IP támadás

Microsoft Windows

Az utóbbi időben a számítógépemet többször megpróbálták feltörni külföldi támadók. Onnan jöttem rá, hogy a router narancssárga lede akkor is villogot (letöltést jelzett) amikor a számítógépen minden letöltés meg volt szakítva. Ezután feltelepítettem egy tűzfal programot (Zone Alarm) és szinte másodpercenként jönnek be a figyelmeztetések, különböző külföldi IP címek támadásáról, de akad köztük hazai is ráadásul azok DNS címe mind prtelecom.hu végződésű volt. Régebben soha nem volt ilyen problémám. Több oldalon is ajánlották, hogy kérjem a szolgáltatómat, hogy újítság meg az IP címemet. Nem tudom mit tegyek.

Ugyan ezzel a problémával még egy probléma jött: a microsoft.com-os oldalak nem jönnek be. Újratelepítettem a gépemet többször egymás után, de az eredmény ugyan az. Így a közkedvelt csavegőprogramot sem tudom használlni, viszont a legrégebbi, xp-be épített verzióját igen. :O

Szóval nagyon furcsa ez az egész . . . Kérlek segítsetek!

  • 3833 megtekintés

( _Petya_ v | 2009. 04. 11., szo – 20:25 )

"a microsoft.com-os oldalak nem jönnek be."

Conflicker?

( VaZso v | 2009. 04. 11., szo – 20:34 )

Érdekes egy dolog.

Egyébként többek között ezért nem érdemes frissen telepített XP-t közvetlenül netre kötni.
Ez egy létező probléma, de már nagyon régóta jelen van, legfeljebb a mértéke változik.

Folyamatosan próbálkoznak különféle gépek, legyen a cél akár Windowsos hálózati sebezhetőség felderításe, akár ssh próbálkozás és effélék...

Nem kizárt, hogy akár a Conflickernek is köze van a próbálkozások számához...

Microsoft.com - ennek komolyan ki kéne deríteni az okát.
pl. IP alapján megy-e, érdeklődni a szolgáltatónál vagy megnézni egy Live rendszerrel, hogy elérhető-e, esetleg azonos szolgáltatónál lévő ismerőst megkérdezni.

Egyfelől a Conflicker szokása a blokkolósdi, másfelől a szolgáltatónál is lehet hiba (Conflicker? :D) és jó lenne, ha ennek ellenére frissíthető lenne a rendszer a neten keresztül...

Azt még hozzátenném, hogy ez a jelenség már több hete tart. Kérdezgettem néhány ismerősömet akik ugyan ennél a szolgáltatónál vannak, de nekik nincs ilyen problémájuk, igaz másik városban laknak. Valahol olvastam, hogy az IP cím egy feltört gépről "elcserélődik" hozzám akkor az én gépemet támadják tovább. Ez igaz?

És feltettem még 2 képet is, hogy milyen durván néz ki ez az egész . . .
Az elmúlt 1 óra "termése" :


A képet a Képfeltöltés.hu tárolja. http://www.kepfeltoltes.hu


A képet a Képfeltöltés.hu tárolja. http://www.kepfeltoltes.hu

Remélem ezek miatt nem leszek még jobban feltörve.

Fordítva a lovon... Tőled akar kimenni valami desznyóság, a randomban generált nevek alapján akár Conflicker is lehet.
Terápia: Nulladik lépésként lehúzni a gépedet a hálózatról. Utána másik gépen letölteni a frissítéseket, vírnyakeresőt, spybot s&d-t, aztán pl. CD-re karcolva felrakni, elindítani, és megnézni, javul-e a helyzet. Ez a nehezebb és bizonytalanabb módszer, az egyszerűbbet úgy hívják, hogy gyalu.

( eax | 2009. 04. 11., szo – 21:27 )

"Az utóbbi időben a számítógépemet többször megpróbálták feltörni külföldi támadók."

Nem kell tulizgulni, tobb mint valoszinu, hogy egy mezei botnetrol van szo.

"is ráadásul azok DNS címe mind prtelecom.hu végződésű volt. Régebben soha nem volt ilyen problémám. Több oldalon is ajánlották, hogy kérjem a szolgáltatómat, hogy újítság meg az IP címemet."

Ez hulyeseg.

"Újratelepítettem a gépemet többször egymás után, de az eredmény ugyan az."

