Keresés

Kopasz Indian : elolvastam de nem lettem sokkal
okosabb, mert ezen a bizonyos dokin szinte mindent vegigprobaltam de nem nagyon fog rajta semmi...

Majd berakom ide a mai termésemet de még nem jött el az ideje... =))

Mellesleg egy ideig volt egy linux serverem (hálózatban volt a gépemmel) és a server este 10-tol reggelig fenn volt mindig de most az meghalt (furcsa füstöt eregetett az alaplap) úgyhogy most pillanatnyilag csak egy ATGUARD véd engem semmi más...(eddig müködött)

Friss, még meleg... :)

Firewall Event Log

2000.02.23. 21:30:07.763 Rule "Inbound TCP service: port 27374" blocked (alpha,27374). Details:
Inbound TCP connection
Local address,service is (alpha,27374)
Remote address,service is (145.236.202.23,1541)
Process name is "N/A"

2000.02.23. 21:30:04.782 Rule "Inbound TCP service: port 27374" blocked (alpha,27374). Details:
Inbound TCP connection
Local address,service is (alpha,27374)
Remote address,service is (145.236.202.23,1541)
Process name is "N/A"

2000.02.23. 21:29:34.943 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (145.236.202.23,1287)
Process name is "N/A"

2000.02.23. 21:29:31.973 Rule "Inbound TCP service: Backdoor-g-1" blocked (alpha,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (alpha,Backdoor-g-1)
Remote address,service is (145.236.202.23,1287)
Process name is "N/A"

Ha már nem szól senki hozzá a jogi teóriákhoz, akkor íme az enyém:

Szerintem ezek a betörési kísérletek bűntethetőek kell legyenek. Csak és csupán az ügyészt kell tudni erről meggyőzni.

Ha hagyományos fegyverrel jön, akkor az talán lehet játék, kíváncsiság is). De ha trójaival, akkor már nem.

A betörő nem tudhatja, hogy mit talál a gépben, ezért az átlagosan ismert, és feltételezhető információkért jön.

Ide másolom újfent a Lockdown demoban található adatokat.

As you can see from above, the hacker now has your directory local on his computer. Think of the hours he can spend going through your personal data after he downloads it.

The common data a hacker looks for would include but not limit to the following.

Credit Card Information
Credit Information
Checking Account Information
Any accounting data
Data bases
Mailing Lists
Personal Addresses
Email Addresses
Account Passwords
Home Office / Small Business Information
Company Accounts / Subscribed for Services
Resumes
Email
Any Company Information / Services He Can Access
IF COM ING FROM IRC or CHAT ROOMS ON A HOME COMPUTER
Your or spouse's first and last name
Children's names / ages
Your address
Your telephone number
Letters you write to people
Email
Your personal resume
Your family pictures
School work
Any school accounts / information

Jelszó, szolgáltató: lehet lopni az accountot.
Hitelkártya - csalás
Lakcím: be lehet törni.
Gyerek adatai, életkora: gyerekrablás?
Saját adatok: magántitok megsértése
Egyéb adatok: üzleti titok

stb. stb.

A magyar jogban csak van (fogunk találni) egy olyan kiskaput, amivel e sápadtarcúakat a kínzócölöphöz tudjuk majd kötni.

Az érvelés legnehezebben védhető része, hogy nagy a társadalmi veszélessége, hiszen elenyészően kevés ember képes az internetezők táborát zsarolni.

Paranoia guruként azt is meg tudom kérdezni, ez kinek az érdeke?

Uff! Bigboss, a topik már maga egy adatbázis, egy vádirat. De itt nem fér el minden. A többit a júzerek a sajátwigwamjaikban őrizzék egy kicsi időre.

Ha jól olvastam a nyomokat, akkor holnap az egyik szolgáltató terítékre kerül televízióilag. Leszkapsz lesz, tán még skalpolás is? Ha még közelebb sikerül settenkedni, majd adom a füstjeleket.

Meg egy pici adalek az eddigiekhez. Nekem - atlag, otthoni felhasznalo vagyok - csak a Jammer fut, a maga egyszeru modjan. Nos, tavaly, ha jol emlekszem, novemberben, elkuldtem a MatavNetnek egy kisportolt logfile-t. Valasz=zerus. Kovetkezoleg kitertem arra, hogy amennyiben nem kapok kielegito valaszt, ugy levelem elkuldom Vertes urnak, akit egesz veletlenul ismerek. Erre express valasz: most alakul a MatavNet anti-hacker csoportja, a logfile-t koszonik, maradnak..stb.stb. Ki tud errol valami kozelebbit?
A muerte.exe a boga istennek se akar lejonni:(((
Melleklet, hatha vannak azonos fiatalok...tenyleg, nem is rossz otlet! Ki csinal egy adatbazist??

