Gyere ide, ha szerinted a PC-dnek valami olyan baja van, ami vírus, trójai, akármi miatt lehet, vagy ilyesmire gyanakszol.
De először nézz ide: www.wigwam.info -csináld meg ott a féregirtást, és ha még mindig baj van, akkor itt valaki segít, ha tud.
12 aza a mega...Köszi! De alighanem csak hétvégén fogom tudni leszedni. Most 0,2 kb/sec-cel gyön. :(
ui.: Ez a ne.irj.ide, ez teccik! :)
A mai termés viszont egész szép vót.
Firewall Event Log
2000.02.25. 23:18:06.063 Rule "Default Inbound ICMP" blocked (134.222.228.33,3). Details:
Inbound ICMP request
Local address is (alpha)
Remote address is (134.222.228.33)
Message type is "Destination Unreachable"
Process name is "N/A"
2000.02.25. 23:14:06.919 The user has created a rule to "permit" communications. Details:
Inbound UDP packet
Local address,service is (alpha,2140)
Remote address,service is (195.56.250.195,60000)
Process name is "N/A"
2000.02.25. 23:14:06.889 Interactive learning mode is enabled
2000.02.25. 23:14:06.889 Firewall is enabled. It has successfully processed a total of 19 rules
2000.02.25. 23:07:42.562 Rule "Default Inbound NetBIOS" blocked (alpha,nbname). Details:
Inbound UDP packet
Local address,service is (alpha,nbname)
Remote address,service is (205.229.249.200,nbname)
Process name is "C:\WINDOWS\SYSTEM\RNAAPP.EXE"
2000.02.25. 23:07:41.072 Rule "Default Inbound NetBIOS" blocked (alpha,nbname). Details:
Inbound UDP packet
Local address,service is (alpha,nbname)
Remote address,service is (205.229.249.200,nbname)
Process name is "C:\WINDOWS\SYSTEM\RNAAPP.EXE"
2000.02.25. 23:07:39.572 Rule "Default Inbound NetBIOS" blocked (alpha,nbname). Details:
Inbound UDP packet
Local address,service is (alpha,nbname)
Remote address,service is (205.229.249.200,nbname)
Process name is "C:\WINDOWS\SYSTEM\RNAAPP.EXE"
2000.02.25. 23:03:01.814 Rule "Default Block Back Orifice 2000" blocked (alpha,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (alpha,Back-Orifice)
Remote address,service is (195.56.1.216,31338)
Process name is "N/A"
2000.02.25. 22:50:20.189 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (212.108.211.23,4316)
Process name is "N/A"
2000.02.25. 22:50:17.364 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (212.108.211.23,4316)
Process name is "N/A"
2000.02.25. 22:15:35.733 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (alpha,socks)
Remote address,service is (212.108.203.250,2215)
Process name is "N/A"
2000.02.25. 21:55:06.564 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (212.108.204.12,2473)
Process name is "N/A"
2000.02.25. 21:55:03.509 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (212.108.204.12,2473)
Process name is "N/A"
2000.02.25. 21:49:54.356 Rule "Default Block Back Orifice 2000" blocked (alpha,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (alpha,Back-Orifice)
Remote address,service is (195.56.4.29,1050)
Process name is "N/A"
2000.02.25. 21:08:28.366 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (212.108.211.23,2999)
Process name is "N/A"
2000.02.25. 21:08:25.437 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (212.108.211.23,2999)
Process name is "N/A"
2000.02.25. 20:28:17.190 Rule "Implicit block rule" blocked (alpha,socks). Details:
Inbound TCP connection
Local address,service is (alpha,socks)
Remote address,service is (212.108.203.250,2215)
Process name is "N/A"
2000.02.25. 20:28:05.207 Rule "Implicit block rule" blocked (alpha,socks). Details:
Inbound TCP connection
Local address,service is (alpha,socks)
Remote address,service is (212.108.203.250,2215)
Process name is "N/A"
2000.02.25. 19:18:36.916 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (alpha)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 19:18:33.917 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (alpha)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 19:18:30.917 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (alpha)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 16:28:07.938 NDIS filtering is enabled
2000.02.25. 16:28:00.017 Interactive learning mode is enabled
2000.02.25. 16:28:00.017 Firewall is enabled. It has successfully processed a total of 18 rules
2000.02.25. 10:03:41.202 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (212.108.205.9)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 10:03:38.207 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (212.108.205.9)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 10:03:35.207 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (212.108.205.9)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 09:16:53.525 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (212.108.206.233)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 09:16:50.521 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (212.108.206.233)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 09:16:47.521 Rule "Default Outbound ICMP" blocked (224.0.0.2,10). Details:
Outbound ICMP request
Local address is (212.108.206.233)
Remote address is (224.0.0.2)
Message type is "Router Solicitation"
Process name is "N/A"
2000.02.25. 09:15:36.856 NDIS filtering is enabled
2000.02.25. 09:15:28.012 Interactive learning mode is enabled
2000.02.25. 09:15:28.012 Firewall is enabled. It has successfully processed a total of 18 rules
2000.02.24. 22:51:00.365 Rule "Inbound TCP service: Backdoor-g-1" blocked (212.108.206.137,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (212.108.206.137,Backdoor-g-1)
Remote address,service is (212.108.204.236,2771)
Process name is "N/A"
2000.02.24. 22:50:57.206 Rule "Inbound TCP service: Backdoor-g-1" blocked (212.108.206.137,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (212.108.206.137,Backdoor-g-1)
Remote address,service is (212.108.204.236,2771)
Process name is "N/A"
2000.02.24. 19:53:48.318 Interactive learning mode is enabled
2000.02.24. 19:53:48.318 Firewall is enabled. It has successfully processed a total of 18 rules
Otello, csak óvatosan, inkább valami ismerőssel kellene kipróbálni az adagolást.
