постоянно. Чмошники. И чего надо-то??
1:01:37 190.11.14.226 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5632)
0:58:13 92.125.118.139 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5888)
0:36:10 92.125.54.209 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5888)
0:28:49 60.222.224.138 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (772)
0:24:18 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 16415, 20480)
0:24:17 88.80.7.82 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36895)
0:24:08 92.125.89.33 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (5888)
0:19:48 78.146.72.103 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (4801)
0:09:51 92.125.89.85 Подсеть заблокирована на 60 мин. SCAN (59764, 53764, 29725)
0:09:23 94.210.65.107 Подсеть заблокирована на 60 мин. DOS
0:09:23 218.19.119.37 Подсеть заблокирована на 60 мин. DOS
0:09:23 220.246.221.193 Подсеть заблокирована на 60 мин. DOS
0:09:23 77.40.47.251 Подсеть заблокирована на 60 мин. DOS
0:09:23 194.186.53.206 Подсеть заблокирована на 60 мин. DOS
0:09:23 65.92.64.152 Подсеть заблокирована на 60 мин. DOS
0:09:22 92.126.215.19 Подсеть заблокирована на 60 мин. DOS
0:09:22 213.25.140.254 Подсеть заблокирована на 60 мин. DOS
0:09:22 114.154.241.73 Подсеть заблокирована на 60 мин. DOS
0:09:22 92.113.30.1 Подсеть заблокирована на 60 мин. DOS
0:08:34 79.173.80.255 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:34 93.155.194.168 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 85.140.109.156 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 212.152.35.119 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 77.239.239.177 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 92.125.30.108 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 91.122.203.133 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 92.53.78.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 93.190.200.141 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
0:08:33 89.110.17.222 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (53764)
02.01.2009 23:58:30 78.159.102.118 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36608)
02.01.2009 23:51:33 60.222.224.134 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516)
02.01.2009 23:48:41 92.125.111.35 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173)
02.01.2009 23:37:03 202.97.238.233 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516)
02.01.2009 23:11:24 202.97.238.230 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516)
02.01.2009 22:57:59 202.97.238.234 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516)
02.01.2009 22:48:27 60.222.224.139 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (772)
PS: Тиснул этот пост - и как рукой всё сняло! Что - это местных деятелей дела??? Сцыкнули? Сутками поминутные атаки и сканирования шли, когда ни выйди.(((
PS: DOS-атака (на отказ в обслуживании), через прокси наверное шла. А вот чьи IP-адреса - 60.222.224.***, 202.97.238.***, 88.80.7.82 ?? Это - постоянные участники событый.
Есть смелые от админов или от спецов, разрулить ситуёвину? Пока на Сибнет не авторизуюсь, в инете спокойне брожу.
А вот ранние дела, кгда через city выходил.
*****************************************************************************

» Спойлер (нажмите, чтобы прочесть) «

15.11.2008 12:35:13*212.94.96.124Атакующий разблокирован
15.11.2008 12:35:13*212.94.96.70Атакующий разблокирован
15.11.2008 11:52:41*212.94.96.124Подсеть заблокирована на 60 мин.SCAN (47041, 12080, 50482)
15.11.2008 11:52:40*212.94.96.70Подсеть заблокирована на 60 мин.SCAN (47041, 12080, 50482)
15.11.2008 11:51:35*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (47041)
15.11.2008 11:51:34*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (47041)
15.11.2008 11:19:37*212.94.96.124Атакующий разблокирован
15.11.2008 10:58:25*212.94.96.124Подсеть заблокирована на 60 мин.SCAN (16062, 12296, 11634)
15.11.2008 10:57:32*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (12296)
15.11.2008 10:57:04*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (16062)
15.11.2008 10:47:15*212.94.96.70Атакующий разблокирован
15.11.2008 10:31:44*90.189.192.82Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (29451)
15.11.2008 10:19:01*212.94.96.70Подсеть заблокирована на 60 мин.SCAN (36882, 43707, 28854)
15.11.2008 10:15:50*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (15016)
15.11.2008 10:15:49*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (15016)
15.11.2008 10:04:01*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (26505)
15.11.2008 10:02:17*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (28085)
15.11.2008 9:51:54*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (44448)
15.11.2008 9:51:50*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (44448)
15.11.2008 9:31:38*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (7605)
15.11.2008 9:31:35*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (7605)
15.11.2008 9:21:31*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (1439)
15.11.2008 9:21:24*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (1439)
15.11.2008 9:18:01*212.94.96.124Атакующий разблокирован
15.11.2008 9:18:01*212.94.96.70Атакующий разблокирован
15.11.2008 8:45:01*212.94.96.124Подсеть заблокирована на 60 мин.SCAN (53793, 2633, 14041)
15.11.2008 8:44:40*212.94.96.70Подсеть заблокирована на 60 мин.SCAN (53793, 2633, 56845)
15.11.2008 8:43:28*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (53793)
15.11.2008 8:43:27*212.94.96.124Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (53793)
14.11.2008 23:51:30*212.94.96.70Обнаружена атака, узел не заблокированSINGLE_SCAN_PORT (614)