Type of attack: Back Orifice scanning
Time: The time is Wed Feb 16 22:09:13 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.206.55 (line-206-55.dial.matav.net)
Ports: 1403->31337
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Wed Feb 16 22:09:51 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.214.24 (line-214-24.dial.matav.net)
Ports: 1540->10110
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Wed Feb 16 22:22:40 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.133.89 (line-133-89.dial.matav.net)
Ports: 61737->31337
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Wed Feb 16 22:27:23 2000 [Local GMT bias +1:00]
Hacker IP: 195.56.250.250 (raba-122.dialin.datanet.hu)
Ports: 1046->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Thu Feb 17 21:49:42 2000 [Local GMT bias +1:00]
Hacker IP: 193.226.240.88 (egomcom-dial88.uti.hu)
Ports: 1121->27374
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Thu Feb 17 22:51:47 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.214.202 (line-214-202.dial.matav.net)
Ports: 4891->10110
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sat Feb 19 19:37:03 2000 [Local GMT bias +1:00]
Hacker IP: 195.8.38.46 (dial14-a34.alarmix.net)
Ports: 2742->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sat Feb 19 19:51:27 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.63 (line-170-63.dial.matav.net)
Ports: 3497->1243
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sat Feb 19 20:23:40 2000 [Local GMT bias +1:00]
Hacker IP: 195.70.50.139 (marakesh-11.budapest.interware.hu)
Ports: 1128->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sat Feb 19 20:28:10 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.115 (line-170-115.dial.matav.net)
Ports: 3514->1243
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sat Feb 19 20:34:43 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.133.32 (line-133-32.dial.matav.net)
Ports: 61018->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sat Feb 19 21:15:59 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.115 (line-170-115.dial.matav.net)
Ports: 3943->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sat Feb 19 21:21:47 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.115 (line-170-115.dial.matav.net)
Ports: 3598->1243
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 17:34:33 2000 [Local GMT bias +1:00]
Hacker IP: 212.108.205.116 (m117-as103.elender.hu)
Ports: 1664->1243
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 17:36:30 2000 [Local GMT bias +1:00]
Hacker IP: 195.184.177.204 (dial-204.szolcatv.broadband.hu)
Ports: 4249->1080
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 17:55:43 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.206.33 (line-206-33.dial.matav.net)
Ports: 1598->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 18:45:03 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.206.33 (line-206-33.dial.matav.net)
Ports: 4506->12345
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 18:46:38 2000 [Local GMT bias +1:00]
Hacker IP: 212.40.107.160 (Dial008-53.externet.hu)
Ports: 1560->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 19:17:39 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.11 (line-170-11.dial.matav.net)
Ports: 3975->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 19:23:47 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.11 (line-170-11.dial.matav.net)
Ports: 3579->1243
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sun Feb 20 19:31:03 2000 [Local GMT bias +1:00]
Hacker IP: 212.108.203.34 (m35-as001.elender.hu)
Ports: 1025->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 19:36:18 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.206.33 (line-206-33.dial.matav.net)
Ports: 3366->12345
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sun Feb 20 20:16:47 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.196.20 (line-196-20.dial.matav.net)
Ports: 1034->31337
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sun Feb 20 20:18:13 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.196.20 (line-196-20.dial.matav.net)
Ports: 1038->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 20:29:05 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.11 (line-170-11.dial.matav.net)
Ports: 1173->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 20:32:52 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.206.33 (line-206-33.dial.matav.net)
Ports: 2204->12345
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 20:36:37 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.170.11 (line-170-11.dial.matav.net)
Ports: 4780->1243
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sun Feb 20 21:35:53 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.136.60 (line-136-60.dial.matav.net)
Ports: 31338->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 21:47:47 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.206.33 (line-206-33.dial.matav.net)
Ports: 1197->27374
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Sun Feb 20 21:57:39 2000 [Local GMT bias +1:00]
Hacker IP: 193.226.240.80 (egomcom-dial80.uti.hu)
Ports: 2074->27374
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Sun Feb 20 22:49:15 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.133.77 (line-133-77.dial.matav.net)
Ports: 61273->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Tue Feb 22 21:53:04 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.133.26 (line-133-26.dial.matav.net)
Ports: 61988->23
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Tue Feb 22 22:12:21 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.136.35 (line-136-35.dial.matav.net)
Ports: 31338->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Tue Feb 22 22:22:53 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.213.47 (line-213-47.dial.matav.net)
Ports: 2512->80
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Tue Feb 22 22:53:11 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.136.84 (line-136-84.dial.matav.net)
Ports: 31338->31337
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Tue Feb 22 22:53:25 2000 [Local GMT bias +1:00]
Hacker IP: 194.9.66.125 (dial2-125.digitel2002.hu)
Ports: 1074->10110
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Tue Feb 22 22:53:55 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.133.26 (line-133-26.dial.matav.net)
Ports: 63449->31337
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Tue Feb 22 22:59:37 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.136.94 (line-136-94.dial.matav.net)
Ports: 31338->31337
-----------------------------------------------------------------------
Type of attack: Back Orifice scanning
Time: The time is Tue Feb 22 23:11:53 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.136.94 (line-136-94.dial.matav.net)
Ports: 31338->31337
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Wed Feb 23 20:23:01 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.210.69 (line-210-69.dial.matav.net)
Ports: 3360->12345
-----------------------------------------------------------------------
Type of attack: TCP port scanning
Time: The time is Wed Feb 23 20:36:07 2000 [Local GMT bias +1:00]
Hacker IP: 145.236.210.69 (line-210-69.dial.matav.net)
Ports: 3691->12345
-----------------------------------------------------------------------

Miért is kell törölni a szögedi tájszólást, drága rézbőrű barátom?

Bocsánat, korrigálok, akkor egy gedellei betyár volt (szögedi tajszólás törölve).

Sziasztok!

Ki kell mentenem a szegedieket, A Digitel2002 Godolloi ceg.....
(Bar a Deltav es a Digitel2002 a Vivendi Telecom Hungary cegcsoportba tartozik...csak ennyi kozuk van egymashoz)

Udv:
Zitbag

jeep, csak nem belső címtartomány volt?

Tetris, azzal a dokival kellene majd valamit csinálni, esetleg meg lehetne operáltatni valahol...

Van külön géped a tűzfalnak??? Mert csak akkor van értelme. Ha nincs, akkor marad a szegény indián tűzfala, a gárdisták, egyebek. Ha végigolvasod a topikot, akkor találsz benne pár ilyen programoról ezt-azt.

Sziasztok. Laa-Yosh barátom tanácsára nemrég raktam fel a gépemre az ATGUARDot, és nemsokára
tudomásul vettem, hogy sokan kiváncsiak rám.
A Laa-Yosh által említett doki (_doki_ vagy drroot) nevu emberke szeret engem a legjobban...Napi 500-800kb log csak tôle származik...Próbáltam lelôni mert egy idô megelegéltem a ténykedésit de szerintem nem nekem sikerült hanem egy barátomnak. Nem tudtok valami -legtöbb esetben hatásos- programot ami nagy eséllyel elveheti a kedvét a dologtól?
Hangupolni nem tudom mert megváltoztathatta a hangup parancsot, egyébhez meg nemigen értek mert nem szoktam túl sűrűn ilyenekkel próbálkozni...
Szóval várom az ötleteket...
U.i. Esetleg nem tud valaki egy firewall servert?

