Сейчас обсуждают
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru! Здравствуйте, гость ( Вход | Регистрация ) Сейчас обсуждают
| |||||||||||||||||||||||||||||||||||||||||||
  |
Постоянные атаки на порт   |
| mephisto |
 27.5.2008, 20:55
Сообщение
#21
|
 ортодоксальный линуксоид  Группа: VIP Сообщений: 7 724 Регистрация: 17.11.2007 Из: столицы вашей родины Пользователь №: 10 849  |
Цитата(BATMEN @ 27.5.2008, 19:12)  Тупо закрыть порты снаружи можно и Брандмауером виндовс. У меня вообще модем в режиме роутера, на нем железный + брандмауер виндовс (хотя это уже лишнее), оутпост вообще молчал молчал, я его удалил чтобы зря ресурсы не кушал. Ну железный эт громко сказано linux (причем далеко не последней версии) + iptables. |
   |
 
|
| Necromancer |
27.5.2008, 22:33
Сообщение
#22
|
 Болтун  Группа: Sibnet-club Сообщений: 525 Регистрация: 21.3.2008 Из: Новосиб - Барнаул Пользователь №: 26 086 Репутация:  99  |
Цитата(mephisto @ 27.5.2008, 19:55) Ну железный эт громко сказано linux (причем далеко не последней версии) + iptables. Я думаю, что под фразой "железный" понималось то, что фаерволл - аппаратный  а не качество его работы ... Хотя, аппаратные фаерволлы, пожалуй, на самом деле обеспечивают наиболее качественную защиту. |
|
|
|
| -Kelt- |
20.7.2008, 18:53
Сообщение
#23
|
 .....Tactical Ops..... Группа: Sibnet-club Сообщений: 499 Регистрация: 26.2.2008 Пользователь №: 22 388 Репутация: 137 |
Цитата Вирус, распространяющийся через уязвимость в MSSQL. Все хосты кого он заразил продолжают искать уязвимые цели, и стучатся на этот порт ко всем подряд. Зафаерволь порт и все... Подскажите, как это сделать? |
|
|
|
| vladimir77 |
20.7.2008, 21:14
Сообщение
#24
|
 Суслики, Самые лучшие спецназовцы  Группа: GNU/Linux Сообщений: 2 693 Регистрация: 24.7.2007 Из: Барнаул Пользователь №: 2 542 Репутация: 187 |
Из Виндовых Файрволов могу посоветовать Оутпост, качественно защищает систему если конечно обновляешь регулярно, есть возможность добавлять IP адреса в блэк лист, что очень удобно, если было одно сканирование порта он тебе и IP покажет и предложит сто с ним делать. Если с Барнаула посмотри на фтп там был Оутпост последний.
|
|
|
|
| -Kelt- |
22.7.2008, 19:15
Сообщение
#25
|
|
.....Tactical Ops..... Группа: Sibnet-club Сообщений: 499 Регистрация: 26.2.2008 Пользователь №: 22 388 Репутация: 137 |
Цитата Вирус, распространяющийся через уязвимость в MSSQL. Все хосты кого он заразил продолжают искать уязвимые цели, и стучатся на этот порт ко всем подряд. Зафаерволь порт и все... Люди! Плиз! Как это сделать в KIS 7??? |
|
|
|
| Necromancer |
23.7.2008, 21:07
Сообщение
#26
|
|
Болтун Группа: Sibnet-club Сообщений: 525 Регистрация: 21.3.2008 Из: Новосиб - Барнаул Пользователь №: 26 086 Репутация: 99 |
Цитата(-Kelt- @ 22.7.2008, 18:15) Люди! Плиз! Как это сделать в KIS 7??? Заходишь в кис, в меню "защита" выбираешь сетевой экран и в правой части, в окне, жмешь на "настроить". В открывшемся окне в "системе фильтрации" жми кнопку "настройка". Далее, выбираешь вкладку "Правила для пакетов" и справа жми кнопку "Добавить". Ставь галку в строке "Локальный порт" и в нижней половине, жмя на синенькие (типа гиперссылки ) надписи, выбирай, что нужно сделать  . Например, так: |
|
|
|
| aquarius_777 |
15.9.2008, 4:04
Сообщение
#27
|
|
Молчун  Группа: Пользователи Сообщений: 2 Регистрация: 15.9.2008 Пользователь №: 49 466 Репутация: 0 |
Народ, помогите, плз! Заколебал этот Хелькерн на порт 1434. Почему-то не могу закрыть этот порт в КИС 7. В настройках сетевого экрана создаю запрещающее правило. Правило фиксируется. Но только закрываю окно настроек, правило пропадает: при последующем открытии окна настроек его тупо нет.