IP-адреса Алтайского DNS-сервера, техподдержка наша?..((

Сообщение отредактировал 4ерт - 3.1.2009, 11:11

[77sergej]

Всё началось в субботу вечером, когда наблюдатели в США и Южной Корее впервые отметили необычную сетевую активность: отслеживая входящий трафик, можно было заметить прибегающие со всех направлений (а, точнее, от компьютеров со случайными Интернет-адресами) короткие пакеты. Длиною в три - четыре сотни байт, они приходили на порт с номером 1434. Всего за пару часов количество этих пакетов в Сети возросло до таких объёмов, что каналы, объединяющие многих провайдеров (т.н. бэкбон-сети) перестали справляться с нагрузкой, недопустимо сильно увеличив время прохождения через них информации. Попросту говоря, попытка рядового пользователя Сети достучаться до какого-то сайта в пяти случаях из десяти заканчивалась неудачей. Таково было положение дел в Японии, странах Европы и ряде других государств. В Штатах и Южной Корее ситуация была самой тяжёлой: многие провайдеры попросту прекратили свою работу, больше того - начались перебои в работе оборудования, подключенного к Сети (так, отказались выдавать деньги 13 тысяч банкоматов Bank of America). Пиком эпидемии стал выход из строя пяти из тринадцати корневых серверов службы DNS, поддерживающих работу всего Интернет.

Причины происходящего прояснялись медленно. В первые часы удалось лишь выяснить, что виноват во всём "червь", эксплуатирующий уязвимость в программном продукте Microsoft SQL Server. Именно эта программа "слушает" порт 1434, обрабатывая поступающую на него информацию. На основании этих сведений были выработаны и первые рекомендации по ограничению масштабов эпидемии: закрыть порт от связи с внешним миром. Благодаря этому уже в течение шести часов после начала, развитие инфекции удалось приостановить. А чуть позже появились и сведения о её масштабах: по различным данным (Symantec приводит цифру в 22 тысячи), эпидемия охватила от двух десятков до 25 тысяч узлов, на которых работал MS SQL Server. Однако, как два десятка тысяч машин, рассылая пакеты размером меньше килобайта, едва не повесили всю Сеть?!

Изюминка крылась в принципе работы "червя". Он, кстати, не прояснён полностью и на данный момент, но в общих чертах сводится к использованию пары уязвимостей в MS SQL Server, открытых ещё летом прошлого года. Одна из них заключается в возможности переполнения буфера и выполнения произвольного кода на компьютере с запущенным SQL Server. Её, вирус длиной в четыре сотни байт, использовал для заражения сервера. Инфицировав сервер, вирус приступал к размножению: SQL Server наделён своеобразной ping-функцией, которая заставляет его, в ответ на запрос, поступивший на порт 1434, отсылать ответ. Вирус, рассылая такие запросы по случайным IP-адресам, сканировал адресное пространство Сети, отыскивая новые жертвы - и заражая их немедленно по обнаружении. Но, одновременно с этим, производилась и другая работа: вирус организовывал между двумя обнаруженными SQL-серверами бесконечный обмен информацией, для чего использовалась вторая уязвимость. Дело в том, что ping-функция, если на неё прислать особый пакет, отвечает тем же самым пакетом. Представьте теперь, что сервер 1 шлёт такой пакет на сервер 2, тот отсылает его обратно, и вызывает ответную реакцию: сервер 1, получив пакет от 2-го сервера, опять отвечает на него и т.д. Такое бесконечное перебрасывание "мяча" способно съесть до 60% вычислительной мощности каждого из участвующих в нём серверов, ещё и многократно увеличив трафик. Именно этот трафик и перегрузил бэкбон-сети.