TeTRiS

Köszi a pontos infót. Ebből sok minden kiderült. Például az, hogy évekkel ezelőtt én állítottam be az egyik IP tartomány címeit a felhasználók gépein. Kicsi a világ.

Az SNMP-re holnap elindítom a Network Monitort, majd meglátjuk az eredményt.

Viszlát csütörökön.

Win NT, 9x:

ping -a hostname

Win NT, Unix:

nslookup hostname

Akkor szépen sorjában. Kedves jeep, a

169.254.54.146 címről a látogatód: A www.nic.com who is szerint:

Internet Assigned Numbers Authority (IANA)
(NETBLK-LINKLOCAL)
For use with Link Local Networks
Information Sciences Institute
University of Southern California
4676 Admiralty Way, Suite 330
Marina del Rey, CA 90292-6695

Netname: LINKLOCAL
Netblock: 169.254.0.0 - 169.254.255.255

Coordinator:
Internet Assigned Numbers Authority (IANA-ARIN) iana@IANA.ORG
(310) 823-9358
Fax- (310) 823-8649

Domain System inverse mapping provided by:

BLACKHOLE.ISI.EDU 128.9.64.26

Record last updated on 14-Oct-1999.
Database last updated on 22-Feb-2000 05:26:51 EDT.

A másik látogatód, a 194.9.67.17 (szintén a www.nic.com szerint) egy szögedi betyár lehetett, tán csak nem a Ruzsa Sáándor.

inetnum: 194.9.67.0 - 194.9.67.255
netname: DIGITEL-2002
descr: Local Telecommunication Operator
descr: Digitel 2002 Rt.
country: HU
admin-c: JV270-RIPE
tech-c: AH314-RIPE
rev-srv: internet.digitel2002.hu
rev-srv: gauss.deltav.hu
status: ASSIGNED PI
notify: rtcs@mail.deltav.hu
notify: registry@banknet.net
changed: zsako@banknet.net 19990708
source: RIPE

route: 194.9.66.0/23
descr: CGSAT + Digitel-2002
origin: AS8696
mnt-by: MATEL-MNT
changed: zsako@banknet.net 19990211
source: RIPE

person: Janos Vidacs
address: Deltav LTD.
address: Rokusi krt. 2-10.
address: H-6724 Szeged
phone: +36 62 403853
fax-no: +36 62 468066
nic-hdl: JV270-RIPE
changed: simon@mail.matav.hu 19961017
source: RIPE

person: Attila Heidrich
address: DELTAV LTD. IP Operations Dept.
address: Rokusi krt. 2-10.
address: H-6724 Szeged
address: Hungary
phone: +36 62 563849
fax-no: +36 62 468066
e-mail: heidrich@mail.deltav.hu
nic-hdl: AH314-RIPE
changed: simon@mail.matav.hu 19961017
changed: heidrich@mail.deltav.hu 19991209
changed: heidrich@mail.deltav.hu 20000104
source: RIPE

jeeo, én azért nem lennék annyira nyugodt. Az SNMP az nem HTTP. Íme a W2KP helpjéből egy részlet. Valószínüleg rendben van minden nálatok, de az se biztos.

SNMP PROPERTIES
Agent properties
The simple network management protocol (SNMP) agent provides the related management system with information on activities that occur at the Internet Protocol (IP) network layer.

The SNMP service sends agent information in response to an SNMP request or in an SNMP trap message.

You can configure the following agent properties by using the Agent tab on the SNMP Service Properties dialog box:

Agent Service Select if this computer:
Physical Manages physical devices, such as a hard disk partition.
Applications Uses any applications that send data using the TCP/IP protocol suite. This service should always be enabled.
Datalink and Subnet Manages a bridge.
Internet Is an IP gateway (router).
End-to-end Is an IP host. This service should always be enabled.

You can also configure agent properties such as:

The name of the person to contact, such as the network administrator.

The location of the contact person.

For more information on how to configure SNMP agent properties, see To configure agent properties.

kivi, ki volt, az és mivel gondolt rád? www.nic.com, www.ripe.net who is database

vagy ha ő tényleg egy szerver, akkor ld a (141)-et.

Hogy lehet megtudni annak a szervernek a _nevét_ ahonnan az ajándékot kapom? Ha a xicmp-be írom az IP cimet, akkor ő egyből nyomja, hogy pl: m12-cegled.elender.hu Ezt hogy tudom másképp megtudni? (Mellesleg szép... megint egy házon belüli köcsög.)

Riadó lefújva. Megnéztem Network Monirral az Outlook forgalmát, és rájöttem, hogy a levél HTML formátumban van és a képek minden aktiváláskor frissülnek. Még a végén teljesen megferőztök ezzel a paranoiával.

Kedves Paranoia Guruk!

Nagyon köszönöm a sok értékes infót, amit a topicon olvastam. Fel is telepítettem az AtGuardot. Dolgozik rendesen. Mivel proxy mögött vagyok, elég kevés a külső látogató, íme néhány:
169.254.54.146,1030
194.9.67.17,1004

Viszont belülről sorra jönnek SNMP-k. De olyan mezei userek gépétől is, akik az Office-n és a GW-on kívül semmi mást nem használnak. Ha paranoiás lennék, akkor arra gyanakodnék, hogy bekaptak egy progit, amely belül scanneli a gépeket és az küldi kifelé az infót. Most már nem zavar, az AtGuard helyből kivágja az SNMP-t a szemétbe. De van ennél egy érdekesebb:

Rendszeresen kapok az mp3.com-ról reklámokat. Az AtGuardnak hála, észrevettem, hogy ha kiválasztom az ilyen leveleket, akkor mindjárt küld valamit HTTP protokollal. Vajon mi lehet ez? Sajnos proxy mögött vagyok, így nem látom, hogy hova akarja küldeni. Ha érdekel valakit a levél, szívesen küldök belőle egy másolatot.

Még egypár nadrágprolás és átáll a másik oldalra, hogy ő is porolhasson. Csak így tovább!