 Что это, кто знает?  |
|
|
|
| Spartak13 |
16.9.2008, 10:44
Сообщение
#28
|
 Болтун Группа: Sibnet-club Сообщений: 940 Регистрация: 12.4.2008 Из: Омск Пользователь №: 29 149 Репутация: 81 |
Да вы что такие странные!!!!! я же по русски написал надо установить заплатки (патчи) для Windows и тогда брешь будет частично убрана в винде (от Lovesan, Autorooter и другой параши) и никакие файрволы вам полностью не помогут пока обновы не установите!!! Устанавливаете их и больше некоторых атак никогда не будет!
Вот пришлось вам даже заплатки искать раз сами не можете: здесь вот http://mig-telecom.ru/patch/ есть: Официальные патчи Microsoft для устранения бреши в безопасности систем Windows NT, 2000, XP, 2003 от вирусов Lovesan и Autorooter. Helkern опасен только серверам под управлением системы баз данных Microsoft SQL Server 2000!!! А остальным (домашним) пользователям от него никакого вреда нету! если надоели атаки делаем так: блокируем входящий траффик 1434 UDP порта (SQL Server Resolution Service Port). Это можно сделать с помощью файрвола, просто когда правило создаёте, не забывайте его сохранять и будем вам спокойствие в интернете!!! Сам знаю тоже когда сталкивался с такими разными атаками, а потом всё установил и подмутил и атаки исчезли..... Сообщение отредактировал Spartak13 - 16.9.2008, 22:24 |
|
|
|
| Tabon |
16.9.2008, 20:47
Сообщение
#29
|
|
Ы Группа: Sibnet-club Сообщений: 918 Регистрация: 15.7.2007 Из: Новокузнецк Пользователь №: 2 088 |
Цитата(Spartak13 @ 16.9.2008, 9:44) Да вы что такие странные!!!!! я же по русски написал надо установить заплатки (патчи) для Windows и тогда брешь будет частично убрана в винде (от Lovesan, Autorooter, Helkern и другой параши) и никакие файрволы вам полностью не помогут пока обновы не установите!!! Устанавливаете их и больше некоторых атак никогда не будет! новое слово в безопасности, одеваешь на себя бронежилет и по тебе перестают стрелять ЗЫ заплатки на количество атак никак не влияют, они влияют только на результат атаки (типа удалась/не удалась) Цитата(Spartak13 @ 16.9.2008, 9:44) Helkern опасен только серверам под управлением системы баз данных Microsoft SQL Server 2000!!! А остальным (домашним) пользователям от него никакого вреда нету! неужели ты эту тему с начала прочитал? там вроде во втором посте INVENT объяснял, что это за атака и на что она нацелена |
|
|
|
| Spartak13 |
16.9.2008, 22:23
Сообщение
#30
|
|
Болтун Группа: Sibnet-club Сообщений: 940 Регистрация: 12.4.2008 Из: Омск Пользователь №: 29 149 Репутация: 81 |
Цитата(Tabon @ 16.9.2008, 20:47) новое слово в безопасности, одеваешь на себя бронежилет и по тебе перестают стрелять ЗЫ заплатки на количество атак никак не влияют, они влияют только на результат атаки (типа удалась/не удалась) Ты откуда такой умный упал??? Там русским языком написано частично помогут- это значит что защитят не от всех червей и фраза некоторые атаки не относиться к количеству а относится к типам атак (читать надо лучше просто). Цитата(Tabon @ 16.9.2008, 20:47) неужели ты эту тему с начала прочитал? там вроде во втором посте INVENT объяснял, что это за атака и на что она нацелена Ну ка сам иди погляди, что он там написал фигню какую то, надо досканально расписывать чё прикрывать именно файрволом и какие обновления ставить, а не так в двух словах чтобы по 500 раз потом народ переспрашивал!!!! // mephisto Хамить не надо, ваша полная некомпетентность в вопросах IT-безопасности от этого еще сильнее бросается в глаза. Сообщение отредактировал mephisto - 17.9.2008, 15:18 |