На жёсткий диск вирус не сохранялся, равно как ничего на нём не портил, поэтому удалить его с машины можно было простой выгрузкой SQL Server из памяти. Тем не менее, несмотря на всю простоту, эксперты уже назвали эпидемию SQL Slammer Worm (так прозвали нового "червя") самой тяжёлой за последние полтора года. По масштабам и последствиям с ней может сравниться только эпидемия Code Red. Впрочем, о последствиях пока судить рано: как предупреждают вирусологи, через несколько дней неизбежно появятся варианты Slammer, который могут вызвать ещё большие разрушения.

Эпидемия Slammer замечательно продемонстрировала ужасающую незащищённость современной Сети перед вирусными инфекциями. Частично виною тому - человек (администраторам серверов было просто лень поставить нужные "заплатки"), частично - инфраструктура Сети (нет никаких инструментов ограничения избыточного трафика). Как защититься от новых эпидемий? Можно ли устранить человеческий фактор из компьютерной безопасности? Можно ли найти универсальное техническое решение, гарантирующее защищённость машин? А может быть стоит просто максимально ужесточить наказание за преступления в киберпространстве?

[4ерт]

Всё началось в субботу вечером, когда наблюдатели в США и Южной Корее впервые отметили необычную сетевую активность: отслеживая входящий трафик, можно было заметить прибегающие со всех направлений (а, точнее, от компьютеров со случайными Интернет-адресами) короткие пакеты. Длиною в три - четыре сотни байт, они приходили на порт с номером 1434. Причины происходящего прояснялись медленно. В первые часы удалось лишь выяснить, что виноват во всём "червь", эксплуатирующий уязвимость в программном продукте Microsoft SQL Server. Именно эта программа "слушает" порт 1434, обрабатывая поступающую на него информацию. Можно ли устранить человеческий фактор из компьютерной безопасности? Можно ли найти универсальное техническое решение, гарантирующее защищённость машин? А может быть стоит просто максимально ужесточить наказание за преступления в киберпространстве?

А здесь сегодня началось. Червь тут или ещё что. Ау - специалисты!!! Классическая атака?

» Спойлер (нажмите, чтобы прочесть) «

1:03:11 90.36.11.246 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:10 82.127.194.198 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:09 212.21.255.225 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:08 77.199.19.182 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:04 88.169.208.159 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:02 79.53.29.127 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:01 79.154.192.91 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:01 62.1.138.237 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:03:00 200.193.10.200 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
1:02:54 77.206.213.133 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:55:59 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 14340)
0:52:53 82.57.102.235 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:52:51 60.222.224.140 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (516)
0:52:48 79.10.140.25 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:52:46 85.155.153.133 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:52:45 217.130.56.137 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:52:42 220.96.32.127 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:52:41 94.37.59.65 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:52:37 90.36.11.246 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (18800)
0:49:14 90.189.192.82 Подсеть заблокирована на 60 мин. SCAN (15409, 16689, 62512)
0:48:40 90.189.192.82 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (15409)
0:45:47 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (26549)

А здесь - часть заблокированных пакетов. + 3 Intrusion.Win.MMSQL.Worm.Helkern в 01.00.28, 01.04.48 и 01.08.19 на порт 1434.

» Спойлер (нажмите, чтобы прочесть) «

0:50:01 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:54 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:49 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:47 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:44 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:41 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:38 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82
0:49:34 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:31 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:24 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:23 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82
0:49:23 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:19 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:19 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:17 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:16 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:16 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82
0:49:15 Блокировать OUT TCP 92.125.107.74 12710 90.189.192.86 80 ACK 90.189.192.82
0:49:15 Блокировать OUT TCP 92.125.107.74 12741 90.189.192.86 80 ACK 90.189.192.82
0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:14 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:14 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12532 RST ACK Заблокировано Детектором атак
0:48:50 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12609 RST ACK Заблокировано Детектором атак
0:48:40 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12604 RST ACK Заблокировано Детектором атак
0:45:47 Блокировать IN UDP 212.94.96.70 53 92.125.107.74 46439 Заблокировано Детектором атак

Ну и что это было - спецы-аналитики? Админов сибнет тоже хотелось бы услышать, так как это произошло после авторизации, да и IP, с которых атака началась, известные..((

Сообщение отредактировал 4ерт - 12.1.2009, 3:32

[mephisto]

» Спойлер (нажмите, чтобы прочесть) «

0:50:01 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:54 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:49 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:47 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:44 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:41 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:39 Блокировать IN TCP 90.189.192.11 80 92.125.107.74 12064 FIN ACK 90.189.192.82
0:49:38 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82
0:49:34 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:31 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:24 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:23 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82
0:49:23 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:19 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:19 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:17 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:16 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:16 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12710 ACK 90.189.192.82
0:49:15 Блокировать OUT TCP 92.125.107.74 12710 90.189.192.86 80 ACK 90.189.192.82
0:49:15 Блокировать OUT TCP 92.125.107.74 12741 90.189.192.86 80 ACK 90.189.192.82
0:49:15 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:14 Блокировать IN TCP 90.189.192.86 80 92.125.107.74 12715 PSH ACK 90.189.192.82
0:49:14 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12532 RST ACK Заблокировано Детектором атак
0:48:50 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12609 RST ACK Заблокировано Детектором атак
0:48:40 Блокировать IN TCP 90.189.192.82 80 92.125.107.74 12604 RST ACK Заблокировано Детектором атак
0:45:47 Блокировать IN UDP 212.94.96.70 53 92.125.107.74 46439 Заблокировано Детектором атак

Ну и что это было - спецы-аналитики? Админов сибнет тоже хотелось бы услышать, так как это произошло после авторизации, да и IP, с которых атака началась, известные..((

Ну ты сам подумай, что к тебе может с 80-го порта идти? А про это ты бы вообще у себя спросил:

Код

0:49:47 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:31 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:23 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:19 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:17 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:16 Блокировать OUT TCP 92.125.107.74 12090 90.189.192.11 80 FIN ACK 90.189.192.82
0:49:15 Блокировать OUT TCP 92.125.107.74 12710 90.189.192.86 80 ACK 90.189.192.82
0:49:15 Блокировать OUT TCP 92.125.107.74 12741 90.189.192.86 80 ACK 90.189.192.82

От тебя же трафик идёт

[4ерт]

Ну ты сам подумай, что к тебе может с 80-го порта идти? А про это ты бы вообще у себя спросил:
От тебя же трафик идёт

Потому и спрашиваю, что не спец. Пакеты от меня - в ответ на атаку и сканирование, а что по атаке скажете? Сам себя атаковал, и worm (helkern) приглашал?? Давай уже с начала рассмотрим, а не телегу впереди лошади пускать.(
PS: Теоретики..( Ответы получил здесь. http://forum.sibnet.ru/index.php?showtopic=158709

Сообщение отредактировал 4ерт - 12.1.2009, 19:39

[mephisto]

Потому и спрашиваю, что не спец. Пакеты от меня - в ответ на атаку и сканирование

Да ну? Ладно, давай рассуждать логически: если атаку порезал фаер, то кто на неё может ответить (вопрос "нафига??!" пока опустим)? Правильно! Фаервол! Тогда встаёт вопрос зачем он отправленные собой же пакеты блокирует? Вывод: либо фаервол глючит и его нужно пустить под откос, либо пакеты всё же слал не фаирвол и это нифига не ответ на "атаку". Хм, а кто же тогда? На 80-й порт? Ответ прост: браузер! Причем шлет он их с твоего ведома, в попытке отобразить нужную тебе страницу. Почему тогда фаераол считает их потенциально опасными? Да потому что трава у разработчиков была забористая и в больших количествах.

, а что по атаке скажете?

Обычный трафик между web-сервером и браузером, почему его фаирвол блокирует смотри выше.

P. S. Ты либо почитай книжку по сетевым технологиям, либо не лазь в логи фаирвола.

[4ерт]

Да ну? Ладно, давай рассуждать логически: если атаку порезал фаер, то кто на неё может ответить (вопрос "нафига??!" пока опустим)? Правильно! Фаервол! Тогда встаёт вопрос зачем он отправленные собой же пакеты блокирует? Вывод: либо фаервол глючит и его нужно пустить под откос, либо пакеты всё же слал не фаирвол и это нифига не ответ на "атаку". Хм, а кто же тогда? На 80-й порт? Ответ прост: браузер! Причем шлет он их с твоего ведома, в попытке отобразить нужную тебе страницу. Почему тогда фаервол считает их потенциально опасными? Да потому что трава у разработчиков была забористая и в больших количествах.
Обычный трафик между web-сервером и браузером, почему его фаирвол блокирует смотри выше.
P. S. Ты либо почитай книжку по сетевым технологиям, либо не лазь в логи фаирвола.

Если в моей профессии кто профан, то книжки не помогут. Outpost 2009 - кривой? Тогда атак в природе не существует.. И 7 десятков всякого зверья мои антивири придумали тоже. Помощь от мудрецов мне здесь такая не нужна, тему можно закрыть.

