Форум: "Прочее";
Текущий архив: 2008.05.25;
Скачать: [xml.tar.bz2];
Вниз
Опять атакует!! Найти похожие ветки
← →
vrem_ (2008-04-12 12:26) [0]Поставил чуть более высокий контроль за атаками из инета,
и вот что происходит - (ниже)
Как с этим бороться и зачем это делается такое сканирование?
Опасно ли это?
14:00:53 Обнаружено сканирование порта(ов) 25861, 37636, 24325, 4357, 3845, 27141, 38660 с адреса 213.234.193.253 SCAN
14:12:43 Обнаружено сканирование порта(ов) 4101, 24836, 10244, 9988, 24581, 29444, 27652 с адреса 213.234.193.253 SCAN
14:23:08 Обнаружено сканирование порта(ов) 4101, 4869, 24836, 10244, 9988, 24581, 29444, 27652, 25093, 55556 с адреса 213.234.193.253 SCAN
← →
Andy BitOff © (2008-04-12 12:35) [1]Я не обращаю на это внимание и даже выключил оповещение. Блокируется адрес на 5 мин. и мне об этом не сообщается, а то достали эти окошки.
Хотя заданные тобой вопросы тоже интересны.
← →
DVM © (2008-04-12 15:07) [2]
> Как с этим бороться и зачем это делается такое сканирование?
Ты уже борешься с помощью файерволла. Других методов борьбы на твоем компьютере нет.
Сканирование делается с целью выявить уязвимости. Находится открытый порт, детектируется сервис, делаются попытки подключиться к сервису используя известный список уязвимостей.
← →
No_Dead © (2008-04-12 15:09) [3]> Как с этим бороться
пробиваешь чей айпи — ну дальше дело мускул%>
P.S. сабж и у меня был… пока не отключил
← →
DVM © (2008-04-12 15:11) [4]
> пробиваешь чей айпи
само по себе сканирование портов не запрещено законом.
← →
Anatoly Podgoretsky © (2008-04-12 15:56) [5]
> vrem_ (12.04.08 12:26)
Ни как, нам на сервере засели хакеры, есть подозрение, что это сами владельцы, судя по ответам от администратора, я как то вышел на не компетентного администратора, он сказал что нашли хост в Перми, через два часа прибьют. На второй день они прекратили отвечать.
В ДНС c определенного времени они убрали обратную зону, что бы рядовой пользователь не мог определить откуда и что за сервер.
Порты меняются, количество тоже, обычно два сканирование на 4 порта, раз в 5 минут. Что дает от 600 до 7200 обращений в минуту.
Только это не сканирование, они стучатся к инсталированому червю, видимо обычная организация зомби-сети. Долбятся уже несколько лет.
Попробуй и ты послать жалобу с логами на abuse@cornina.net
← →
Anatoly Podgoretsky © (2008-04-12 15:58) [6]
> Сканирование делается с целью выявить уязвимости. Находится
> открытый порт, детектируется сервис, делаются попытки подключиться
> к сервису используя известный список уязвимостей.
В данном случае не так, пытаются подключить к зараженной машине, а не к открытому порту. Это я могу утверждать отвественно. Здесь не тот случай, здесь банда.
← →
vrem_ (2008-04-12 15:59) [7]я пошлю жалобу.
← →
Anatoly Podgoretsky © (2008-04-12 16:14) [8]
> я пошлю жалобу.
Сделай доброе дело и сообщи результат.
Посылать как раз лучше в выходные, там часто на поддержке в это время сидят, те кто не в курсе.
← →
TIF © (2008-04-12 19:08) [9]У меня с некоторого времени каждый день по 1-2 раза в день атака с поддельного IP адреса. KIS8 успешно её блокирует и отражает...
Что такое? Достали уже...
← →
TIF © (2008-04-12 19:26) [10]Ну вот, ПОЛЮБУЙТЕСЬ, опять:
Сетевая атака Intrusion.Win.MSSQL.worm.Helkern: UDP от 220.171.31.41 на локальный порт 1434. Атака заблокирована. Атакующий компьютер не был заблокирован, возможно его адрес поддельный.
