Форум: "Прочее";
Текущий архив: 2006.02.12;
Скачать: [xml.tar.bz2];
Вниз
Что делать при попытке атаки на мою машину? Найти похожие ветки
← →
Nick Denry © (2006-01-20 22:44) [0]Народ, подскажите пожалуйста, что делать, если на мою машину производится попытка атаки, скорее всего с целью получения прав доступа на чтение/запись.
Точнее это звучит так:
К машине пытаются поключится на порт 445, сервис microsft-ds, и сервис DCOM-scm.
Насколько я понимаю, сервис microsoft-ds - и порт 445 - это достаточно известная уязвимость?
До сих пор файрвол успешно болокирует все попытки.
Атака производится с адресов:
83.149.40.13*
По whois адреса принадлежат вполне понятно кому:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to "83.149.40.0 - 83.149.43.255"
inetnum: 83.149.40.0 - 83.149.43.255
netname: MF-CENTER
mnt-domains: MF-CENTER-MNT
descr: CJSC Mobicom-Center network
country: RU
admin-c: OAY-RIPE
tech-c: OAY-RIPE
status: ASSIGNED PA
mnt-by: MEGAFON-RIPE-MNT
source: RIPE # Filtered
person: Oleg A. Yurlov
address: Oleg A. Yurlov
address: 115035 30, Kadashevskaya emb.
address: Moscow, Russian Federation
phone: +7 926 2002314
remarks: fax-no: +7 095 9801939
fax-no: +7 495 9801939
e-mail: OYurlov@MegaFon.RU
nic-hdl: OAY-RIPE
mnt-by: MEGAFON-RIPE-MNT
remarks: Also known as Kris Werewolf
source: RIPE # Filtered
remarks: modified for Russian phone area changes
% Information related to "83.149.40.0/22AS31208"
route: 83.149.40.0/22
descr: CJSC Mobicom-Center Network.
origin: AS31208
mnt-by: MEGAFON-RIPE-MNT
source: RIPE # Filtered
В сети сижу естественно через megafon-internet-gprs.
← →
Джо © (2006-01-20 22:46) [1]> Народ, подскажите пожалуйста, что делать
Забить... Ногами.
← →
Anatoly Podgoretsky © (2006-01-20 23:12) [2]Надевай броне-трусы
← →
Gero © (2006-01-20 23:13) [3]> Anatoly Podgoretsky © (20.01.06 23:12)
5 баллов :))
← →
Nick Denry © (2006-01-20 23:14) [4]Anatoly Podgoretsky © (20.01.06 23:12) [2]
===
А если серьезно?
Меня это заколебало уже....
← →
Gero © (2006-01-20 23:15) [5]> Nick Denry © (20.01.06 23:14)
Дык в том-то и дело, что серьезно.
← →
Nick Denry © (2006-01-20 23:19) [6]Мне что-то не очень понятно,я может вопрос задал неправильно или еще чего не понимаю?
← →
LordOfRock © (2006-01-20 23:24) [7]Да ладно, стебутся тут над тобой просто.Если файервол ловит, будь спокоен.
← →
Хинт © (2006-01-20 23:27) [8]WinXP SP2 защищает =)
← →
Nick Denry © (2006-01-20 23:32) [9]2LordOfRock © (20.01.06 23:24) [7]
Да не, то что стебутся, это я понял.
Просто, т.к. комп содержит достаточон ценные данные (рабочий етестсвенно), то обтекать буду попозже :)
Мне сейчас необходимо узнать, что это за атака, и как от нее защитится.
А то что файр ловит, просто вопрос такой возникает - сейччас ловит, а если вдруг не словит? Тогда потом начальству не объяснишь, что я мол не предусмотрел и т.д.
Можно ли узнать от кого исходит атака?
Я сомневаюсь, что атака принадлежит серверу мегафон, или они все-таки пропускают пакеты внутри сети?
2Хинт © (20.01.06 23:27) [8]
Ну и пусть защищает :)
← →
unknown © (2006-01-20 23:37) [10]
> Nick Denry © (20.01.06 23:32) [9]
> Мне сейчас необходимо узнать, что это за атака, и как от
> нее защитится.
> Можно ли узнать от кого исходит атака?
Поставь нормальный щит, например BlackIce - все будет путем.
← →
sniknik © (2006-01-20 23:37) [11]отключи DCOM вообще нафиг... он вообще тебе нужен?
← →
Игорь Шевченко © (2006-01-20 23:41) [12]Поставь все обновления на систему. Сними службу. Не выходи в интернет.
← →
MOA © (2006-01-20 23:50) [13]Абсолютно не факт, что это умысел - скорее всего, это вирусы да трояны долбятся - а хозяин машины просто не в курсах. На эти порты (ну и 137, и скулевский 1433) ломятся вот уже второй год - как уязвимости нашли. Таких атак обычно вагон за день - с самых разных адресов. И скорее всего - это просто ничего не подозревающие юзеры или криворукие админы не видят заразы на своей машине.
← →
Nick Denry © (2006-01-20 23:51) [14]Так, сразу хочу сказать, что "щит" у меня нормальный, но система все-таки при любом щите подвержена атакам.
Могу сказать даже больше, у меня нет этих сервисов, но, тем не менее попытка атаки все-равно происходит.
Вопрос собственно, не о конкретной атаке, а о том, что делают обычно при попытке ее проведения?
Собственно вопрос стоит таким образом, стоит-ли выяснить в мегафон откуда все это валит или пассивно оградится собственной защитой.
Меня волнует, что имеет место смена методов атак, т.е. вообщем это не похоже на действи, скажем, вируса, т.е. наверное такое делает человек.
Игорь Шевченко © (20.01.06 23:41) [12]
Обновления последние, службы вообще нет, но сам факт очень напрягает особенно из-за смены методов "попыток".
← →
Nick Denry © (2006-01-20 23:53) [15]Точнее: Что делают фирмы/люди при попытке проведения активной атаки на свою машину?
2MOA © (20.01.06 23:50) [13]
Может конечно и вирусы, хуже если нет
← →
MOA © (2006-01-21 00:01) [16]>Что делают фирмы/люди при попытке проведения активной атаки на свою машину?
Закрываются файрволом, причём до ;).
Кстати, это не такая и активная атака - так на 445 порт ломятся клоны sasser.
← →
Nick Denry © (2006-01-21 00:12) [17]2MOA © (21.01.06 00:01) [16]
До этого был другой вид атаки (другие сервисы, другие порты), к сожалению сйчас не представляется возможным узнать какой (машина принадлежала не мне).
Ну вообще-то у меня по умолчанию наглухо закрыты все порты, кроме 21-tcp и 53-го UDP :)
но доподлинно известно, что система может быть вломана :(
Не хотелось бы, что бы докопались :(
← →
Гарри Поттер © (2006-01-21 00:57) [18]> Абсолютно не факт, что это умысел - скорее всего, это вирусы
> да трояны долбятся - а хозяин машины просто не в курсах.
Рупь за сто так и есть. Человеку требуется одна попытка чтобы понять что этой дырки на атакуемой машине нет.
Отключи в файерволе показ мессаги и не думай об этом.
← →
Nick Denry © (2006-01-21 01:02) [19]Гарри Поттер © (21.01.06 00:57) [18]
Скорее всего, так и сделаю, но логи смотреть все-равно противно, а не смотреть нельзя :)))
Самое интересное, что при GPRS соединении мало чего валится (всмысле пакетов), а вот при подключении к одному из местных провайдеров прет все, включая его собственные UDP-пакеты :)
← →
Карелин Артем © (2006-01-21 08:21) [20]
> Nick Denry © (21.01.06 01:02) [19]
> Самое интересное, что при GPRS соединении мало чего валится
> (всмысле пакетов), а вот при подключении к одному из местных
> провайдеров прет все, включая его собственные UDP-пакеты
> :)
У меня наоборот - при GPRS до компа пытается добраться масса разных пакетов. Firewall даже какие-то транзитные пакеты блокирует.
На модеме тишина и спокойствие :)))
← →
Плохиш © (2006-01-21 13:15) [21]
> Nick Denry © (20.01.06 23:14) [4]
> Anatoly Podgoretsky © (20.01.06 23:12) [2]
>
> ===
> А если серьезно?
>
> Меня это заколебало уже....
Займись чем-нибуть серьёзным, тогда не останется лишнего времени на чтения идиотских логов. Заколебали ламеры, прочитают лог и бегом вопить на делфимастер, лучше б на форуме проктологов вопили.
← →
DSKalugin © (2006-01-21 14:04) [22]21й - ФТП
Установи самую последнюю версию своего ФТП-сервера, поищи в интернете какие уязвимости у него найдены и какие методы борьбы с ними.
http://www.securitylab.ru/
Ну и настроить надо свой ФТП в соответствии с рекомендациями по безопасности
← →
DSKalugin © (2006-01-21 14:11) [23]и по поводу "что делать"
А ничего пока не доказан сам факт проникновения. Ежели таковой зафиксирован службами ведения логов(включи журнализацию событий), то можно смело подавать заявление в милицию.
Фиксироваться файерволом могут не только реальные атаки но и обычное сканирование портов, которым интернет просто кишит. Сканирование не является каким-либо нарушением, поскольку это сбор информации об открытых сервисах на ПК.
хорошим файерволом считаю Outpost Firewall, а безобразным - касперского, который вижжит по делу и без него на любую пролетающую муху, заставляя паниковать пользователя
← →
Nick Denry © (2006-01-21 14:38) [24]2Карелин Артем © (21.01.06 08:21) [20]
ну насколько мне известно, у мегафона какой-никакой собственный роутер стоит, но, видимо пропускает различные пакеты внутри сети. По крайней мере, те TCP пакеты, которые мне приходят - это пакеты неправильного размера, в свое время использовались как уязвмость NT/2000 (LANMAN service).
2Плохиш © (21.01.06 13:15) [21]
В чем по Вашему заключается мое ламерство?
Если вы не являетесь "ламером" в вопросе защиты сети, то может сможете подсказать что-то дельное?
2DSKalugin © (21.01.06 14:04) [22]
Да с FTP все нормально, нелегальных попыток подключения по FTP не было, да и настроено вроде все правильно. Как, я уже выше писал, некоторая часть моей работы заключается в выполнении некоторых операций в интернете (в основном передача данных, но вот обязан еще и FTP поддерживать на машине).
Из файрвола у меня настроенный iptables, и windows-направленные атаки мне не страшны, но один из знакомых ITшников показывал мне, какие есть неустранимые уязвимости в системе, исправить их, на данном этапе, не представляется возможным (сменить систему тем более) :)
Вот и спрашиваю поэтому, какие действия (вообще я про правовые действия говорил), можно предпринять при попытке атаки на мою машину, отсюда и желание выяснить, кто проводит атаку - человек или машина.
← →
Nick Denry © (2006-01-21 14:42) [25]DSKalugin © (21.01.06 14:04) [22]
Пока писал, не видел вашего этого ответа.
Журнализация, естественно включена (я про логи говорил), и
"то можно смело подавать заявление в милицию" - вот это меня собственно интересует. В каком случае это можно сделать и стоит ли контактировать с провайдером по этому вопросу, в данном случае с мегафоном?
← →
alexsis © (2006-01-21 20:48) [26]
> Абсолютно не факт, что это умысел - скорее всего, это вирусы
> да трояны долбятся
Нет, это инопланетный разум !!!
← →
Anatoly Podgoretsky © (2006-01-21 22:03) [27]Nick Denry © (20.01.06 23:53) [15]
Точнее: Что делают фирмы/люди при попытке проведения активной атаки на свою машину?
Очено просто, не выставляют машину в интернет, ставят броне-трусы в виде отдельной машины и железного файрвола. Этого достаточно.
← →
Nick Denry © (2006-01-21 22:13) [28]2Anatoly Podgoretsky © (21.01.06 22:03) [27]
А если у меня один паршивый нотебук с которым я таскаюсь?
Неспроста же GPRS, я бы и диалапом стационарно мог пользоватся, или броне-трусы за собой на тележке тасакать? :)))
хумор 6)))
← →
Anatoly Podgoretsky © (2006-01-21 23:26) [29]Тогда не стоит говорить об важности данных, поскольку ноутбук и это понятие не совместимы.
← →
Nick Denry © (2006-01-22 01:48) [30]Anatoly Podgoretsky © (21.01.06 23:26) [29]
Еще бы начальству обьяснить - было бы вообще супер,
но это уже мои проблемы :)))
← →
Nick Denry © (2006-01-22 02:03) [31]MOA © (21.01.06 00:01) [16]
http://www.viruslist.com/ru/viruslist.html?id=145136997
Супер. Знаешь всех червей?
Правда похоже на него, но длины пакетов разные, может и правда клон либо все-же атака на lanman :)))
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.02.12;
Скачать: [xml.tar.bz2];
Память: 0.54 MB
Время: 0.04 c