Akkor most probald meg ugy is, hogy mielott netre dugnad, teszel fel egy tuzfalat (vagy bedugod NAT moge), es addig semmit nem csinalsz vele, amig az osszes security update fel nem ment.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Akkor ez már félig megnyugtatott. Köszönöm a gyors segítségeket, megpróbálom úgy is feltenni, bár az a gond, hogy most délután amikor újratettem a laptopomat is (mert 2 van: egy pc és egy ibm noti) akkor vele is ugyan ez esett meg, pedig ott usb-n keresztül kötöttem rá a routert, igaz itt is tűzfal feltelepítése előtt.

A 2. képnél viszont incoming van, és ott a tűzfalra vonatkozik. Az 1. képen pedig "programs" van tehát gondolom ott a programok szűrése folyik, és az svchost.exe hülyül, ha vírus akkor még örülök is :) Viszont az 2. képnél ez az incoming ez már nem igazán lehet az. És sok nemzetiségű DNS címeket látok . . Remélem nem értetlenkedek sokat, de ennek a végére akarok járni.

Töltsd le a Process Explorer-t és nézd meg vele, hogy mi fut abban az svchost-ban. A tulajdonságoknál megmutatja.

Másik: idióta XP azonnal elkapja a vírust, ha nyitsz véletlen egy IE6-ot.

SP3-at rakj először, aztán CD-ről IE7-et, Firefoxot és többé ne használd az IE7-et. Aztán Avira Antivir, pipáld be a biztonságos startot, aztán ZoneAlarm.

Ezek után dugod be a hálókábelt.

Mindegyiket frissíted és elkezded a Windows Updat-et.

IE7-azért kell, hogy magja se maradjon ez IE6-nak, amivel az összes régi vírust megkapod, egyetlen weboldal megnyitása nélkül.

OMG.

Nincsen "visszaszamlalos virus". Olyan van, ami az RPC service-t tamadja, de mellenyul, es ezzel taccsra teszi, amit a windows egy reboot-al rak helyre.

Amire te gondolsz, es ez a mukodes jellemzo volt ra, az a Blaster, aminek viszont a vilagon semmi koze sincs nem csak az IE6-hoz, de a bongeszokhoz egyaltalan - arrol a jozan paraszti esszel is felfoghato apro logikai bukfencrol nem is beszelve, hogy egy alapvetoen kliens-jellegu szoftvert (mint egy webbongeszo) szerinted hogy lehet tamadni addig, amig semmihez nem kapcsolodtal vele.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

"Másik: idióta XP azonnal elkapja a vírust, ha nyitsz véletlen egy IE6-ot.

SP3-at rakj először, aztán CD-ről IE7-et, Firefoxot és többé ne használd az IE7-et. Aztán Avira Antivir, pipáld be a biztonságos startot, aztán ZoneAlarm."

Abszolút. IE6-ot használtam, IE7-et használok nap mint nap, és ebből fakadó problémám még nem volt...

( gbor | 2009. 04. 11., szo – 22:30 )

ha megvaltoztatod a mac cimedet, akkor szerintem uj IP cimet fogsz kapni, legalabbis ha ezt is akarod - marmint a router wan portjan levo fizikai cimet - ha csak nem szur mac alapjan a szolgaltato.

( speti91 | 2009. 04. 11., szo – 22:45 )

Nagyon köszönöm a segítségeteket! Holnap reggel az lesz az első, hogy újrateszem a gépeket a leírtak szerint. Remélem ez megoldja a hetek óta tartó kínlódásomat.

( BecX v | 2009. 04. 11., szo – 22:52 )

Sokkal valószínűbbnek tartom, hogy a Te gépeden van valami mocsok. Nagyon sok sessiont nyit a géped kifelé irányba. A torrent és egyes vírusok produkálnak ilyen jelenséget. A második képről nekem a (relatíve nagyszámú) magyar hostok számából ítélve én torrentet sejtek a dolog hátterében (nini... az ott egy mikrotorrent ikon a gyorsindítón?). Biztos, hogy nem indul el a torrent kliens minden egyes számítógép indulásakor?
A számítógéped közvetlenül csatlakozik a szolgáltatód végberendezéséhez?
Ha amúgyis több számítógéped van, én elgondolkodnék egy kisebb otthoni router beszerzésén. 6-8 ezer forintért már lehet kapni és a NAT/PAT áldásos tud lenni. Különösen a már korábban említett okok miatt... Amíg a Win nincs frissítve, tódozva-fótozva, életveszély 'pucéran' kitenni a netre. A router azért is segítene, mert nem lenne szükség szoftveres tűzfalra (win beépített tűzfala bőven elég router mögött).