← →
vrem_ (2008-04-12 19:45) [11]TIF © (12.04.08 19:26) [10]
ну во первых какое ещё UDP? ты что, не запретил Netbios у своего подключения? Запрети, сайты всеравно будут открываться будут.
2. напиши им. что значит адрес поддельный? пусть это их техподдержка разбирается. ты видишь IP, можно его набрать в браузере - если открывается сайт компании, то у него есть контакты страница обычно, а там адрес куда писать. если нет сайта, то можно узнать кому этот IP принадлежит - whois или как называется, там будет тоже контакт, написать им.
(писать душевно, подбирая слова))
← →
ага (2008-04-12 19:59) [12]
> vrem_ (12.04.08 19:45) [11]
> напиши им.inetnum: 220.171.0.0 - 220.171.191.255
netname: CHINANET-XJ
descr: CHINANET xinjiang province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: LZ38-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CN-CHINANET-XINJIANG
changed: hostmaster@ns.chinanet.cn.net 20030225
status: ALLOCATED NON-PORTABLE
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC
person: LI ZHAO
address: XINJIANG DATA COMMUNICATINS BUREAU
address: 30 HUANGHE ROAD URUMQI XINJIANG
address: CHINA
country: CN
phone: +86-991-5820832
fax-no: +86-991-5820831
e-mail: zhaoli@xjtelecom.com.cn
nic-hdl: LZ38-AP
mnt-by: MAINT-CN-CHINANET-XINJIANG
changed: zhaoli@xjtelecom.com.cn 20010112
source: APNIC
Пишите письма ©
:)
Как сделал я - файрволом глушим сразу все диапазоны адресов таких контор и нет проблем.
← →
TIF © (2008-04-12 20:24) [13]Ну мне-то что... КИС блокирует - и всё норм... Просто сообщения раздраюат и сам факт: если видят, что атака не идёт, зачем снова пытаются?! )))
← →
ага (2008-04-12 20:30) [14]
> TIF © (12.04.08 20:24) [13]
>
> Ну мне-то что... КИС блокирует - и всё норм... Просто сообщения
> раздраюат и сам факт: если видят, что атака не идёт, зачем
> снова пытаются?! )))
ИМХО - 220.171.31.41 - анонимный прокси.
А китайцев мнооого :)
← →
vrem_ (2008-04-12 20:31) [15]На английском пиши. Поймут. Предложения как можно проще, тогда ошибки не принципиальные будут, подумают простой человек американский пишет)) переводить www.translate.ru
Мы же понимаем что написано на упаковке их стелек
(жаль выкинул, смеялся - что то вроде "защищает от плесень стопы")
типа -
привет
я имею проблемы из <адрес>
пожалуйста помогите
я
детали проблемы:
<логи>
← →
ага (2008-04-12 20:35) [16]
> vrem_ (12.04.08 20:31) [15]
Бесполезно китайцам писать.
← →
TIF © (2008-04-12 20:49) [17]Ага, а какие правила работы с почтовым ящиком существуют?
Ни в коем случае не отвечать на спам! А то они точно поймут, что адрес раочий и можно сюда слать рекламу...
А тут также не получится?!
← →
vrem_ (2008-04-12 20:56) [18]TIF ©
надо писать не спамеру или хакеру, а хозяину пруда))
как в анеке
бойфренд звонит подружке, трубку берёт её отец
- алло, это ты, моя рыбка?
- нет!
- ... а кто вы??
- хозяин пруда!
← →
TIF © (2008-04-12 21:01) [19]Ага. а если он и хозяин? И китайцев всё повязано :) Своих не сдадут)))
← →
TIF © (2008-04-12 21:01) [20]У китайцев тоже есть круговая порука ;-
← →
Anatoly Podgoretsky © (2008-04-12 21:28) [21]> TIF (12.04.2008 20:49:17) [17]
Это глупость, во первых отвечать некуда, а если есть, то как правило он не принадлежит спамеру, ну и робота совсем не интересет рабочий адрес или нет.