bigboss, megfelelt a válasz?
kivi, ez vagy nagyon unatkozik, vagy így keres magának kapcsolatot.
Most nyitok egy új mail címet, indexeset, és bejelentem az összes szolgáltatónak az "abuse"-ra a topikot. Szerintem olvasság (hallottam), de mailre várnak.
Csak kb. 10 perce vagyok online, és megjött a szokásos Elenderes "barátom" (+ egy Datanetes BO):
2000.02.25. 21:56:02.623 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (kopoo,Backdoor-g-1)
Remote address,service is (212.108.204.12,3392)
Process name is "N/A"
Inbound TCP connection
Local address,service is (kopoo,Backdoor-g-1)
Remote address,service is (212.108.204.12,3392)
Process name is "N/A"
2000.02.25. 21:51:55.605 Rule "Default Block Back Orifice 2000" blocked (kopoo,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (kopoo,Back-Orifice)
Remote address,service is (195.56.4.29,1051)
Process name is "N/A"
Rule "Implicit block rule" blocked (homepc,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (homepc,Backdoor-g-1)
Remote address,service is (195.70.45.164,3301)
Process name is "N/A"
inetnum: 195.70.45.0 - 195.70.45.255
netname: KIBERNET
descr: KiberNet Ltd.
descr: Budapest
country: HU
admin-c: GB139-RIPE
tech-c: GB139-RIPE
rev-srv: ns.kibernet.hu
rev-srv: gw1.interware.hu
status: ASSIGNED PA
changed: Robert.Pamer@interware.hu">Robert.Pamer@interware.hu 19971229
source: RIPE
Khmmm. Nem kellett sokat várni rá. (Telepítés után fél óra.) Pedig én surranópályán netezek. Meg voltam róla győződve, hogy nem is tud rólam senki.
Koszonom, Fonok Testverem!
Koran kezdodik a hetvege...
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Fri Feb 25 19:43:03 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.145.32 (line-145-32.dial.matav.net)
Ports: 1322->1243
-------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Fri Feb 25 19:48:51 2000 [Local GMT bias +1:00]
Hacker IP: 212.108.205.113 (m114-as103.elender.hu)
Ports: 3314->1243
-------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Fri Feb 25 20:05:13 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.128.20 (line-128-20.dial.matav.net)
Ports: 4440->31337
--------------------------------------------------
Nézzed csak ezt a log részletet:
2/7/2000 8:35 AM Cleaned DILI\Administrator C:\Program Files\TrendMicro\ScanMail for Outlook\TEMP\ost327.tmp W97M/Ethan.a
2/7/2000 8:35 AM Cleaned DILI\Administrator C:\Program Files\TrendMicro\ScanMail for Outlook\TEMP\ost329.tmp W97M/Ethan.a
2/7/2000 9:52 AM Service Started SYSTEM
A Dili a szerver neve (ami köztudottan egy város), a programfüles nem érdekes, hanem az Outlook levél szkennelője. Miket nem tud találni egy bejövő TMP-ben?
Ha pedig IRC-zel, akkor azon keresztül kaphatsz olyan, amit nem szeretnél, és nem is fogsz tudni róla, csak majd ha dől a ház, vagy az ICQ-val ".
Az IRC ellen nem tudom a védelemmet, az nem az én játékom.