Igen közvetlenül rá csatlakozik . . . A napokban tényleg megfordult a fejemben, hogy vásárolni kellene egy routert, de ha már van laptop és hordozhatóságról van szó inkább egy wifi router. Úgyhogy amint lesz rá alkalmam beszerzek egyet.

Torrent nem lehet gond, mert még csak feltelepítettem, használni viszont még nem használtam.

ha már újrateszed akkor amíg egy tűzfal és vírusirtó nem kerül fel addig még a gép közelébe sem legyen hálózati kábel. és legjobb lenne ha eredeti xp cd-t használnál nem esetlegesen mindenféle pistike vadiúj 150 virus + összes biztonsági szolgáltatás alapból kikapcsolva editiont

( speti91 | 2009. 04. 12., v – 22:50 )

Délelőtt újratettem az xp-met. Megjegyezném, hogy eredeti az operációs rendszer, méghozzá tanulmányi célból használható fel, anno a tisztaszoftver program keretében lett megvásárolva. Megnéztem a licensz lapot és arra az van írva, hogy érvényessége 2006-ig érvényes. Telepítéskor viszont elfogadja ezt a kódot. Lehetséges lenne, hogy emiatt nem jönnek be a microsoftos weboldalak?

Az újratett XP-ben ugyan úgy jönnek a támadók mint eddig, de most sokkal kisebb számmal. Van még egy "mellékhatása" ennek az egész dolognak, amit az utóbbi időben kezdett el !!mindkét!! gép. Bár lehet, hogy XP-s hiba, de néha olyat csinál a rendszer, hogy az aktuális téma egyik pillanatról a másikra átáll a régi win98as klasszikus windows stílusra, majd néhány másodpercen belül vissza. Kedden beszerzek egy megbízható wifi routert és reménykedek . . .

Nem hiszem, hogy ezért nem jön be Microsoftos oldal... szerintem ilyen esetben max. kiírná, hogy nem foglalkozunk veled vagy "Ön valószínűleg szoftverhamisítás áldozatává vált".

Szerintem MS nem teszi készakarva elérhetetlenné az oldalait.
Még mindig lehet szolgáltató hiba, esetleg valamely fertőzött állományból állandóan visszakúszik a kártékony kód.

ha nem lett volna világos a korábbi hozzászólások tartalma:
nem téged támadnak, hanem a te géped támadja a neten lévő gépeket...

ha mindkét géped fertőzött, és nem húztad le az újratelepítéskor a gépet a helyi hálózatról, akkor ne csodálkozz, hogy visszafertőzte a másik.

egy tiszta, vírusírtóval is rendelkező gépen ments le valami vírusírtót a netről... van sokféle ingyenes is... nehogy valami feltört, trójais szutykot használj... ezek ingyenesek pl: avg free, avira, avast.

Tettél fel vírusírtót egyáltalán?
Számíts arra, hogy például a pendrivejaid is fertőzőek lehetnek, valamint ha bármilyen tört programot használsz, abban is jó eséllyel van meglepetés csomag.

( speti91 | 2009. 04. 13., h – 15:42 )

MEGOLDÓDOTT a probléma. Mégegyszer újratelepítettem internet nélkül, tűzfalat, vírusirtót, de a probléma továbbra is fennállt. Lefuttattam több malware és spyware irtót is, és végül kiderült, hogy egy apró malware az oka ennek a sok kellemetlenségnek ami a pendrive-omon ült meg. Letöröltem és aztóta nincsenek ip támadások, ráadásul újra bejönnek a microsoft-os oldalak.

KÖSZÖNÖM mindenkinek a segítséget!

Viszont most, hogy letörölte a férgeket, az xp nem ismeri fel a pendrive-omat :) Majdcsak rájövök, hogy mitől, de újra nem teszem mégegyszer :)

Ja, hat azzal en is megszoptam...XY-nak vittem par MP3-at az PD-men (amugy mindenfele okos proggi van rajta, ha kellene, de most MP3 is volt). Hazajottem, uj gep, XP telepit, netre nem rakjuk, PD-rol felrakjuk a szukseges dolgokat...es virus/trojai van rajta :( Legalabbis erre vall, hoyg NOD nem indul telepites utan, programok lehalnak, stb.

Hat persze, hoyg en is a PD-n szereztem be aznap reggel az autorun cuccost :(

Azota barki gepebe bedugom a PD-t, legkozelebbi alkalommal, ha sajat gepemhez kerulok, atvizsgalom...