|
|
|
| kaa |
20.9.2008, 18:29
Сообщение
#31
|
 melomaniaq  Группа: I love music Сообщений: 5 581 Регистрация: 28.6.2007 Из: Черногорск Пользователь №: 1 046 |
Цитата новое слово в безопасности, одеваешь на себя бронежилет и по тебе перестают стрелять ну вообщето можно просто убежать (тол бишь выдернуть кабель из сетевухи) и никто по вам стрелять не будет |
|
|
|
| 4ерт |
9.10.2008, 23:07
Сообщение
#32
|
 Братуха Группа: Пользователи Сообщений: 5 014 Регистрация: 19.1.2008 Из: Алтай Пользователь №: 17 458 Репутация: 312 |
За четыре минуты на форум-сибнет вот что получил... И как это? Если найдут уязвимость - полон двор нечисти. Вольготно кому здесь... (((
09 октября 2008г. 22:55:17 90.189.192.12 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36869) 22:42:00 195.14.2.23 Атакующий разблокирован 22:30:30 217.197.114.31 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (24844) 22:30:25 202.98.15.232 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (25863) 22:28:56 61.164.126.97 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173) 22:27:13 195.14.2.23 Подсеть заблокирована на 50 мин. SCAN (21512, 19976, 20488) 22:26:38 89.108.124.248 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36620) 22:26:37 92.243.66.58 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (35596) 22:26:31 195.14.2.23 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (21512) Сообщение отредактировал 4ерт - 10.10.2008, 8:07 |
|
|
|
| ktak |
10.10.2008, 11:44
Сообщение
#33
|
 Технический специалист Группа: VIP Сообщений: 1 354 Регистрация: 18.12.2006 Из: Новосибирск Пользователь №: 18 Репутация: 124 |
Цитата(4ерт @ 9.10.2008, 23:07) За четыре минуты на форум-сибнет вот что получил... Не понял, какая может быть связь между посещением форума и атаками? |
|
|
|
| 4ерт |
10.10.2008, 17:11
Сообщение
#34
|
|
Братуха Группа: Пользователи Сообщений: 5 014 Регистрация: 19.1.2008 Из: Алтай Пользователь №: 17 458 Репутация: 312 |
Цитата(Ktak @ 10.10.2008, 11:44) Не понял, какая может быть связь между посещением форума и атаками? В это время был на city, форум-сибнет, в играх на форуме - можно проверить. На city - ab.ru - никогда подобного нет! Да и вообще - похоже на подмену IP? Это только в глобе наблюдал. Значит сканировавший был на сибнет с внешки? Но вам виднее! И сколько я уже отписывался по теме?! Вот из прошлой темы - в техподдержке сказали, что здорово я достал кого-то, но с DNS-сервера атаки прекратились. 22.08.2008 18:26:04 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (29840, 56644, 15024, 39791, 7646, 18693, 14063, 8404, 39798, 57093) 22.08.2008 16:58:10 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (7985, 15703, 3754, 30548, 9065, 23000, 28544, 64775) 22.08.2008 19:00:04 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (40684, 54502, 11212, 44067, 42886, 55877) Сообщение отредактировал 4ерт - 10.10.2008, 22:21 |
|
|
|
| Trionix |
10.10.2008, 18:09
Сообщение
#35
|
 ۶٩۶٩۶٩۶٩۶٩۶٩۶٩۶٩۶٩۶٩  Группа: Железячник Сообщений: 866 Регистрация: 16.2.2008 Из: Барнаул Пользователь №: 20 864 |