Kedves jeep, igazad van. De egy Ft-os labda volt. Az ilyen jellegű támadókat, mint az inkriminált kollégisták is lehetnek, szokták azonosítani a linukszos honvédő háborút vivó egyedekkel (Veled vagyunk Vietnam!).

A tanerő valószínüleg nem tehet a dologról, illetve dehogynem. Tán még ki is védte a tűzfalon az aljasságokat, és maradt a gyermekeknek az ftp.

Nem akarom őket megportszkennelni, mert minek, annyira nem izgat a dolog.

Csak eszembe jutott, hogy az egyik múltkori delikvens, aki nagylelkesen szkennelt, hány nyitott portot tartott a gépén. Tengerparti síkság - mit síkság - Sylt szigetén tud fújni így a szél.

Tudom-tudom, hogy ez még mindég jobb, mint ha a beretvával játszana, de lassan el kellene porolni valakinek a seggüket.

Azt mondják, hogy az Internet free. Én sem szeretem, ha a hatóságok közbeavatkoznak, amíg az nem válik szükségessé.

Az Internet a népi babonák szerint teljesen a törvények felett áll. Ennek megfelelően nem is kell szabályozni.

A másik oldal szerint persze ezt is, mint mindent, szabályozni kell.

Az én hevenyészett véleményem szerint, amely e kettő között áll, nem kell külön szabályozni, csak ha már nagyon muszáj.

Most még nem feszegetném a konkrét jogi elképzeléseimet, mert sokkal inkább a többiek véleményére vagyok kiváncsi.

Lényeg, a lényeg: az Internet egy eszköz, és nincsen benne semmi misztfikálni való.

Kérdés: ha van a kezemben egy noteszgép, az éppen akkumulátorról megy, és egy GSM modemmel éppen fent vagyok az Interneten, mondjuk egy olyan szájton, amivel nincsen Magyarorszgnak kiadatási egyezménye, és ezt a gépet bevágom abból a célból egy ablakon, hogy oda betörjek, akkor ez most egy internetes betörés volt? És ha igen, akkor ez az Internet miatt nem bűntethető?

Hadd védelmezzek meg még 'valakit':

'Egy rosszul felkonfugurált NT-ről azt mondják az okosok, hogy olyan, mint egy átjáróház':

Ez a kijelentés minden szerverre igaz. Ha valaki egy default konfigurálású szervert tesz az internetre, akkor meg is érdemli.

Hát bizony ezek a kölkök sok csúnya dolgot csinálnak. És meg is érdemlik az azonnali, drasztikus büntit. De nem szabad nagyon haragudni rájuk, hiszen a rablóból lesz a legjobb pandúr. Néhány év múlva elvész az ifjonti hév és ők fogják kergetni hasonló kitartásal a régi énjüket. Nem ez lesz az első meghasonlásuk önmagukkal.

De addig is: ne kegyelmezzetek Nekik!

Erre a levélre nem bírnak, vagy nem akarnak válszolni!

Tisztelt Helpdesk!

Tegnap 19óra 24 perc 18 mp.-kor a 3733-as porton, az alábbi támadás érte a gépemet, meg tudnák mondani, hogy ki volt?

Inbound TCP connection

Local address,service is (145.236.210.130,Backdoor-g-1)

Remote address,service is (145.236.170.11,3733)

Process name is "lockdown2000.ex"

inetnum: 145.236.0.0 - 145.236.255.255
netname: MATAV
descr: Hungarian Telecommunications Company Limited
descr: Budapest
country: HU
admin-c: TS2796-RIPE
tech-c: IOS2-RIPE
tech-c: BAT3-RIPE
tech-c: IC27-RIPE
rev-srv: ns0.matav.net
rev-srv: ns1.matav.net
rev-srv: ns.elender.hu
status: ALLOCATED PA

Sajnálattal közlöm, hogy annyiszor fogom elküldeni ezt a levelet, amíg választ nem kapok. Esetleg közkinccsé is tehetem!

Nos, akkor elkezdem az ellenségeimről lecibálni a leplet. Kezdjük talán a 6. hozzászólásommal.

kopasz indián válasz erre | adatok | e-mail 2000-02-05 23:21:49 (6)

Remote address,service is (193.224.74.55,ftp)
Process name is "IEXPLORE.EXE"

inetnum: 193.224.74.0 - 193.224.74.255
netname: UWH-BC
descr: Berzsenyi College
descr: Szombathely

Ez ugy a szo,nathelyi Berzsenyi Kollégium volt. Mit is tudunk róla?

Ha ellátogatunk egy teljesen hivatalos helyre, mint pl. a www.netwotk-tools.com-ra, akkor már sokmindent.

Először is, hogy milyen szoftvert üzemeltetnek:

HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: http://quad.bdtf.hu/Default.htm
Date: Tue, 22 Feb 2000 16:46:55 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Fri, 29 May 1998 20:07:50 GMT
ETag: "02f7f743d8bbd1:1b27"
Content-Length: 123

from 209.207.246.165 (network-tools.com) to 193.224.74.55 (quad.bdtf.hu)
-------------------------------------------------------------------------------- IP Time TTL Host-------------------------------------------------------------------------------- 1 207.226.170.1 0 121 fe0410.ca2.wdc.dn.net-------------------------------------------------------------------------------- 2 157.130.15.229 0 121 serial1-0-1.gw3.dca3.alter.net-------------------------------------------------------------------------------- 3 152.63.32.78 0 121 108.atm3-0.xr2.dca1.alter.net-------------------------------------------------------------------------------- 4 146.188.161.146 0 255 194.atm1-0.tr2.dca1.alter.net-------------------------------------------------------------------------------- 5 146.188.136.218 0 255 101.atm6-0.tr2.nyc1.alter.net-------------------------------------------------------------------------------- 6 146.188.179.37 0 255 198.atm7-0.xr2.nyc4.alter.net-------------------------------------------------------------------------------- 7 146.188.180.61 10 255 188.atm7-0.gw8.nyc4.alter.net-------------------------------------------------------------------------------- 8 157.130.14.74 10 255 dante-gw.customer.alter.net-------------------------------------------------------------------------------- 9 212.1.200.26 270 255 ten-155-us.vha.iif.hu-------------------------------------------------------------------------------- 10 212.1.200.26 * 255 Request timed out.-------------------------------------------------------------------------------- 11 212.1.200.26 * 0 Request timed out.-------------------------------------------------------------------------------- 12 193.224.74.55 331 117 quad.bdtf.hu

