Sziasztok!
Eddig nem nagyon foglalkoztam a tűzfallal, úgy voltam vele, hogy biztosan jól elvan egyedül is az iptables (Ubuntu 6.06) :)
Most viszont feltettem a Firestartert, hátha hasznos.
Pár órája van fent, és nem igazán értem, hogy hogyan kellene értelmeznem a statisztikáit.
Események:
Bejövő:
Összesen: 0; Komoly: :468
Kimenő
Összesen: 0; Komoly: :0
Jelent ez valamit számomra? Ez most azt jelenti, hogy egy nap alatt 468x akartak megtámadni? De a tűzfal kidobta mindet?
Az "Események" fülön megnéztem, hogy mik voltak ezek, és azt találtam, hogy a legtöbb ilyen esemény a "DCOM-scm"-től jött, de erről információt nem találtam. Sokszor látom még a "Microsoft-ds"-t és "Samba(SMB)"-t is.
- 1976 megtekintés
Hozzászólások
MS-DS és SMB-porton keresztül akár portscan is lehet, de ezeket bizonyos windowsos malware-k okozzák (ha egyáltalán azok).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
"MS-DS és SMB-porton keresztül akár portscan is lehet," :-) Ez most pontosan mit akart jelenteni?
Zsiraf
- A hozzászóláshoz be kell jelentkezni
Vannak ilyen malware cuccok, amik a hálózatban portscanelgetnek (139, 445, 5800 TCP portokon).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
Nomegegyszer:
"MS-DS és SMB-porton keresztül akár portscan is lehet,"
"Vannak ilyen malware cuccok, amik a hálózatban portscanelgetnek (139, 445, 5800 TCP portokon). :-)
Most oszinten, hogy lehet, porton keresztul portscannelni? Vagy a halozatban?
Amugy ha nagyon szigoruak vagunk, akkor lehet portscannek nevezni ezt is (felteve, hogy ugyanarrol a host-rol jott az osszes probalkozas), de azert portscannek akkor szoktuk nevezni, ha kisse tobb portot megprobal a "malware cucc". Amire te gondoltal, az valoszinuleg a portsweep azaz celzottan par meghatarozott nyitott portot keres rengeteg host-on, s nem nez at sok portot egy host-on.
Zsiraf
p.s.: wiki://Portscan
- A hozzászóláshoz be kell jelentkezni
I stand corrected, pontatlan voltam.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
meg néhány terjedni próbáló worm.
-----
Si vis pacem, para bellum...
- A hozzászóláshoz be kell jelentkezni
Ha a 135-138 portokon probalkozik valalki az lehet akar artalmatlan weboldal is, megnezi windozet hasznalsz e vagy sem... csak meg kell nezni hogy nyitva van e a port (windozban nem lehet lecsukni)
A Samba viszont erdekes (bar nem emlekszem pontosan de az NMB is valamelyik ien 13* porton okoskodik UDP protokolon)
Egyszer megjartam en is, tele volt a log egy hazai szolgaltatohoz tartozo IP cimrol jott telnet kapcsolodasi probalkozasokkal. Panaszt tettem a fent emleitett szolgaltatonal akik kozoltek velem hogy az lehetetlen hisz az a gep egy homero :)).
--
Nem tudom miert jottem, de azt igen hogy miert megyek el.
- A hozzászóláshoz be kell jelentkezni
>> Ha a 135-138 portokon probalkozik valalki az lehet akar artalmatlan weboldal is, megnezi windozet hasznalsz e vagy sem... csak meg kell nezni hogy nyitva van e a port (windozban nem lehet lecsukni)
:\
- A hozzászóláshoz be kell jelentkezni
Igen, ez engem is hanyattdobott.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
A DCOM-smc a 135-ön,
a Samba(SMB) a 139-en próbálkozik.
A Microsoft-ds viszont már nem csak a neve miatt gyanús: a 445-ös TCP-porton matat.
Ismeretlenek és a VNC az 1026-42523-ig vannak, és valaki Radmin-port néven szintén meglep... a 4899-en.
Ezekkel az infókkal remélem, konkrétabban tudunk beszélni a dologról.
Szerk: Közben már 507-nél tartunk, hihetetlen gyorsan megy felfelé, és mind a "komoly" jelző alatt.
- A hozzászóláshoz be kell jelentkezni
1) Ne futtass VNC-szervert standard porton.
2) Még ha át is megy a tűzfalon, akkor sincs gond, mert ezek windows-specifikusak (van valami video monitor, age o empires meg fifa 2007).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
1. Ööö... Miért fut a VNC-szerver, mikor még sosem használtam? Hol lehet átteni nem standard portra?