Цитата(4ерт @ 10.10.2008, 16:11) В это время был на city, форум-сибнет, в играх на форуме - можно проверить. На city - ab.ru - никогда подобного нет! Да и вообще - похоже на подмену IP? Это только в глобе наблюдал. Значит сканировавший был на сибнет с внешки? В это время "светился" - menthar. Но вам виднее! И сколько я уже отписывался по теме?! Вот из прошлой темы - в техподдержке сказали, что здорово я достал кого-то, но с DNS-сервера атаки прекратились. a-squared фиксирует поочередно десятки, затем сотни портов, где ищут уязвимости. У меня за несколько часов - тысячи портов перебираютя. Во время перебора портов - интернет, браузер здорово тормозят. А это - атаки! 22.08.2008 18:26:04 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (29840, 56644, 15024, 39791, 7646, 18693, 14063, 8404, 39798, 57093) 22.08.2008 16:58:10 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (7985, 15703, 3754, 30548, 9065, 23000, 28544, 64775) 22.08.2008 19:00:04 212.94.96.70 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (40684, 54502, 11212, 44067, 42886, 55877) И может это не только моя проблема? У меня сегодня 212.94.96.124 пытался просканировать порты  ! Это возмутительно.... |
|
|
|
| 4ерт |
10.10.2008, 20:01
Сообщение
#36
|
|
Братуха Группа: Пользователи Сообщений: 5 014 Регистрация: 19.1.2008 Из: Алтай Пользователь №: 17 458 Репутация: 312 |
Цитата(Trionix @ 10.10.2008, 18:09) У меня сегодня 212.94.96.124 пытался просканировать порты ! Это возмутительно.... Ты через него доступ в инет получаешь. Одиночное сканирование с DNS-сервера - норма.) Но не атака по десятку портов. Избыточное цитирование - Trionix. Да и речь сейчас не об этом. За четыре минуты на city, форум-сибнет, игры на форуме вот что получил... И что это? Вольготно кому-то здесь... ((( 09 октября 2008г. 22:55:17 90.189.192.12 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36869) 22:42:00 195.14.2.23 Атакующий разблокирован 22:30:30 217.197.114.31 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (24844) 22:30:25 202.98.15.232 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (25863) 22:28:56 61.164.126.97 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173) 22:27:13 195.14.2.23 Подсеть заблокирована на 50 мин. SCAN (21512, 19976, 20488) 22:26:38 89.108.124.248 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36620) 22:26:37 92.243.66.58 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (35596) 22:26:31 195.14.2.23 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (21512) Сообщение отредактировал 4ерт - 10.10.2008, 22:21 |
|
|
|
| ktak |
11.10.2008, 0:34
Сообщение
#37
|
|
Технический специалист Группа: VIP Сообщений: 1 354 Регистрация: 18.12.2006 Из: Новосибирск Пользователь №: 18 Репутация: 124 |
Цитата(Trionix @ 10.10.2008, 18:09) У меня сегодня 212.94.96.124 пытался просканировать порты ! Это возмутительно....Судя по перечисленными IP, это обращения к вам с marr.ab.ru. Не знаю, как там ваш фаервол устроен, но подозреваю, что когда вы идёте на ab.ru сами, ваш фаервол никак не реагирует на обращения с ab.ru, т.к. видит, что вы первый открыли соединение и разрешает обратные с этого адреса. Когда вы не пользуетесь ресурсом, фаервол начинает замечать обращения, которые вы не могли инициировать. |
|
|
|
| ktak |
11.10.2008, 0:53
Сообщение
#38
|
|
Технический специалист Группа: VIP Сообщений: 1 354 Регистрация: 18.12.2006 Из: Новосибирск Пользователь №: 18 Репутация: 124 |
