Cepгей

Флуд, DoS, кража аккаунтов, спуфинг

Рекомендованные сообщения

08.09.2007 20:34:34 Intrusion.Win.MSSQL.worm.Helkern 218.71.136.108 UDP 1434

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Avokain, твои срабатывания можно сгруппировать:

1. сканирование с внешних IP:

15:25:03 Сканирование портов 83.24.118.173 TCP (8888, 8081, 8000, 8080, 21)

03.09.2007 11:36:46 Сканирование портов 122.116.112.194 TCP (8000, 8080, 3128, 6588, 1080)

01.09.2007 1:08:52 Сканирование портов 59.117.180.40 TCP (8000, 3128, 6588, 1080, 8080)

сканирования портов 8081, 8000, 8080, 3128, 6588, 1080, 8888 – попытки подключения прокси (я так понимаю, что тебя хотели бы использовать как прокси)

сканирование порта 21 – проверка тебя на возможность подключения к тебе по протоколу FTP (или может ты правда держишь FTP, но доступ открыл только из внутренней сетки)

2. сканирование с внутреннего IP:

03.09.2007 23:14:53 Сканирование портов 10.182.24.92 TCP (445, 139)

03.09.2007 11:55:07 Сканирование портов 10.182.24.92 TCP (445, 139)

01.09.2007 23:29:57 Сканирование портов 10.182.24.92 TCP (445, 139)

20:49:53 Сканирование портов 10.182.24.92 TCP (445, 139)

31.08.2007 21:27:07 Сканирование портов 10.182.24.92 TCP (445, 139)

31.08.2007 20:51:43 Сканирование портов 10.182.24.92 TCP (445, 139)

31.08.2007 20:39:44 Сканирование портов 10.182.24.92 TCP (445, 139)

сканирование портов 445, 139 с внутреннего IP из твоей подсети – очень распространённые порты для подключения или проникновения разных червей

3. целенаправленная атака на твой комп с внутреннего IP:

18:06:04 Атака RPC DCOM 10.182.26.53
по данному пункту (если не единичны подобные случаи) можно писать в саппорт – человека накажут

4. либо атака, либо и правда глюк

22:32:34 Подмена сетевого адаптера шлюза. 255.255.255.255 00-FC-03-F6-5B-F5
5. атака my adress (это твой внешний IP в мемент срабатывания):
01.09.2007 1:10:48 My address attack 89.178.111.224
смотри тут, что написал DJ Mixxx

 

Konandoil, смело пиши письмо в саппорт с описанием проблемы, своими данными (внутренний IP), данными нарушителя и обязательно с логом от программы (не скриншот, а именно лог) и жди ответа - должны решить

мою аналогичную проблему по целенаправленной DOOS-атаке на мой комп с внутреннего IP решили в своё время примерно за 1-2 часа и больше этого дятла не слышно... во всяком случае с этого IP нет даже скана...

 

yelle_, о подобной атаке на предыдущей странице писал VladimirSS

в данном случае это атака с внешнего (некорбиновского) IP

защита от неё для тебя - правильная настройка фаера (а она у тебя, получается, есть) и обновления виндоса

 

P.S. по портам 135-139 и 445 всем советую прочитать, что написал Termit™ на предыдущей странице

Сетевые атаки, флуд, DoS, кража аккаунтов, спуфинг

 

P.P.S. надеюсь, что ничего не напутал :)

Изменено пользователем WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот куча атак

что весьма странно

2 ддос атаки подряд одна из локалки другая из инета

post-63750-1189361155_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

fire64, про большинство твоих атак выше написано

а по DDOS-атакам: они на самом деле одна с внутрикорбиновского адреса, а другая из диапазона, из которого нам выдаются Корбиной внешние IP

если будут повторяться с внутреннего IP (одного и того же) или внешнего корбиновского IP (одного и того же), то смело пиши в саппорт с описанием проблемы и логом - всё решат, дятла накажут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

меня что здесь интересует

каким образом атакующий узнал мой инетовский адрес ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

fire64, да может на самом деле он его и не узнал, а так просто срабатывает твой фаер: если ты в сетке, то, соответственно, атаковать тебя могут только из сетки, а если ты вышел в интернет, то может фаер почему то выдал атаку именно с внешнего IP... ну может он так сработал (фаер)

а узнать твой IP можно разными способами, в т.ч. и законными: например, тот же QIP пишет при передаче файлов с какого IP они идут (причём пишет и внешний, и внутренний адрес)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот куча атак

что весьма странно

2 ддос атаки подряд одна из локалки другая из инета

По поводу Scan.Generic.UDP

Проблема заключается в файерволе. Generic.UDP - это универсальный шлюз, который обеспечивает фильтрацию по сетевым адресам и портам источника и получателя запроса, кроме того он обеспечивает и протоколирование запроса.