Most persze jól meg is pingeljük neki:

Reply from 193.224.74.55 bytes=32 time=310ms TTL=119
Request timed out.
Reply from 193.224.74.55 bytes=32 time=290ms TTL=119
Reply from 193.224.74.55 bytes=32 time=320ms TTL=119
Reply from 193.224.74.55 bytes=32 time=331ms TTL=119

A WWWHOIS

WHOIS command: whois.ripe.net bdtf.hu

% Rights restricted by copyright. See http://www.ripe.net/ripencc/pub-services/db/copyright.html

domain: bdtf.hu
descr: Berzsenyi College
descr: Berzsenyi Daniel Tanarkepzo Foiskola
admin-c: ID3-RIPE
tech-c: RK508-RIPE
zone-c: ID3-RIPE
nserver: rik.bdtf.hu
nserver: ns2.sztaki.hu
notify: hostmaster@nic.hu
notify: dns-admin@hungarnet.hu
changed: horvath@sztaki.hu 19940323
changed: krobert@rik.bdtf.hu 19980310
changed: hostmaster@nic.hu 19980918
source: RIPE

person: Imre Dugmanics
address: Berzsenyi College
address: Centre for Informatics
address: Karolyi G. ter 4.
address: H-9700 Szombathely
address: Hungary
phone: +36 94 313892 ext. 267
fax-no: +36 94 312248
e-mail: dimre@fs2.bdtf.hu
nic-hdl: ID3-RIPE
changed: horvath@sztaki.hu 19940323
changed: horvath@sztaki.hu 19950816
source: RIPE

person: Robert Kovacs
address: Savaria Internet Ltd.
address: Kiraly u. 12.
address: H-9700 Szombathely
address: Hungary
phone: +36 94 318955
phone: +36 30 370924
fax-no: +36 94 330149
e-mail: krobert@savaria.hu
nic-hdl: RK508-RIPE
changed: hostmaster@nic.hu 19970323
changed: krobert@savaria.hu 19980310
source: RIPE

ORBS Check:

ORBS Check:

193.224.74.55 is not in the automated open relay database

MAPS Check:

The IP address 193.224.74.55 does not appear on the RBL. If this is not similar to the address you typed in (193.224.74.55) please check your syntax. You must supply the full IP address of the host you are looking for. The RBL does not work on domain information in any way - only IP addresses are used.

DNS rekordok:

Reverse Lookup Result: quad.bdtf.hu.

Results for: quad.bdtf.hu

Note that the 'Server' and 'Address' values are the DNS server used to make the query. This has nothing to do with origin of junk e-mail. The MX records will show the mail server used by the domain in question

Server: ns.consumer-info.org
Address: 209.207.246.162

quad.bdtf.hu internet address = 193.224.74.55
bdtf.hu nameserver = rik.bdtf.hu
bdtf.hu nameserver = ns2.sztaki.hu
rik.bdtf.hu internet address = 193.224.74.1
ns2.sztaki.hu internet address = 193.225.86.1

-q=all quad.bdtf.hu ns.consumer-info.org
Results for: bdtf.hu

Note that the 'Server' and 'Address' values are the DNS server used to make the query. This has nothing to do with origin of junk e-mail. The MX records will show the mail server used by the domain in question

Server: ns.consumer-info.org
Address: 209.207.246.162

DNS request timed out.
timeout was 2 seconds.
bdtf.hu
primary name server = rik.bdtf.hu
responsible mail addr = root.rik.bdtf.hu
serial = 2000020902
refresh = 43200 (12 hours)
retry = 7200 (2 hours)
expire = 604800 (7 days)
default TTL = 86400 (1 day)
bdtf.hu nameserver = rik.bdtf.hu
bdtf.hu nameserver = ns2.sztaki.hu
bdtf.hu MX preference = 10, mail exchanger = rik.bdtf.hu
bdtf.hu nameserver = rik.bdtf.hu
bdtf.hu nameserver = ns2.sztaki.hu
rik.bdtf.hu internet address = 193.224.74.1
ns2.sztaki.hu internet address = 193.225.86.1

Most pedig csináljunk egy Network lookup-ot:

whois.arin.net 193.224.74.55

European Regional Internet Registry/RIPE NCC (NETBLK-RIPE)
These addresses have been further assigned to European users.
Contact information can be found in the RIPE database, via the
WHOIS and TELNET servers at whois.ripe.net, and at
http://www.ripe.net/db/whois.html

Netname: RIPE-CBLK
Netblock: 193.0.0.0 - 193.255.255.0
Maintainer: RIPE

Coordinator:
RIPE Network Coordination Centre (RIPE-NCC-ARIN) nicdb@RIPE.NET
+31 20 535 4444
Fax- - +31 20 535 4445

Domain System inverse mapping provided by:

NS.RIPE.NET 193.0.0.193
NS.EU.NET 192.16.202.11
AUTH03.NS.UU.NET 198.6.1.83
NS2.NIC.FR 192.93.0.4
SUNIC.SUNET.SE 192.36.148.18
MUNNARI.OZ.AU 128.250.1.21
NS.APNIC.NET 203.37.255.97

To search on arbitrary strings, see the Database page on
the RIPE NCC web-site at http://www.ripe.net/db/

Record last updated on 16-Oct-1998.
Database last updated on 22-Feb-2000 05:26:51 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and nic.mil for NIPRNET Information.