Цитата(4ерт @ 10.10.2008, 20:01) Ты через него доступ в инет получаешь. Одиночное сканирование с DNS-сервера - норма.) Но не атака по десятку портов. Избыточное цитирование - Trionix. Да и речь сейчас не об этом. За четыре минуты на city, форум-сибнет, игры на форуме вот что получил... И что это? Вольготно кому-то здесь... ((( 09 октября 2008г. 22:55:17 90.189.192.12 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36869) 22:42:00 195.14.2.23 Атакующий разблокирован 22:30:30 217.197.114.31 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (24844) 22:30:25 202.98.15.232 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (25863) 22:28:56 61.164.126.97 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173) 22:27:13 195.14.2.23 Подсеть заблокирована на 50 мин. SCAN (21512, 19976, 20488) 22:26:38 89.108.124.248 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (36620) 22:26:37 92.243.66.58 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (35596) 22:26:31 195.14.2.23 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (21512) Ну вы блин, даёте 90.189.192.12 - это адрес форума. Форум вам чего-то передаёт, а это кривое поделие обнаружило "атаку". Возможно, ваш браузер сбросил соединение, а форум после этого начал передавать ответ. Попробуйте разобраться, что такое SINGLE_SCAN_PORT. Подозреваю, что это одиночное обращение к порту. В таком случае, отключите эти уведомления, это функция для параноиков, т.к. одиночным обращением никакую атаку не начнёшь. А включенный по дефолту у всех виндовозников MDNS приводит к тому, что тачки под виндой постоянно обмениваются такими single-тычками. Можете сказать на какой порт к вам идут эти SINGLE_SCAN_PORT? По адресу 195.14.2.23 - это какой-то московский хостер. Посмотрите в whois информацию про этот IP. Можете им даже по e-mail сообщить об атаке с их адреса. |
|
|
|
| 4ерт |
12.10.2008, 8:43
Сообщение
#39
|
|
Братуха Группа: Пользователи Сообщений: 5 014 Регистрация: 19.1.2008 Из: Алтай Пользователь №: 17 458 Репутация: 312 |
Цитата(Ktak @ 11.10.2008, 0:53) Ну вы блин, даёте 90.189.192.12 - это адрес форума. Форум вам чего-то передаёт, а это кривое поделие обнаружило "атаку". Возможно, ваш браузер сбросил соединение, а форум после этого начал передавать ответ. Попробуйте разобраться, что такое SINGLE_SCAN_PORT. Подозреваю, что это одиночное обращение к порту. В таком случае, отключите эти уведомления, это функция для параноиков, т.к. одиночным обращением никакую атаку не начнёшь. А включенный по дефолту у всех виндовозников MDNS приводит к тому, что тачки под виндой постоянно обмениваются такими single-тычками. Можете сказать на какой порт к вам идут эти SINGLE_SCAN_PORT? По адресу 195.14.2.23 - это какой-то московский хостер. Посмотрите в whois информацию про этот IP. Можете им даже по e-mail сообщить об атаке с их адреса. По форуму я и не выделял скан. А остальные IP как на сибнет попали? Это точно подмена IP, кому я в Москве нужен? Порты отмечены в конце каждого сканирования. Начало - снизу! Trionix постебался, он мою прошлую темку поднял. Пошумишь здесь, тише становится, потом снова. После нащупывания уязвимостей идут атаки, и всякую заразу пытаются внедрить. Вот в чем проблема. А хожу практически только на сибнет. Ktak - будет надобность, напишу в личку.) |
|
|
|
| Ninzik |
12.10.2008, 16:03
Сообщение
#40
|
|
Молчун Группа: Пользователи Сообщений: 44 Регистрация: 12.8.2007 Пользователь №: 3 697 Репутация: 0 |
Подскажите, что это значит ?
 » Спойлер (нажмите, чтобы прочесть) « Сообщение отредактировал Ninzik - 12.10.2008, 16:04 |
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
| Текстовая версия | Сейчас: 15.7.2025, 11:45 |