Эту шутку пустил или ламер, или шутник-спамер.
--
← →
TIF © (2008-04-12 21:50) [22]
> Anatoly Podgoretsky © (12.04.08 21:28) [21]
> > TIF (12.04.2008 20:49:17) [17]
>
> Это глупость, во первых отвечать некуда, а если есть, то
> как правило он не принадлежит спамеру, ну и робота совсем
> не интересет рабочий адрес или нет.
> Эту шутку пустил или ламер, или шутник-спамер.
>
> --
как отвечать некуда? Бывают и реаьные адреса. один спамер мне даже ответил )))))) Написал, как со спамом бороться ))))) Робота очень даже заинтересует, рабочий адрес или нет, он просто может сканирует сеть...
Это не шутка, а общепринятое правило: не отвечать на спам. Гляньте в нет, найдёте кучу упоминаний об этом...
← →
Anatoly Podgoretsky © (2008-04-12 22:09) [23]> TIF (12.04.2008 21:50:22) [22]
Правило есть, но не по той причине, просто отвечать бессмысленно, поскольку поток спама увеличится, получишь еще спам от провайдера, что мол то,то и то, сервера вступят в ненужную пересылку, а как удивится тот человек, если адрес окажется реальным, что его обвиняют во спаме.
← →
ага (2008-04-12 22:25) [24]Offtopic
:) Подписан на новости с борланда. Как-то в отпуск ушел...
Уже не помню, что там с постфиксом было, но переписку из ~100 писем
между моим сервером и борландовским забавно было потом посмотреть :)
← →
TIF © (2008-04-12 22:31) [25]
> а как удивится тот человек, если адрес окажется реальным,
> что его обвиняют во спаме.
На ответах.майл-ру было такое :) Один написла, что с такого-то адреса к нему приходят вирусы в письмах )))) Короче, я рискнул написать на этот адрес и выяснил, что никакие вирусы никто, естественно не слал...
← →
Игорь Шевченко © (2008-04-12 22:38) [26]TIF © (12.04.08 22:31) [25]
А нефиг слать вирусы.
← →
TIF © (2008-04-12 22:46) [27]
> А нефиг слать вирусы.
Так в том и дело, что никто и не посылал ничего ))) А вирусы приходили ;-)
Либо кто-то врёт, либо адрес чужой использовали...
← →
Игорь Шевченко © (2008-04-12 23:14) [28]TIF © (12.04.08 22:46) [27]
> Либо кто-то врёт
В данном случае ты.
> Так в том и дело, что никто и не посылал ничего
Прокурору будешь рассказывать
← →
TIF © (2008-04-12 23:32) [29]
> В данном случае ты.
Жёстко... Я то тут каким местом? Они не смогли там разобраться, кто им письма посылает и от чьего имени... Я только как зритель выступал )))
> Прокурору будешь рассказывать
Что? Как я винду крякал? ))) Ничего сейчас у меня лицензионная ))) Любимая Vista ;-) Так что не посадят ;-) И спам я не рассылаю.
Опыт написания писем в прокуратуру уже есть, кстати ;-)))
А вот что-то на днях глюкануло: на Яндекс не пускали, потому что якобы с моего ip были запросы...
Вот:
Проблема: Ваш компьютер заражен вирусом или spyware (вредоносной программой), которая автоматически обращается к Яндексу.
Совет:Рекомендуем вам проверить компьютеры на вирусы, работающие на данном IP адресе.
Через 10 минут всё стало как обычно. И как всегда: "ЧТО ЭТО БЫЛО?!"
← →
Anatoly Podgoretsky © (2008-04-13 00:35) [30]Динамическая блокировка
А прошло - так интервал кончился
А насчет ИП так в случае UDP никак нельзя сказать - адрес подлинный или поддельный.
