16 июня 2025, 05:29:51

Новости:

Чтобы загрузить изображение нужно нажать кнопку "ПРЕДВАРИТЕЛЬНЫЙ ПРОСМОТР".

avatar_TERMIN2783

Атака неизвестным

Автор TERMIN2783, 19 ноября 2006, 18:34:28

0 Пользователей и 1 гость просматривают эту тему.

Вниз Страницы1 2

TERMIN2783

19 ноября 2006, 18:34:28
Короче у меня стои файвол: Outpost Firewall Pro
Вида XP
ирнет: наземка моб.тел+ спутниковая работаящая через Globax
анти вирус BitDefender
Короче проблемка такова. У меня стали выскакивать окна с предупреждением о том что была отака и она приостановлена. файвол написал что злодей пытался сканировать мои активные порты. в журнале написано так:
NETBIOS   |||  ВХОД.БЛОК.|||TCP |||10.0.4.41|||2117||| АДРЕС БЛОКИРОВАН ТАК КАК ОБНАРУЖЕНА ОТАКА.

Я толком сначало ничего непонял. Но затем Файвол заорал что сканирование повторилось и было отражено.
я уже начал интересоваться этим.
Прошло минуты 2 как произошла еще одна атака но адресс сменился на 10.0.4.70 и порт 2109
Я просмотрел в аське адреса абонентов но таких там небыло.
Тут снова отака, адрес и порт были старыми.
затем прошло еще минут 5. СНОВА АТАКА Адрес уже новый 10.0.16.69 и порт уже 2108
Всебы ничего, но файвол резко заорал через 5 мин. сказал что произошло удачное сканирование портов.

Я начал смотреть журнал. Но там ничего НеТу. самое интересное что у меня была удалена вся почта с почтовика. Я эту пачку понял и быстро сменял везде все пароли.
В итоге я хотел бы узнать что это было и КТО это ДЕЛАЛ.
я надеюсь на вас. Заранее благодарен.
Что есть, того неотнять.
Придерживаюсь поговорке:
Сделай человеку добро, и оно тебе вернется.:)

bestya

19 ноября 2006, 19:01:00 #1
TERMIN2783@Sunday, 19 November 2006, 21:34
Цитироватьирнет: наземка моб.тел+ спутниковая работаящая через Globax

А локалки случаем нет?
Поскольку адреса вида 10.х.х.х, зарезервированны для локальных сетей. Возможно через Globax и присваиваются такие внутренние адреса, но вряд ли они допустят сканирования среди собственных пользователей. Хотя с тарелками не работал, не могу точно утверждать.

И еще, важнее смтотреть не удаленный порт, а локальный с которым пробуют установить соединение.
ЦитироватьЯ начал смотреть журнал. Но там ничего НеТу

А какой раздел журнала? Разрешенных или запрещенных? И в каком режиме стоит аутпост?

Duke

20 ноября 2006, 03:23:08 #2
Цитироватьсамое интересное что у меня была удалена вся почта с почтовика.
С какого почтовика ? С веб почты или с почтовой программы установленной локально ?
Смотри в аутпосте, какие у тебя порты открыты. Смотри автозагрузку на предмет запуска левых прог.

Salagin

20 ноября 2006, 06:31:27 #3
Когда у меня Оутплост стоял, сообщения об атаках иногда в минуту по 10 штук сыпались. Но, имхо, Оутпост любые не разрешенные пакеты на мой адрес воспринимает как атаку. Мало ли в сети снифферов, да и просто может броадкасты кто-то генерил. Потом поставил шлюз под Линуксом, все сообщения направил в /dev/null и сейчас все тихо и спокойно.
Если к власти не придут красно-коричневые, потому что им помешают зеленые, то власть захватят голубые.

Летят N самолетов, нет N мало -- К и оба реактивные...

saf84

20 ноября 2006, 11:08:25 #4
TERMIN2783
А до этого ничего подобного не было?
Дом там, куда лежит сердце...
А если никуда оно не лежит?
А может просто в доме чего-то или кого-то не хватает?

TERMIN2783

20 ноября 2006, 16:33:21 #5
ЦитироватьА до этого ничего подобного не было?

нет. Я с этим первый раз встретился
Добавлено:
ЦитироватьС какого почтовика ? С веб почты или с почтовой программы установленной локально ?

Удалились все письма и с сервера и с проги установленую на компе(the Bet).Только и непонял всвязи с чем это произошло.
ЦитироватьА локалки случаем нет?

Дело в том что спутниковая работает на принципе локалки(DVB соеденение и Adapter Замыкания на себя). а сетивух у меня нет.
Что есть, того неотнять.
Придерживаюсь поговорке:
Сделай человеку добро, и оно тебе вернется.:)

TERMIN2783

24 ноября 2006, 16:45:26 #6
Блин столько ответов с помощью что просто неуспеваю читать.


Ну помогите у меня атак стало еще больше. Плюз Оут Пост сказал что ко мне проник Спайвере.

Заранее Благодарен ВСЕМ
Что есть, того неотнять.
Придерживаюсь поговорке:
Сделай человеку добро, и оно тебе вернется.:)

Duke

25 ноября 2006, 04:08:51 #7
TERMIN2783
Лог с атаками сюда кидай.

TERMIN2783

26 ноября 2006, 17:06:14 #8
Код Выделить
24.11.2006 23:54:08 Сканирование портов 10.0.8.166 TCP (445)
24.11.2006 23:47:10 Сканирование портов 10.0.2.43 TCP (445)
24.11.2006 21:03:20 Сканирование портов 10.0.7.245 TCP (445)
24.11.2006 20:44:22 Сканирование портов 10.0.10.221 TCP (445)
24.11.2006 20:39:10 Сканирование портов 10.0.10.137 TCP (445)
24.11.2006 20:31:24 Сканирование портов 10.0.17.230 TCP (445)
24.11.2006 19:50:31 Сканирование портов 10.0.4.232 TCP (445)
19.11.2006 23:54:50 Сканирование портов 10.0.12.177 TCP (445)
19.11.2006 23:11:26 Сканирование портов 10.0.16.69 TCP (445)
19.11.2006 23:00:19 Сканирование портов 10.0.4.70 TCP (445)
19.11.2006 22:44:55 Сканирование портов 10.0.4.41 TCP (445)
19.11.2006 22:39:42 Сканирование портов 10.0.12.26 TCP (445)  
Что есть, того неотнять.
Придерживаюсь поговорке:
Сделай человеку добро, и оно тебе вернется.:)

Duke

27 ноября 2006, 02:47:52 #9
TERMIN2783
Да не очень похоже это на сканирование портов. Еслиб сканили, то IP был бы один.
порт 445 TCP открывает служба Microsoft_ds служит для обобщения файлов и принтеров в локальной сети. Вот видимо и идут запросы.
Кстати есть баг,использует как раз 445 порт.
Обязательно пропатч винду. Закрой в файрволе 445 порт. Отключи NetBios через TCP/IP на данном соединении.
Вверх Страницы1 2


По всем вопросам пишите по адресу gratispp@mail.ru