Az ICQ-t eddig még nem használtam pont a sebezhetőség miatt. Ha majd tudni fogom, hogy hogyan védjem ki, akkor esetleg.
Ha elég ügyes, akkor azt, hogy elindítja azt, amit becsempészett.
De ha akkora láma volnál, hogy rosszul állítod be a gépedet, akkor be tud jönni anélkül is. Ld ezügyben a www.lockdown.com hacker demo-ját.
A muerte, amit megigértél még nem jött.
(Én várok:)).
De bigboss kérdésére én is szívesen várom a választ. Biztos, hogy nem parázzátok (parázzuk) túl a dolgot ?
Sporttarsak! Lehet, hogy nagyon amator - gy.k. "lamer" - kerdest teszek fel. Van ugye a rosszember, aki scanneli a portjaimat. De minek? Netantan keres a gepembe juttatott barmilyen szerver-programot, melynek segitsegevel betekintest nyerhet fulledt haloszobatitkaimba? De ehhez kell az a bizonyos szerver-program is, mint pl. a Back Orifice, stb., a gepemre telepitve. A telepitest meg csak, es kizarolag en vegezhetem el, tegyuk fel, kuld valaki egy virstop.exe nevu trojait, amit en balga elinditok. De ha nincs ilyen szerver-program telepitve, akkor mit er el a port-scannelessel? Erre szeretnek valaszt kapni.
Nem fogalmaztam úgy látszik világosan. Értem, hogy mit akarsz, egyet is értek vele, sulinetes kreténeket le kell nyomni, ámen.
Én csak azt firtatom, hogy nem lehet-e ezt a rendszert éppen arra felhasználni, hogy ártatlan embert lenyomjon (lenyomasson) valaki a netről.
Mégpedíg imígyen: elküld egy olyan gépre, ahol a kisprogi fut, egy olyan packetet, amiben az én IP-m szerepel, mint feladó, és a célport valamely ismert trójai. Erre a rendszer a feltételezett küldőt - azaz engem - jól megbüntet.
Nem nagy eset. Ennél többet is kibír a távíróm vezetéke.
Pipázhatunk is, de ez még nem a békepipa ideje. Többen mondták, hogy ez önbíráskodás. Azonban a net az egy vadnyugat, hol csak "iket" van, de nincs leverhető törvény, zsandár.
Ha lehetne ahhoz a 200 millió emberhez körkérdést intézni, akkor kiderülne, hogy javarészük békésen legeltetne, illetve legelne a neten.
Ezt azonban ma csak úgy lehet elérni, ha az ember a takaró alatt a kezét a puskán tartja, vagy a késen, esetleg a tomahawkon.
Nem biztos, hogy a draftot realizálni is kell, de igenis érdemes egy teljesen apokaliptikus netnek a rémképét felfesteni, amelyben mint science fiction filmekben (Startrek pl.) lőnek, beleremeg, és a pajzsok már csak x szazalékosak.
Trebitsch kartács örömére hivatkozzunk Rejtőre. Ott is csak úgy volt, hogy egyszer csak az erősebb légionisták felpofozták a többieket, utána rend lett (ld. még Izabella őrvezető - aki valamely ok miatt ehelyütt a távollétével tűntet).
Javaslatom olyan mint a boistosítótű, mely alkalmas volt ugye arra, hogy a teniszütőhöz kapcsoljunk valamit.
Este megoldások mikéntjén tanakodni fogunk erősen.
Vajon lenne-e kedved leszedni 11MB-ot?
Merthogy az kell hozzá erősen.
Ha valahol "látom", azonnal szólni fogok... ;)
pint, a mostani címlapon ott van, hogy 200 millióan neteznek a vilgban. Ezek többsége inkább csak netezne, de nem disznólkodna. Momentán egy törpe kissebbség terrorját éljük, akik a többség nyakához teszik a kést.
Ha ennek a 200 milliónak csak egy százaléka elkedz a fent leírt módon védekezni, azzal akár egy AOL behívót is ki lehet fektetni, illetve szinte bármit, a magyar szolgáltatókról szó se essék. Mi több, ki lehet fektetni teljes transzatlanti kábeleket is.
Magyarán akkora zavart lehet vele okozni, ami miatt azok, akiknek nem érdekük semmit sem tenniük, valamit lépni kényszerülnek.
De az is lehet, hogy ezek után nem is kell semmit sem tenni, mert ez a szintü fenyegetés önmagában is elegendő.
Ha ennek alapján pl. kiderül, majd egyszer, hogy ki a hacker, akkor már nem fogja megérni.
Ha nem kerül semmibe, akkor áthajtanak az emberek a piroson. De ha ugrik a jogsi (nagy valószínüséggel), nos akkor meg fogják fontolni.
Ezért a fenti megoldást inkább erőegyensúly kialakulásnak tartom.
Pár nappal ezelőtt dicsérte valaki IRL a BlackIce-t, gondoltam, kipróbálom, de sehol sem találok eval verziót. A keresők meg hagy ne mondjam, miket mutatnak a "BlackIce" kifejezésre.:-)
Érdemes beszerezni? Mennyivel tud többet, mint az Atguard vagy a Lockdown?
Én nem szakértek a témához, ezért lehet, hogy zöldséget fogok beszélni, de.
Mi van akkor, ha valaki mondjuk az én IP-met adja meg, mint küldőt, és úgy port-scanneli meg szándékosan valamelyik ilyen módon védett gépet? Ki lehet deríteni az ilyen ravaszkodást?
Mert ha nem, akkor ezzel egy kiváló eszközt sikerült minden értő ártó kezébe adni arra, hogy bárkit le DoSozzon a netről, akár egy vékony telefonos kapcsolattal is.
- Az attackok megítélése a jelek szerint az érintettek részéről nem fog változni. Amennyiben ebben nem várható megoldás, és pesszimista vagyok, akkor azért persze van megoldás:))
A megoldás egy picinyke szoftverke kifejlesztése lenne, no meg egy-két szerverecskéé. Ez minden bizonnyal kisebb (nagyobb) berheléssel kivitelezhető.
Lényeegalényeg:
- Legyen egy valamilyen tűzfal, stb., ami elkapja az attackot.
- Űljön efelett egy figyelő program, amelyik kiszedi a támadó adatait.
- A tűzfal akassza ki adott időre a delikvenst, azaz ne válaszoljon neki.
- Eközben a figyelő program küldjön jelentést a szervernek.
- A szerver pedig szervezze meg DoS módon a támadást a résztvevő gépek által.
Ez egy olyan véd- és dacszövetség, amelyet az ISP-k kellőképpen utáni fognak, még a gondolatát is.
Lehet, hogy el is fogják venni a résztvevők accountját. Ez viszont eredményesen támadható már előre is azzal, hogy ez "csak" védekezés, ők meg mintha tehetetlenek lennének. Viszont alkalmas elrettentés.
Ha valaki ártatlan, mert az ő gépén keresztül nyomulnak, akkor legalább rögvest megtudja, ahogy a koncentrált össztűz miatt lebontják.
Az a legjobb, ha szinte senki nem is tudja, hol is van a szerver (természetesen faki IP), de tudtommal erre is vannak vicces megoldások, és pont a hacker "kollégák" találták ki.
Nálam se mondott semmit. Valami automatikus mentegetőzés mehetett a tasztalra. A hibernált tetű hozzá képest második szükési sebességgel közelekdik.
Emberek, én csak továbbítottam a panaszt a dokira. Mi történt, nem is fortatom. Lehet, hogy kezdik fülüket, farkukat egyesek behúzni? - Lám 'a láma mit csinált. De Tetris is tevékeny volt.
__PT, valamikor este visszanézek. Ha gondolod játszódhatunk. Engem is érdekelne.
Álljon meg a fáklyásmenet: innentől másé a megadott cím, amint viszontlátom ezt az üzenetet, lebontok.
Nagyon stealth volt az a scan, mer semmit nem vettem észre.
példul most? 212.108.206.233
10:00-ig, akkor lebontok, és utána ezt más fogja megkapni, úgyhogy csak addig!!!!!
De addig meg van beszélve, a logot majd közszemlére teszem.
Eh, Tetris, előbb i szólhattál volna, én meg itt csodálkoztam, hogy
1. már mennyi ideje bent vagyok mostanság attakok nélkül
2. már mióta nem látni a doki nevű usert semerre :)
Szóval a jelek szerint kezd eredményes lenni törzsfőnökünk hadjárata.
Constn : Azt hiszem hogy doki barátunk nálad is probálkozik =)))
Mellesleg van egy jó módszerem arra hogy leszokjanak rólam...
Ha valaki próbálkozik nálam akkor általában nyilvánosan elezdem felhívni az opok figyelmét a dologra egy kis loggal füszerezve, mire is azok bannolják a t. illetôt (feltéve ha irc-n van) és igy a kedvük elmegy az elkövetkezendô próbálkozásoktól..En ezt párszor eljátszottam már és igy cirka 1-1.5 napja hírt nem hallottam senki felôl...Tiszta a firewall logom mint e bébi popsija (már amikor) =)))