Часто встречается при попытке сканировать пиринговые сети

по протоколу e2dk, например при закачке софта или фильмов

в рамках одной сети, например, если ваш адрес 10.13.234.44 ,

то любое обращение к массиву 10.13. ... . ... вызовет данную проблему.

каспер любое сканирование портов считает атакой - параноя.

но в настройках есть возможность отключить вывод сообщения

 

по поводу intrusion.win.lsass.exploit

червяк распространяется, используя уязвимость Microsoft Windows LSASS,

запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос,

в случае если удаленный компьютер отвечает на соединение, то червь, запускает на удаленной машине свой код.

машины, с которых идут атаки просто заражены и владельцы скорее всего про это не знают.

любой фаер от этой беды защищает.

Изменено пользователем VladimirSS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS, а что скажешь про land-атаку?

Уязвимость существует при обработке SYN пакетов. Удаленный пользователь может послать большое количество SYN пакетов на открытый порт системы и вызвать 100% загрузку процессора.

все фаеры с этим справляются

или можно закрыть порты так http://2ip.ru/stat/portsrule.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прошел тест проверки безопасности у меня все отлично

 

Все потенциально опасные порты закрыты. Ваша система в безопасности !!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уязвимость существует при обработке SYN пакетов. Удаленный пользователь может послать большое количество SYN пакетов на открытый порт системы и вызвать 100% загрузку процессора.

все фаеры с этим справляются

 

 

Land-атака. Заблокировано. IP: 192.168.0.255

 

Не первая атака. Даже помоему с этого IP. Меня что ддосят? Или нет? Что-то IP странный. Непойму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4. либо атака, либо и правда глюк

 

Цитата

22:32:34 Подмена сетевого адаптера шлюза. 255.255.255.255 00-FC-03-F6-5B-F5

эт о скорее всего какой та вумник-малолетка решил заснифать вашу сеть, так как она у нас построена на свичтиках, то кроме как заблочить себе инет и сеть он ниче не получил..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Land-атака. Заблокировано. IP: 192.168.0.255

 

Не первая атака. Даже помоему с этого IP. Меня что ддосят? Или нет? Что-то IP странный. Непойму.

может глючить netbios у кого-то в сетке или работать сканер сети или троян

Адрес с 255 на конце и означает, что это широковещательный пакет

бодкаст шторм возникает именно по вине широковещательных UDP пакетов на 192,168,0,255

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот атки на меня мя примерно оаз 10 за день атакует ип 10.57.20.135 бесит аж ппц ето

post-73635-1189520369_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dimis, по поводу DOS (3-й пункт) пиши в саппорт и приложи лог - дятла накажут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

потчонйе сылег куда псиатЬ)

 

3 дос атки уже по мне

dimis, вот тут я написал побробнее

Изменено пользователем WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В течение нескольких часов с этого адреса. Как-то начинаю нервничать ;)

post-123820-1189867505_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.36.203. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 0:19:16

 

Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 202.116.225.16. Протокол/сервис: UDP на локальный порт 1434. Время: 15.09.2007 3:48:59

 

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.41.238. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 17:04:24

 

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.36.203. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 18:04:52

 

Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 82.178.22.22. Протокол/сервис: UDP на локальный порт 1434. Время: 15.09.2007 18:27:03

 

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.50.13. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 19:08:54

 

Scan.Generic.UDP! IP-адрес атакующего: 10.159.36.60. Протокол/сервис: UDP на локальный порт 5505. Время: 15.09.2007 20:42:15

 

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.29.224. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 21:05:48

 

Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 204.16.156.246. Протокол/сервис: UDP на локальный порт 1434. Время: 15.09.2007 21:15:40

 

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.34.80. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 21:27:19

 

Intrusion.Win.LSASS.exploit! IP-адрес атакующего: 10.159.46.86. Протокол/сервис: TCP на локальный порт 445. Время: 15.09.2007 21:32:43

 

:blink::):blink::)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Petruxa, это броадкастовые запросы на все компы для соединения по NetBios