← →
Anatoly Podgoretsky © (2008-04-13 00:59) [31]> TIF (12.04.2008 22:31:25) [25]
В мире существую несколько зомби сетей, средний размер, самых крупных - десятки/сотни тысяц, владельцы этих компьютеров даже не подозревают, что их машина зомби, член спам сети. Рядовой трафик их сети сотни миллионов писем в сутки. Ко мне на фирму однажды пришли аудиторы с одной зараженой машиной, трафик был порядка 100 000 писем в час. Я заблокировал файрволом,спустя два часа, но адрес все равно попал в черные списки, нормальные удали через сутки, а рекетеры до сих пор держат и на хлеб просят.
← →
Anatoly Podgoretsky © (2008-04-13 01:00) [32]> TIF (12.04.2008 22:46:27) [27]
Ты заголовки этих писем видел, на НЛП анализировал, иногда хитрые схемы используют.
← →
TIF © (2008-04-13 01:12) [33]
> на НЛП
плз, расшифруйте. Программа? Алгоритм? А то википедия выдаёт "Нейролингвистическое программирование"
← →
Anatoly Podgoretsky © (2008-04-13 02:05) [34]> TIF (13.04.2008 01:12:33) [33]
Википедия дала точную расшифровку, именно это и между прочим срабавает, я только спустя несколько дней понял в чем там дело, а подставляли классно.
--
← →
Константинов (2008-04-13 20:51) [35]Проблема гораздо шире, чем кажется. Первоначально провайдеры проблему спама ( фулда ) зараженных зомби-машин не воспринимали всерьез. Им на руку - лишний трафик - лишние деньги с клиента. Но только не на аннлим тарифах.
Заставить всех пользователей домашней сети уделять достаточно усилий защите - невозможно. Чем больше подключается юзеров к сети, тем меньше их уровень "компьютерной грамотности". Зараженные ПК начинают "фулдить", заражая остальные ПК сети и прогружая "в полку" сеть провайдера.
Таких юзеров - блокируют ( отключают инет ) до ликвидации на их машинах вирусов. Такая возможность сейчас прописывается в клиентских договорах, поэтому отключение совершенно законно.
Другой уровень проблемы. СПАМ, DDOS атаки - стали уже всемирным бедствием, а не локальным явлением. Поэтому принято решение ( по моему на уровне RIPE ) об блокировании сетей (перфиксов) провайдеров ( тот самый "черный список" ). Замеченные в рассылке спама подсети провайдеров блокируются ( подробностей не знаю, но отправить эл. письмо с такой подсети во внешний мир невозможно ).
Чтобы выбраться из блэклиста, провайдер пишет письмо в RIPE с просьбой и описанием принятых мер по предотвращению рассылки спама с его подсети. Такие письма рассматриваются очень долго и далеко не всегда по ним принимается положительное решение. Говорят, выбраться из блэклиста можно только лишь за деньги.
DDOS атаки на определенные сайты можно решить только вместе с провайдерами-апстримами. Трафик при интенсивной атаке может зашкалить за несколько Гб/с, что несет уже серьезную угрозу самому интернет-провайдеру. DDOS аткки ведуться с зараженных зомби-машит разбросанных по всему миру. Цель DDOS атак - вывести в офф-лайн атакуемый сервер. Миллионы сессий легко вешают самый мощный сервак. Защита - блокировать всех, не зарегестрированных пользователей ( например для сайтов налоговой ). Но при этом аплинк все равно в полке, файрволл отчаянно сражается с вредными пакетами, а легитимные юзеры не могут достучаться до сервера из-за перегрузки аплинка.
Решения есть, озвучивать не буду по понятным причинам. но к сожалению они отнимают очень много сил и времени у админов контент-провайдера и админов интернет-провайдеров. Сервер остается он-лайн... но КАКОЙ ЦЕНОЙ. :(
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2008.05.25;
Скачать: [xml.tar.bz2];
Память: 0.56 MB
Время: 0.008 c