[mephisto]

Если в моей профессии кто профан, то книжки не помогут. Outpost 2009 - кривой? Тогда атак в природе не существует.. И 7 десятков всякого зверья мои антивири придумали тоже. Помощь от мудрецов мне здесь такая не нужна, тему можно закрыть.

Похоже ты не правильно понимаешь, что в данном контексте подразумевается под словом "атака".

Что касается Outpost 2009: Какая версия у тебя стоит? Случайно не бета? Если нет, то ты уверен, что в версии, установленной у тебя нет багов? Outpost единственный фаерфол на компьютере?

[4ерт]

Похоже ты не правильно понимаешь, что в данном контексте подразумевается под словом "атака".
Что касается Outpost 2009: Какая версия у тебя стоит? Случайно не бета?

Версии фаера и антивирей - последние, обновления ежедневные. Бетками не пользуюсь. Дело не в портах и не в пакетах. Мне нужна была безопасность и я её наконец-то получил. После авторизации здесь постоянно начинались тормоза и внедрение всякой хери. Причем в последнее время после сканов подбиралось то зверьё, которое мои 2 антивируса не видели. Идеальных нет, но помогали сканеры. Кстати сейчас фаер зафиксировал наезд, + Worm.Helkern.
3:52:48 * 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 14340)
3:52:57 * UDP от 61.153.180.10 на локальный порт 1434 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
Но такие мелочи - не беспокоят. Спасибо за участие и советы.) Сейчас проблем нет.
*********************************************************************
Только от этих шалости, да ещё 2 сети заблокированы. Жизнь в интернете наладилась!))
5:11:56 88.80.7.82 Подсеть заблокирована на 60 мин. SCAN (36895, 14340)
5:12:00 Блокировать IN TCP 88.80.7.82 18221 92.125.89.94 3127 SYN Заблокировано Детектором атак
5:12:00 Блокировать IN TCP 88.80.7.82 20673 92.125.89.94 3128 SYN Заблокировано Детектором атак
5:12:00 Блокировать IN TCP 88.80.7.82 45404 92.125.89.94 80 SYN Заблокировано Детектором атак
5:12:00 Блокировать IN TCP 88.80.7.82 10889 92.125.89.94 8000 SYN Заблокировано Детектором атак
5:11:59 Блокировать IN TCP 88.80.7.82 25735 92.125.89.94 1080 SYN Заблокировано Детектором атак
5:11:59 Блокировать IN TCP 88.80.7.82 50599 92.125.89.94 8080 SYN Заблокировано Детектором атак
5:11:57 Блокировать IN TCP 88.80.7.82 18221 92.125.89.94 3127 SYN Заблокировано Детектором атак
5:11:57 Блокировать IN TCP 88.80.7.82 20673 92.125.89.94 3128 SYN Заблокировано Детектором атак
5:11:57 Блокировать IN TCP 88.80.7.82 45404 92.125.89.94 80 SYN Заблокировано Детектором атак
5:11:57 Блокировать IN TCP 88.80.7.82 10889 92.125.89.94 8000 SYN Заблокировано Детектором атак
5:11:56 Блокировать IN TCP 88.80.7.82 25735 92.125.89.94 1080 SYN Заблокировано Детектором атак
5:11:56 Блокировать IN TCP 88.80.7.82 50599 92.125.89.94 8080 SYN Заблокировано Детектором атак
Антивири чистые, без фаеров и брэндмауэров. + Outpost.))

Сообщение отредактировал 4ерт - 14.1.2009, 6:39

[Tabon]

но надеюсь на более конструктивную помощь.)

а какой помощи ты хочешь?
если хочешь, что бы тебя перестали атаковать, тогда вычисляй атакующего и отбери у него компьютер, все остальные способы не столь эффективны

Сообщение отредактировал Tabon - 13.1.2009, 7:29

[ДКА]

Если в моей профессии кто профан, то книжки не помогут. Outpost 2009 - кривой? Тогда атак в природе не существует.. И 7 десятков всякого зверья мои антивири придумали тоже. Помощь от мудрецов мне здесь такая не нужна, тему можно закрыть.

Поставил для интереса Outpost, конечно маниакальный фаер - Сибирьтелеком тоже атакует .
4ерт вот адресок, развлекайся.
Хотя странновато все это у тебя.

[mephisto]

Поставил для интереса Outpost, конечно маниакальный фаер - Сибирьтелеком тоже атакует .
4ерт вот адресок, развлекайся.
Хотя странновато все это у тебя.

Вот интересная ссылка по теме