2. Hát, azt hiszem, azoktól nem kell félnem :) De akkor se mászkáljanak a gépemen!
- A hozzászóláshoz be kell jelentkezni
Ember, ha nem használsz VNC-szervert, akkor ez csak figyelmeztetés. Attól, hogy nem fut, attól még azt a portodat lehet scanelni. ;-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
Uhh, igazad van, bastya_elvtars, hülyeséget beszélek :D
- A hozzászóláshoz be kell jelentkezni
Igen, a 13* portok azok windoze finomsagok, nem kell aggodni ertuk (hacsak nem fut SMB/NMB server azon a gepen), a VNC viszont... az kicsit erdekes mert azt (az uj verzioknal mondjuk nem tudom) csak interaktiv mondban lehet futtatni (bar lehet az barmi VNC nek alcazva :)).
--
Nem tudom miert jottem, de azt igen hogy miert megyek el.
- A hozzászóláshoz be kell jelentkezni
Örülök, hogy ilyen sokan foglalkoztok a témával, köszönöm.
Az alap kérdés még mindig az, hogy egy bájos mosollyal vegyem tudomásul, hogy egy ügyetlen hacker próbálkozott, de az én tűzfalam elküldte a... oda; avagy kezdjek el aggódni, látván, hogy időközben megközelítettük a 600-at komoly támadások terén (egészen pontosan 571) ?
- A hozzászóláshoz be kell jelentkezni
Az attól függ mennyi idő alatt szedted össze.
Nekem, ha csak napi 30-40 regisztrált "betörési kísérlet" van, akkor az kifejezetten nyugis nap volt. Sajnos elég sok "szemét" terjeng a neten keresztül és ebből mindenki kap bőven. Ha viszont órás bontásban van sok száz regisztrált kísérleted, akkor érdemes kicsit több figyelmet szentelni az eseményeknek. Ha nem is feltétlenül azért, mert bejutott valaki, de esetleg kiszemelhettek áldozatnak. Az ilyen dolgoknak meg jobb inkább az elején végére járni. Esetleg, ha vénetlenül egy helyről jön, akkor whois segítségével megtudhatod a szolgáltatóját, akinek megjegyezheted ez irányú tapasztalatodat (logokkal alátámasztva).
Zavard össze a világot: mosolyogj hétfőn.
- A hozzászóláshoz be kell jelentkezni
Megjegyzés: persze ez attól is függ milyen gépről van szó. Egy publikus kiszolgálónál kicsit másképp alakulnak például ugyan ezek a dolgok. Ellenben egy végpontnál ez azt hiszem elég reális.
- A hozzászóláshoz be kell jelentkezni
A whois eszembe se jutott, köszi! Hát, hogy arányaiban ez mennyi...
5 óra 20 perc alatt ---> 610 kísérlet.
akkor az kb. 115 kísérlet óránként.
Ez egy desktop gép, az én itthoni PC-m. Netes progik amik jelenleg futottak rajta ez alatt az idő alatt:
-Firefox
-aMSN
-Skype
- A hozzászóláshoz be kell jelentkezni
Ez valoban ennyire meglepo? Nalam most az utobbi 3 oraban 170 probalkozas pattant vissza a routerrol. (gagyi otthoni adsl, semmi szolgaltatas nem fut rajta)
Tenyleg kellene mar egy jo kis "Ismerkedes az Internettel" doksi, hogy a trivialis jelensegek es veszelyforrasok jobban bekeruljenek a koztudatba.
- A hozzászóláshoz be kell jelentkezni
a feszegetett portok nalam:
135 137 139 445 1026 1027 1028 1029 1080 1433 5800 6881 10041 15720 17650 19816 61753
- A hozzászóláshoz be kell jelentkezni
Tényleg kellene egy ilyen doksi. Engem meglepett. Ha van itt valaki, aki tud, írjon ;)
- A hozzászóláshoz be kell jelentkezni
5800 vnc
6881 torrent azureus használta előszeretettel
--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!
- A hozzászóláshoz be kell jelentkezni
1 óra alatt több mint 300 próbálkozás, legtöbb a 135 porton. Én is örülnék egy doksinak.
Vegyem tudomásul, hogy ez van és kész vagy tudok tenni valamit?
Ui: Ha a Firestarter által jelzett állandó 8-9 KB/s bejövő forgalmat is ezek a próbálkozások adják, akkor megoldódik végre ez a gondom is. Remélve, hogy ezt a "bejövő forgalmat" nem letöltésként tudja be és számlázza ki a szolgáltatóm:))
- A hozzászóláshoz be kell jelentkezni
Az mekkora szívás lenne! Nem elég, hogy be akar törni, még fizetheted is.
- A hozzászóláshoz be kell jelentkezni
Pedig valószínű így van. A szolgáltató nem törődik azzal, hogy miféle forgalom ami átmegy a gépedre.
- A hozzászóláshoz be kell jelentkezni