193.0.0.200 193.224.74.55

% Rights restricted by copyright. See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 193.224.74.0 - 193.224.74.255
netname: UWH-BC
descr: Berzsenyi College
descr: Szombathely
country: HU
admin-c: ID3-RIPE
tech-c: ID3-RIPE
status: ASSIGNED PI
remarks: hrcode=c486f3d15
changed: horvath@sztaki.hu 19940302
changed: horvath@sztaki.hu 19950816
changed: hostmaster@iif.hu 19961216
changed: hostmaster@iif.hu 19980430
source: RIPE

route: 193.224.0.0/15
descr: HBONE/HUNGARNET Block 02
origin: AS1955
hole: 193.224.1.0/24
hole: 193.224.2.0/23
hole: 193.224.4.0/22
hole: 193.224.8.0/21
hole: 193.224.16.0/21
hole: 193.224.24.0/23
hole: 193.224.26.0/24
hole: 193.224.32.0/22
hole: 193.224.36.0/23
hole: 193.224.42.0/24
hole: 193.224.44.0/24
hole: 193.224.45.0/24
hole: 193.224.47.0/24
hole: 193.224.58.0/24
hole: 193.224.59.0/24
hole: 193.224.61.0/24
hole: 193.224.85.0/24
hole: 193.224.86.0/23
hole: 193.224.88.0/22
hole: 193.224.92.0/24
hole: 193.224.93.0/24
hole: 193.224.94.0/24
hole: 193.224.95.0/24
hole: 193.224.107.0/24
hole: 193.224.108.0/23
hole: 193.224.111.0/24
hole: 193.224.112.0/21
hole: 193.224.132.0/24
hole: 193.224.136.0/24
hole: 193.224.140.0/24
hole: 193.224.152.0/22
hole: 193.224.168.0/21
hole: 193.224.176.0/24
hole: 193.224.177.0/24
hole: 193.224.181.0/24
hole: 193.224.182.0/24
hole: 193.224.192.0/24
hole: 193.224.200.0/22
hole: 193.224.204.0/23
hole: 193.224.216.0/24
hole: 193.224.218.0/24
hole: 193.224.221.0/24
hole: 193.224.224.0/21
hole: 193.224.235.0/24
hole: 193.224.236.0/24
hole: 193.224.237.0/24
hole: 193.224.247.0/24
hole: 193.224.248.0/22
hole: 193.224.252.0/22
hole: 193.225.9.0/24
hole: 193.225.14.0/24
hole: 193.225.27.0/24
hole: 193.225.40.0/21
hole: 193.225.49.0/24
hole: 193.225.72.0/21
hole: 193.225.96.0/21
hole: 193.225.104.0/23
hole: 193.225.106.0/23
hole: 193.225.115.0/24
hole: 193.225.129.0/24
hole: 193.225.130.0/24
hole: 193.225.131.0/24
hole: 193.225.140.0/24
hole: 193.225.141.0/24
hole: 193.225.142.0/23
hole: 193.225.152.0/22
hole: 193.225.156.0/23
hole: 193.225.162.0/23
hole: 193.225.164.0/24
hole: 193.225.165.0/24
hole: 193.225.166.0/24
hole: 193.225.168.0/23
hole: 193.225.170.0/24
hole: 193.225.174.0/24
hole: 193.225.178.0/24
hole: 193.225.193.0/24
mnt-by: AS1955-MNT
changed: net-admin@sztaki.hu 19950801
changed: net-admin@sztaki.hu 19980131
source: RIPE

person: Imre Dugmanics
address: Berzsenyi College
address: Centre for Informatics
address: Karolyi G. ter 4.
address: H-9700 Szombathely
address: Hungary
phone: +36 94 313892 ext. 267
fax-no: +36 94 312248
e-mail: dimre@fs2.bdtf.hu
nic-hdl: ID3-RIPE
changed: horvath@sztaki.hu 19940323
changed: horvath@sztaki.hu 19950816
source: RIPE

Például ezt: "Server: Microsoft-IIS/4.0"

Na meg ezt is: "Last-Modified: Fri, 29 May 1998 20:07:50 GMT"
Csak bízni tudunk abban, hogy Dugmanics Imre úr gondosan átvezettett minden javítást, amit a Microsoft kiadott. Egy rosszul felkonfugurált NT-ről azt mondják az okosok, hogy olyan, mint egy átjáróház.

De mi szerencsére itt nem hekkelni gyűltünk össze, az egy másik topik.

kivi, általában nincs értelme. Ha elsőre kitiltod az ürgét az adott IP címről és adott portról, az elég szokott lenni. Ha nagyon makacs, akkor tiltsad ki az IP címét. Ekkor már csak röhögni lehet rajta (feltéve, ha az összes kotont felhúztad). Kipróbáltuk Ló Heringgel. A támadónak ekkor akkora a hatása, mint a szúnyognak a szúnyogháló másik oldalán. Züm-züm.

Laa-Yosh, ez spanyolos volt (ollé!). Nekem is az a véleményem, hogy szarházi kölkekről van szó, akiknek valaki kiporolhatná azt, amin a maci is ült.

El kell árulnom, hogy olvasnak minket (a szolgáltatók is). De a megközelítés olyan, mint amit Wlad is leírt. Bár nem kell aggódni, a kiásás mellett máson is dolgozunk. A tüzek égnek, természetesen hadiösvényre léptünk.

Lényeg a lényeg, még március 1. előtt kell valamit tenni (BTK módosítás). Mit mondjak? Teszve lesz (és reméljük - most trágár leszek - toszva is lesz).

No, lehet hogy butaságot kérdezek, de hát nem ez az első eset! :)))
Szóval, az a megoldás működne, ha valamilyen tapló küld nekem csomagot, akkor én lescannelem a portjait, és ha van nyitott port, akkor oda küldök egy kis meglepit? Vagy ezzel lealacsonyodok az ő szintjére?

Ollé, floodolni fogok (előre is sorry).
Szóval, vasárnap este az a gondolatom támadt, hogy megnézem, mennyire is jó ez az AtGuard (azóta már feladtam az ilyen ötleteket). Egy ismerősömnek nemrégiben továbbítottam az AtGuard-ot, és ő emlegette, hogy az IRC tényleg mókás egy hely, így hát benéztem a #magyar néven alighanem közismertségnek örvendő csatornára.
Nosza jött is az áldás, ha jól számoltam 18 különböző portra mindenféle dolog. Hogy biztos legyek dolgomban, kiléptem majd visszaléptem a channel-re, és újra jöttek a szeretetcsomagok.
Elkövetőjüket sikerült is lenyomozni, „doki” néven csücsült 4-5 csatin (ez már eleve amatör dolog, ha jól tudom). A jelek szerint valamiféle scriptet eresztett rá _minden egyes személye_, aki csak bekukkantott a #magyarra, tehát az az 50-100 ember aki oda benézett, az mind meg lett szórva...
Doki mestert kérdőre is vontam, hogy mi is ez, de ignorált. Fentebb említett ismerősöm viszont (aki szintén kapott az áldásból) megpróbált rá visszalőni ezzel-azzal, amivel kb. fél megányi összesített logot provokált ki magának.
Doki datanetes accountról volt bent (és éjfél után valamivel ping timeout áldozata lett; a jelek szerint egy nálunk hozzáértőbb user-rel is kekeckedni kezdett, netán haverom lelt valami hatékony eszközt). Amit nem tud, hogy a haveromnak akad ismerőse a Datanetnél, és a logok felhasználhatóak lesznek ellene. Ha netán lopott account volt, akkor még nagyobb lesz a baja...
A másik tapasztalat meg az, hogy doki a beidézett társalgás szerint igen alpári káromkodásokkal reagálta le az ismerősömet. Nem tudom, de nektek is az a gyanútok, hogy a hazai portszken-bajnokok nagy része ráérő tizenéves?
Na mindegy, további hasznosításra itt az én logom, a másik srácét meg talán feltöltöm majd valahova (300K a log file, amit elküldött nekem, tömörítve viszont csak 10).

Firewall Event Log
2/20/00 20:38:33.270 The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,2336)
Process name is "N/A"
2/20/00 20:38:33.220 Interactive learning mode is enabled
2/20/00 20:38:33.220 Firewall is enabled. It has successfully processed a total of 34 rules
2/20/00 20:38:23.312 The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,1807)
Remote address,service is (195.56.250.37,2335)
Process name is "N/A"
2/20/00 20:38:23.282 Interactive learning mode is enabled
2/20/00 20:38:23.282 Firewall is enabled. It has successfully processed a total of 33 rules
2/20/00 20:38:15.848 The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,6969)
Remote address,service is (195.56.250.37,2332)
Process name is "N/A"
2/20/00 20:38:15.813 Interactive learning mode is enabled
2/20/00 20:38:15.813 Firewall is enabled. It has successfully processed a total of 32 rules
2/20/00 20:38:05.809 The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,1015)
Remote address,service is (195.56.250.37,2331)
Process name is "N/A"
2/20/00 20:38:05.779 Interactive learning mode is enabled
2/20/00 20:38:05.779 Firewall is enabled. It has successfully processed a total of 31 rules
2/20/00 20:37:59.215 The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,6671)
Remote address,service is (195.56.250.37,2330)
Process name is "N/A"
2/20/00 20:37:59.185 Interactive learning mode is enabled
2/20/00 20:37:59.185 Firewall is enabled. It has successfully processed a total of 30 rules
2/20/00 20:37:56.766 Rule "Implicit block rule" blocked (test2,6671). Details:
Inbound TCP connection
Local address,service is (test2,6671)
Remote address,service is (195.56.250.37,2330)
Process name is "N/A"
2/20/00 20:37:56.736 Rule "Default Block NetBus" blocked (test2,NetBus-2). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-2)
Remote address,service is (195.56.250.37,2333)
Process name is "N/A"
2/20/00 20:37:56.736 Rule "Implicit block rule" blocked (test2,6969). Details:
Inbound TCP connection
Local address,service is (test2,6969)
Remote address,service is (195.56.250.37,2332)
Process name is "N/A"
2/20/00 20:37:56.731 Rule "Implicit block rule" blocked (test2,1015). Details:
Inbound TCP connection
Local address,service is (test2,1015)
Remote address,service is (195.56.250.37,2331)
Process name is "N/A"
2/20/00 20:37:56.726 Rule "Default Block NetBus" blocked (test2,NetBus-Pro). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-Pro)
Remote address,service is (195.56.250.37,2334)
Process name is "N/A"
2/20/00 20:37:56.711 Rule "Implicit block rule" blocked (test2,1807). Details:
Inbound TCP connection
Local address,service is (test2,1807)
Remote address,service is (195.56.250.37,2335)
Process name is "N/A"
2/20/00 20:37:56.706 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,2337)
Process name is "N/A"
2/20/00 20:37:56.696 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,2336)
Process name is "N/A"
2/20/00 20:37:50.566 Rule "Implicit block rule" blocked (test2,6671). Details:
Inbound TCP connection
Local address,service is (test2,6671)
Remote address,service is (195.56.250.37,2330)
Process name is "N/A"
2/20/00 20:37:50.561 Rule "Default Block NetBus" blocked (test2,NetBus-2). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-2)
Remote address,service is (195.56.250.37,2333)
Process name is "N/A"
2/20/00 20:37:50.556 Rule "Implicit block rule" blocked (test2,6969). Details:
Inbound TCP connection
Local address,service is (test2,6969)
Remote address,service is (195.56.250.37,2332)
Process name is "N/A"
2/20/00 20:37:50.546 Rule "Implicit block rule" blocked (test2,1015). Details:
Inbound TCP connection
Local address,service is (test2,1015)
Remote address,service is (195.56.250.37,2331)
Process name is "N/A"
2/20/00 20:37:50.536 Rule "Default Block NetBus" blocked (test2,NetBus-Pro). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-Pro)
Remote address,service is (195.56.250.37,2334)
Process name is "N/A"
2/20/00 20:37:50.531 Rule "Implicit block rule" blocked (test2,1807). Details:
Inbound TCP connection
Local address,service is (test2,1807)
Remote address,service is (195.56.250.37,2335)
Process name is "N/A"
2/20/00 20:37:50.516 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,2337)
Process name is "N/A"
2/20/00 20:37:50.501 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,2336)
Process name is "N/A"
2/20/00 20:37:47.462 Rule "Default Block NetBus" blocked (test2,NetBus-Pro). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-Pro)
Remote address,service is (195.56.250.37,2334)
Process name is "N/A"
2/20/00 20:37:47.457 Rule "Default Block NetBus" blocked (test2,NetBus-2). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-2)
Remote address,service is (195.56.250.37,2333)
Process name is "N/A"
2/20/00 20:31:14.226 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.8.32.226,2916)
Process name is "N/A"
2/20/00 20:31:13.631 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,1583)
Process name is "N/A"
2/20/00 20:31:13.071 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,1582)
Process name is "N/A"
2/20/00 20:31:12.557 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,1807)
Remote address,service is (195.56.250.37,1581)
Process name is "N/A"
2/20/00 20:31:11.987 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,6969)
Remote address,service is (195.56.250.37,1578)
Process name is "N/A"
2/20/00 20:31:11.272 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,1015)
Remote address,service is (195.56.250.37,1577)
Process name is "N/A"
2/20/00 20:31:09.717 This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (test2,6671)
Remote address,service is (195.56.250.37,1576)
Process name is "N/A"
2/20/00 20:31:07.452 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,1583)
Process name is "N/A"
2/20/00 20:31:07.447 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,1582)
Process name is "N/A"
2/20/00 20:31:07.442 Rule "Implicit block rule" blocked (test2,6671). Details:
Inbound TCP connection
Local address,service is (test2,6671)
Remote address,service is (195.56.250.37,1576)
Process name is "N/A"
2/20/00 20:31:07.437 Rule "Default Block NetBus" blocked (test2,NetBus-2). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-2)
Remote address,service is (195.56.250.37,1579)
Process name is "N/A"
2/20/00 20:31:07.427 Rule "Implicit block rule" blocked (test2,6969). Details:
Inbound TCP connection
Local address,service is (test2,6969)
Remote address,service is (195.56.250.37,1578)
Process name is "N/A"
2/20/00 20:31:07.417 Rule "Implicit block rule" blocked (test2,1015). Details:
Inbound TCP connection
Local address,service is (test2,1015)
Remote address,service is (195.56.250.37,1577)
Process name is "N/A"
2/20/00 20:31:07.407 Rule "Default Block NetBus" blocked (test2,NetBus-Pro). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-Pro)
Remote address,service is (195.56.250.37,1580)
Process name is "N/A"
2/20/00 20:31:07.347 Rule "Implicit block rule" blocked (test2,1807). Details:
Inbound TCP connection
Local address,service is (test2,1807)
Remote address,service is (195.56.250.37,1581)
Process name is "N/A"
2/20/00 20:31:03.813 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.8.32.226,2916)
Process name is "N/A"
2/20/00 20:31:01.408 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,1583)
Process name is "N/A"
2/20/00 20:31:01.403 Rule "Implicit block rule" blocked (test2,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (test2,Backdoor-g-1)
Remote address,service is (195.56.250.37,1582)
Process name is "N/A"
2/20/00 20:31:01.398 Rule "Implicit block rule" blocked (test2,6671). Details:
Inbound TCP connection
Local address,service is (test2,6671)
Remote address,service is (195.56.250.37,1576)
Process name is "N/A"
2/20/00 20:31:01.388 Rule "Default Block NetBus" blocked (test2,NetBus-2). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-2)
Remote address,service is (195.56.250.37,1579)
Process name is "N/A"
2/20/00 20:31:01.383 Rule "Implicit block rule" blocked (test2,6969). Details:
Inbound TCP connection
Local address,service is (test2,6969)
Remote address,service is (195.56.250.37,1578)
Process name is "N/A"
2/20/00 20:31:01.378 Rule "Implicit block rule" blocked (test2,1015). Details:
Inbound TCP connection
Local address,service is (test2,1015)
Remote address,service is (195.56.250.37,1577)
Process name is "N/A"
2/20/00 20:31:01.368 Rule "Default Block NetBus" blocked (test2,NetBus-Pro). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-Pro)
Remote address,service is (195.56.250.37,1580)
Process name is "N/A"
2/20/00 20:31:01.358 Rule "Implicit block rule" blocked (test2,1807). Details:
Inbound TCP connection
Local address,service is (test2,1807)
Remote address,service is (195.56.250.37,1581)
Process name is "N/A"
2/20/00 20:30:58.459 Rule "Default Block NetBus" blocked (test2,NetBus-Pro). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-Pro)
Remote address,service is (195.56.250.37,1580)
Process name is "N/A"
2/20/00 20:30:58.454 Rule "Default Block NetBus" blocked (test2,NetBus-2). Details:
Inbound TCP connection
Local address,service is (test2,NetBus-2)
Remote address,service is (195.56.250.37,1579)

Rule "Implicit block rule" blocked (kopoo,Backdoor-g-1). Details:
Inbound TCP connection
Local address,service is (kopoo,Backdoor-g-1)
Remote address,service is (195.56.251.136,1138)
Process name is "N/A"

inetnum: 195.56.250.0 - 195.56.251.255
netname: DATANET-HU-ACCESS-BP-2
descr: org_unit_en: DataNet Telecommunications Ltd.
descr: org_unit_hu: DataNet Tavkozlesi Kft.
descr: Budapest
country: HU

Köszönöm, rézbőrű testvéreim!
Most épp a Ripe Whois Database-t nézegetem, és fenem a skalpolókést.

( Elég érdekes dolgokat láttam itt: http://www.netrus.net/users/beard/files/exploit!/ )

Uff. :)

Az egy élenderes sápadtarcú volt. Kínzócölöpre vele!

Bocs, hogy kíváncsiskodok, de tudatlan vagyok.
Ez mi volt? Megint jöttek, kopogtattak, vagy olyat is tiltottam, amit nem kellett volna?

Rule "Default Inbound NetBIOS" blocked (alpha,nbname). Details:
Inbound UDP packet
Local address,service is (alpha,nbname)
Remote address,service is (212.108.217.21,nbname)
Process name is "C:\WINDOWS\SYSTEM\RNAAPP.EXE"