если тебе не нужен NetBios (обмен файлами с людьми, например, через проводник, просмотр расшаренных папок и т.п.), то просто отключи NetBios в настройках подключения соединений по локалке и vpn

 

Last-Hero, несколько раз про такие атаки уже здесь писалось

это скорее всего заражённые червячками компы тупо отправляют запросы по всей сетке

если надоело на такие соединения смотреть, то просто отключи протоколирование данного типа попыток соединений (по порту 445)

а по 1434 порту соединения попытки идут с интернетовских аресов (некорбиновских) - не страшно, см. на предыдущей странице, что VladimirSS написал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Petruxa, это броадкастовые запросы на все компы для соединения по NetBios

если тебе не нужен NetBios (обмен файлами с людьми, например, через проводник, просмотр расшаренных папок и т.п.), то просто отключи NetBios в настройках подключения соединений по локалке и vpn

 

Last-Hero, несколько раз про такие атаки уже здесь писалось

это скорее всего заражённые червячками компы тупо отправляют запросы по всей сетке

если надоело на такие соединения смотреть, то просто отключи протоколирование данного типа попыток соединений (по порту 445)

а по 1434 порту соединения попытки идут с интернетовских аресов (некорбиновских) - не страшно, см. на предыдущей странице, что VladimirSS написал

 

Спасибо! вроде я отключал NetBios.... :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уууу...Извините,я в этом полный ноль(в этой теме),но вопрос:Об атаках антивирус вроде ничего не сообщал,я по идее никому не нужен,но(!) со счета куда-то делось 20 гб

О_о

Да и скачивать толком ничего не скачиваю...Это может быть как-то связано с атакой на комп или же...Или же что? ^___^

P.S На счету Корбины сейчас задолжность,в интернет не пускает,локалка работает,антивирус продолжает молчать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

neito, упрощённо можно сказать так: антивирус следит за вирусами, а за атаками и соединениями по сети следит фаерволл

20ГБ могли быстро съется и из-за наличия всякой живности (червячков и троянов) у тебя на компе, и из-за неправильно настроенной или ненастроенной совсем маршрутизации (т.е. скачивания с локалки были небесплатными)

на странице статистики посмотри соединения и прикинь, что ты делал в момент наибольшего трафика и делай выводы: вирусы или сам что качал и не заметил большого трафика...

и что скрывается за словом "антивирус" в твоём случае ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

neito, упрощённо можно сказать так: антивирус следит за вирусами, а за атаками и соединениями по сети следит фаерволл

20ГБ могли быстро съется и из-за наличия всякой живности (червячков и троянов) у тебя на компе, и из-за неправильно настроенной или ненастроенной совсем маршрутизации (т.е. скачивания с локалки были небесплатными)

на странице статистики посмотри соединения и прикинь, что ты делал в момент наибольшего трафика и делай выводы: вирусы или сам что качал и не заметил большого трафика...

и что скрывается за словом "антивирус" в твоём случае ?

 

Антивирус...Nod32.

Вчера с 12 до 8 вечера было истрачено на 20$ Странно то,что раньше скачивалось с локальной сети бесплатно,а уж сами маршруты трогать я не в силах...Из интернета от силы на 1гб скачал...Блин,у меня все случаи уникальны...

Фаерволл мне включить не трудно,а настроить по бумажке что-либо решаюсь тогда,когда уже поздно.

Впрочем,если я завтра доложу на счет денег,то...Господи,даже и незнаю,что написать)) Может,посоветуете антивирус или еще чего...Нуб,нуб,нуб...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

neito, для начала NOD32 должен быть либо лицензионный, либо обновляться ты должен с помощью ключиков с оф.сайта

у меня у самого NOD32 стоит

по фаерволлу тут я дал некоторые ссылки по программе Outpost Firewall 4.0 (для Висты вроде он не подходит)

 

а по маршрутам: ничего сложного нет, заново их лучше настрой (сначала сбрось командой route -f, потом перегрузись, а потом введи заново... лучше вручную, а то на скрипт вроде жаловались, что он кривой) - Маршрутизация

Изменено пользователем WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WIGF,спасибо за ответы.В теории вопросов возникнуть не должно,все ясно,но на практике...Если что-я еще обращусь))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... со счета куда-то делось 20 гб ...

может лучше перейти на безлимит и сменить пароль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может лучше перейти на безлимит и сменить пароль?

 

Пароль сменил,а тариф меня вполне устраивает)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас