Gyere ide, ha szerinted a PC-dnek valami olyan baja van, ami vírus, trójai, akármi miatt lehet, vagy ilyesmire gyanakszol.
De először nézz ide: www.wigwam.info -csináld meg ott a féregirtást, és ha még mindig baj van, akkor itt valaki segít, ha tud.
Engem ez a topic döbbentett rá, hogy ezek szerint az ilyen gárdisták meg tűzfalak ma már az egyszeri háztartásban is ugyanolyan fontosak lehetnek, mint mondjuk egy vírusölő. Még nem sok időm volt ezzel foglalkozni, de egy régebbi ajándék CD-n találtam egy AtGuard 3.10-et, azt felraktam és figyelek. Nem mindenről tudom, hogy micsoda, de igyekszem fejlődni. Ha úgy érzem, hogy találtam valamit, jelentkezem, és érdekelnek a további fejlemények!
A demonstráción ímhol túlvagyunk. Az üdvözülés igaz útja az lenne, ha rendes statisztikát tudnánk csinálni. Mivel ez egy képernyői újság, és mint olyan, nyílvános, csak a lényegre szorítkozom, ha valakit érdekel, és helyzetben van, mint Qberci kolléga, akkor a folytatást mélben mondanám.
A mi kis társaságunk által összegyűjtött netterrrosista IP címlista reprezentatív mintának jó. Minden bizonnyal több olyan tasztaltárs is van, aki tűzfalat üzemeltet.
Javaslat: Több (sok, minél több) logot kellene összeereszteni, és statisztikázni.
Ha pedig elegendően sok adat van már, akkor azzal kiállhatunk a nyilvánosság elé. A gyanúm szerint igen érdekes eredmény jönne ki. Utalnék a tegnapi Clinton bejelentésre (itt van valahol az Indexen).
A kapott ereményekkel kapcsolatos szándékokat csak zárt körben gondolnám első lépésben megbeszélni. Écák vannak.
Nos hetfol visszakapcsolatak a Datanetet. A gond amit leirtam, a nulla
forintos szamlamat mar harmadik honapja nem fizettem be es rendnek kellett
lennie. Magyarul a hivatal buta. Es ami sajnalatos hetvegen nincsen
illetekes, aki ezeket a dolgokat egy telefonnal helyrehozhatja.
Kulonben a hivatanal tartva: a Vamhivatal a Verseny utcaban remekelt. 30
ezer forintnyi afat es egyebet akart fizettetni egy demo szofver utan -
idokorlatos - de ezt sem ette, merthat nem volt hozza szamla. Igy vissza
kellett kuldeni a feladonak.
Eljen es viragozzek a hatalmi nagyravagyas, a stupidsag es a rosszul
szervezett szervezetek csaladja. Ja az Elender ugyfelszolgalata pedig
vasarnap nem hajlando foglalkozni a feltoro kisiparosokkal. Tessek tessek.
Vasanap tessek mukodni. AKkor szabad a palya.
2000. 02. 15. 10:57:30.720 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet Local address,service is (dili,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 10:57:30.720 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet Local address,service is (dili,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 10:57:30.720 Rule "Generic Host Process for Win32 Services" blocked (dili,efs) ; Details: Outbound UDP packet Local address,service is (dili,efs) ; Remote address,service is (dili,efs) ; Process name is "svchost.exe"
2000. 02. 15. 10:57:30.720 Rule "Generic Host Process for Win32 Services" blocked (dili,efs) ; Details: Outbound UDP packet Local address,service is (dili,efs) ; Remote address,service is (dili,efs) ; Process name is "svchost.exe"
2000. 02. 15. 11:14:28.583 Rule "Default Block Back Orifice 2000" blocked (dili,Back-Orifice) ; Details: Inbound UDP packet Local address,service is (dili,Back-Orifice) ; Remote address,service is (195.199.6.125,3115) ; Process name is "N/A"
2000. 02. 15. 11:35:26.642 Rule "Default Block Back Orifice 2000" blocked (dili,Back-Orifice) ; Details: Inbound UDP packet Local address,service is (dili,Back-Orifice) ; Remote address,service is (195.199.6.125,1899) ; Process name is "N/A"
2000. 02. 15. 12:44:51.521 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet Local address,service is (195.56.1.234,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 12:44:51.521 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet Local address,service is (195.56.1.234,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 12:44:51.521 Rule "Generic Host Process for Win32 Services" blocked (195.56.1.234,efs) ; Details: Outbound UDP packet Local address,service is (195.56.1.234,efs) ; Remote address,service is (195.56.1.234,efs) ; Process name is "svchost.exe"
2000. 02. 15. 12:44:51.521 Rule "Generic Host Process for Win32 Services" blocked (195.56.1.234,efs) ; Details: Outbound UDP packet Local address,service is (195.56.1.234,efs) ; Remote address,service is (195.56.1.234,efs) ; Process name is "svchost.exe"
2000. 02. 15. 12:56:07.313 Rule "Default Block Back Orifice 2000" blocked (195.56.1.234,Back-Orifice) Details: Inbound UDP packet Local address,service is (195.56.1.234,Back-Orifice) ; Remote address,service is (195.199.6.125,2347) ; Process name is "N/A"
2000. 02. 15. 13:35:22.550 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet Local address,service is (195.56.250.233,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 13:35:22.550 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet Local address,service is (195.56.250.233,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 13:35:22.550 Rule "Generic Host Process for Win32 Services" blocked (195.56.250.233,efs) ; Details: Outbound UDP packet Local address,service is (195.56.250.233,efs) ; Remote address,service is (195.56.250.233,efs) ; Process name is "svchost.exe"
2000. 02. 15. 13:35:22.550 Rule "Generic Host Process for Win32 Services" blocked (195.56.250.233,efs) ; Details: Outbound UDP packet Local address,service is (195.56.250.233,efs) ; Remote address,service is (195.56.250.233,efs) ; Process name is "svchost.exe"
2000. 02. 15. 13:42:31.066 Rule "Default Block Back Orifice 2000" blocked (195.56.250.233,Back-Orifice) Details: Inbound UDP packet Local address,service is (195.56.250.233,Back-Orifice) ; Remote address,service is (195.199.6.125,3519) ; Process name is "N/A"
2000. 02. 15. 14:03:02.466 Rule "Default Block Back Orifice 2000" blocked (195.56.250.233,Back-Orifice) ; Details: Inbound UDP packet ; Local address,service is (195.56.250.233,Back-Orifice) ; Remote address,service is (195.199.6.125,2810) Process name is "N/A"
2000. 02. 15. 14:22:27.061 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet ; Local address,service is (195.56.250.139,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 14:22:27.061 Rule "Generic Host Process for Win32 Services" blocked (224.0.0.9,efs) ; Details: Outbound UDP packet ; Local address,service is (195.56.250.139,efs) ; Remote address,service is (224.0.0.9,efs) ; Process name is "svchost.exe"
2000. 02. 15. 14:22:27.061 Rule "Generic Host Process for Win32 Services" blocked (195.56.250.139,efs) ; Details: Outbound UDP packet ; Local address,service is (195.56.250.139,efs) ; Remote address,service is (195.56.250.139,efs) ; Process name is "svchost.exe"
2000. 02. 15. 14:22:27.061 Rule "Generic Host Process for Win32 Services" blocked (195.56.250.139,efs) ; Details: Outbound UDP packet ; Local address,service is (195.56.250.139,efs) ; Remote address,service is (195.56.250.139,efs) ; Process name is "svchost.exe"
2000. 02. 15. 21:22:12.603 Rule "Default Block Back Orifice 2000" blocked (195.56.2.84,Back-Orifice) ; Details: Inbound UDP packet Local address,service is (195.56.2.84,Back-Orifice) ; Remote address,service is (195.199.6.125,4818) Process name is"N/A"
Inbound TCP connection ; Local address,service is (195.56.2.84,Backdoor-g-1) ; Remote address,service is (195.56.4.110,1382) ; Process name is "main.exe" Local address (195.56.2.84) ; Remote address is (212.108.203.20) ; Message type is "Echo Request"
Ezt fogtam:
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xx.xx.xx.xx,6670)
Remote address,service is (212.108.210.74,2308)
Process name is "N/A"
inetnum: 212.108.192.0 - 212.108.217.255
netname: ELENDER
descr: Elender Ltd.
descr: Budapest
country: HU
admin-c: JK81-RIPE
tech-c: EH847-RIPE
status: ASSIGNED PA
changed: hostmaster@elender.hu 19990723
source: RIPE
Találtam valamit a settingsben.
Valamikor jól kitiltottam.
209.207.228.48-ről http-vel akartak bejönni. A program az Inetinfo. Semmit sem akartam tőlük. Ki a fene az a cég?
digitalNation Internet Services (NETBLK-DN-CIDR2)
5515 Cherokee Ave
Alexandria, VA 22312
* Rwhois reassignment information for this block is available at:
rwhois.dn.net 4321
Record last updated on 01-Apr-1999.
Database last updated on 15-Feb-2000 06:17:44 EDT.
The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and nic.mil for NIPRNET Information.
Laa-Yosh, szerintem ez alapos munka volt. Most inkább csak a netet borzolom, de nem az idegeket. A többit Neked mailben, ha van valami.
Lassan gondolkodni kell valami díj kiírásán. Mint a horgászversenyen. Ki mit fog, melyik állat hány pont, fix IP cím - dial-in, stb. Javaslatokat kérek.
kivi, neked este írok, mert most csak benéztem (a gazdi gonodskodása hízlalja a topikot).
person: Zsuzsa Dancs
address: 'Vasarhelyi Pal' Secondary School of Commerce
address: Vasarhelyi Pal Kereskedelmi Szakkozepiskola
address: Szechenyi utca 95.
address: H-1212 Budapest
address: Hungary
phone: +36 1 2760901
nic-hdl: ZD26-RIPE
changed: hostmaster@elender.hu 19971202
source: RIPE
person: Zoltan Szalai
address: 'Vasarhelyi Pal' Secondary School of Commerce
address: Vasarhelyi Pal Kereskedelmi Szakkozepiskola
address: Szechenyi utca 95.
address: H-1212 Budapest
address: Hungary
phone: +36 1 2760901
nic-hdl: ZS98-RIPE
changed: hostmaster@elender.hu 19971202
source: RIPE
------------------------------
A ténykedése az ami korrekt:
00:41:25
Rule "Default Block Back Orifice 2000" blocked (test2,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (test2,Back-Orifice)
Remote address,service is (195.199.6.125,4698)
00:38:27
Rule "Default Block Back Orifice 2000" blocked (test2,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (test2,Back-Orifice)
Remote address,service is (195.199.6.125,1705)
Process name is "N/A"
00:19:49
Rule "Default Block Back Orifice 2000" blocked (test2,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (test2,Back-Orifice)
Remote address,service is (195.199.6.125,3041)
Process name is "N/A"
00:01:26
Rule "Default Block Back Orifice 2000" blocked (test2,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (test2,Back-Orifice)
Remote address,service is (195.199.6.125,socks)
Process name is "N/A"
23:46:20
Rule "Default Block Back Orifice 2000" blocked (test2,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (test2,Back-Orifice)
Remote address,service is (195.199.6.125,3097)
Process name is "N/A"
23:25:51
Rule "Default Block Back Orifice 2000" blocked (test2,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (test2,Back-Orifice)
Remote address,service is (195.199.6.125,1834)
Process name is "N/A"
....
És így tovább, volt még vagy 9 próbálkozása este tíz óta...
Bónusz poén, hogy éjféltájban 3mb-os packeteket kapott, a fél #quake.hu rajta poénkodott ugyanis... de erre fel se vette észre magát.
Azt nem értem, miből gondolja, hogy ha elsőre nem jött be, akkor másodikra be fog jönni?
Éppen ez az, hogy logikus TECHNIKA a dolog lényege! Ezért dobom el az agyamat. Nem vagyok 1.0 user, de nem értem miért nem úgy műxik, ahogy elvárom tőle.
Kuki:
Le van tiltva az index.hu domain is és a median.hu is. Az index olvasása közben erről a két helyről jönnek a kukik. Ennek ellenére, ha a browserben be van kapcsolva a kuki, akkor minden indexes kukira rákérdez. Pedig _minden_ kuki blokkolva van.
A Nagy MoneyToo adjon Néked hosszú életet és szakállat, sok dögös feleséget kevés anyóssal, Bölcs Indián Testvérem!!!!
Lehet, hogy az én wigwamomban is szükség lenne ilyesmire?! ;-)))))))) Tegnapelőtt éjjel, mikor lógtam ugyan a NET-en, de semmit nem csináltam, néha megzörrent a vinyóm, illetve be-kimenő adatforgalmam volt. Én hardware szinten megoldottam akkor a problémát: kihúztam a zsinórt, mert dühös lettem....
A Ripe adatbázisa szerint ez a Matávnet címtartományába esik. Ez lehet bérelt vonalas is, de az kevéssé valószínű, sokkal inkább dial-up. Ekkor dinamikus az IP cím kiosztás.
Most már tudjuk, honnan nyomul. Mivel nem akartunk tőle semmit, szért csak rossz szándéka lehet, tehát letiltjuk.
Local address,service is (dili,10110)
Remote address,service is (145.236.208.191,1548)
Process name is "N/A"
Volt már olyan az Indexen, amikor egy ismeretlen url-re is tiltást rendeltem, pedig csak valaki beszerkesztette egy topikba.
Kétes esetben inkább meg kell nézni az oldalt forrásban (view source), és ha ott szerepelt, akkor még kitörölhetem a tiltó szabályt, majd reload, ellenkező esetben már be is tolták a falovat az udvarba.
Setting/web. Menj rá arra az oldalra, amelyet regulázni akarsz. Mondjuk az enyémben: "beres.hu". Ekkor a jobboldalon megjelenik a "Use these rules for beres.hu" szöveg. Innen kezdve olyan már mint a totó szelvény.
Laa-Yosh - én nem IRC-zek, és általában minden olyat tiltok, amin keresztül be lehet menni a gépbe.
Bizony, volt valami a gépedben. Azt akartam javasolni, hogy tegyed el az ATGUARD könyvtárat (átnevezés pl.), mert szerintem azok az adatok, amelyek a gépedben voltak (vagy vannak még? bőven elegendőek egy alapos feljelentésre.
Megoldás. Clean gép, vagy legalábbis az IRC kerülése. Feltenni az átnevezés után újra az ATGUARD-ot, és minden dolgot kézzel engedélyezni, minden domaint, minden http-t, stb.
Egy ilyen géppel lerántani egy Netshieldet (www.nai.com), mert az menet közben is észleli a gazembereket. Ha már promiszkuitélsz, akkor óvszer is kell.
Azután kell megpróbálni megint.
Ha megvan az elszállás előtti atguard logod, akkor - amennyiben feljelentést akarsz tenni, mélben jelezzed.
kivi, azok a defaultok azért kellenek, hogy a LAN menjen. Nekem itthon már akkor is ordít a tűzfal, ha a gyerek bejelentkezik a gépébe.
Log. Az ernyő tetején van a dashboard. Jobb egérgomb, Event log. Amire ráállsz, azt alulra kifejti, onnan ki lehet másolni.
Az én bejegyzéseimben a dili a szerver neve.
A következő sor, pl.: 145.236.208,191 az IP cím, a 1548 pedig a port.
zitbag kedvéért: a netbus, backdoor, stb, már a károkozó program. De jelentkezhet mindenféle más formában is.
A gyaloglós példa. Hiába van Netbus a gépedben, ha azt nem aktivizálják, akkor nem megy. Nekem is van, mert műgyüjtöttem őket, és nem kívülről kaptam.
A víruskereső sok mindent megtalál. Gyártottam nektek egy példát, ime a log:
Tehát, ha valaki rendszeresen nézi a gépét, akkor meg lehet találni.
Az IRC-hez nem értek, de annyi információm van róla, hogy azon keresztül simén be lehet kapni egyet. Ha pedig a gépedben van, akkor csak a reigstrydet kell átírni, majd egy reboot kell. Onnantól kezdve már nagyon virgonc tud lenni, feltéve, ha egy valamilyen shield pofán nem vágja. Ez így remélem világosabb volt.
kivi, nagyon szép a fogási eredménynaplód. Ezek szerint a tűzfal ellátja a feladatát. De nem reméljed, hogy ezzel minden rendben van. Javaslom, hogy session végén nézzed át a setting részt, és amiben nem vagy egészen biztos, azt inkább gyorsan tiltsad le, vagy mégjobb, töröljed ki.
Igen kb. ennyi a választék. A kis hülyék játszadoznak. Mennyivel kényelmesebb ilyen hidegben ez az olcsó játék, mint pl. vonatot dobálni kővel.
kivi, A NETBUST, és a BO-t NEHOGY ENGEDÉLYEZZED! Akkor bemegy.
Általában: mivel nem szolgáltatók vagytok, ezért már a pingelésre is szabad idegesnek lenni, ugyanis pingelje az ürge azt, ami vele egyidős.
Az agyam eldobom... áruld el, hogy a kukikat hogy regulázod meg? Settings/web/privacy -ban default le vannak tiltva. Ennek ellenére, ha a browserben engedélyezem, akkor rákérdez az AtGuard. Megmondom neki, hogy erről a domainról minden kukit blokkoljon. Ezután ugyaerről a domainről kérdez még egyet, még egyet, stb... Mintha nem lenne hatással a tűzfal a kukikra.
Rule "Default Block NetBus" blocked (Valami IP cim,NetBus). Details:
Inbound TCP connection
Local address,service is (Valami IP cim,NetBus)
Remote address,service is (Valami IP cim,1327)
Process name is "N/A"
Full lamerkenet pontosan mit jelent ez az egesz.........
Koszi segitseget
Nos, ma ezeket fogtam. Kopasz kolléga hogy értékeli ezeket az eseteket? (Az xxxxxx helyén természetesen a gépem neve volt.)
20h47
Rule "Default Block Back Orifice 2000" blocked (xxxxxx,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (xxxxxx,Back-Orifice)
Remote address,service is (212.108.212.5,1113)
Process name is "N/A"
20h49
Rule "Default Block Back Orifice 2000" blocked (xxxxxx,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (xxxxxx,Back-Orifice)
Remote address,service is (212.108.212.5,1115)
Process name is "N/A"
20h53
Rule "Default Block NetBus" blocked (xxxxxx,NetBus). Details:
Inbound TCP connection
Local address,service is (xxxxxx,NetBus)
Remote address,service is (145.236.216.72,1909)
Process name is "N/A"
20h53
Rule "Implicit block rule" blocked (xxxxxx,27374). Details:
Inbound TCP connection
Local address,service is (xxxxxx,27374)
Remote address,service is (145.236.216.72,2165)
Process name is "N/A"
20h53
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,27374)
Remote address,service is (145.236.216.72,2165)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6400)
Remote address,service is (145.236.209.159,4958)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,Backdoor-g-1)
Remote address,service is (145.236.209.159,1238)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6670)
Remote address,service is (145.236.209.159,1492)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6969)
Remote address,service is (145.236.209.159,1746)
Process name is "N/A"
Na.
Az=ta egy kedves ]riember, Ariel segítségével kielemeztünk ezt-azt...
Volt egy netbus fent, ha minden igez. Mikor jött be, nemtom.
Az ip-k vegyesen voltak ad serverek, meg a freemail-t nézte az outlook ;)
Volt közbe még egy lefagyás, és újrainstalláltam az ATGuardot.
Egyelőre ennyi, most figyelek...
Mehet eccere két firewall? :)
Ez a srác -IRC-en keresztül mindenkit Netbusol, aki beleép egy csatira:
DWAway is ~karpati@line-210-71.dial.matav.net * Deathwing Zolee
DWAway on #amigahu +#cg #assassins.hu
DWAway using irc.extra.hu EXTRA
DWAway has been idle 4mins 47secs
DWAway End of /WHOIS list.
Ezt többször is szóvá tettem neki, tagadta.
Ma (kb. 10 perce) közöltem vele, hogy ki fogom rakni ide az IP-jét. Erre fenyegetőzni kezdett, a gépem pedig furcsa dolgokat kezdet csinálni:
- 1 másodpercre elsötétült a képernyő
- lelassult, lehalt a rendszer
- restart után a win a backupból hívta vissza a registryt
- az ATGuard azóta nem indul; a könyvtárában kb. 2 mega adat van, szóval lehet hogy törlődött a file.
Most visszamentem, megint tagad, mindenesetre a ConSeal firewall állandó forgalmat meg ilyet jelez. Nem vagyok profi, nemértem mi ez, de a holnapi programom reinstall lesz.
Bejöhetett hozzám a firewallon át?
Ja, most egy ideje ide akar konnektálni a gépem, folyamatosan:
194.38.105.13
Egyesével próbálja végig a portokat ha jól látom...
Ezt írja a Conseal:
2000/02/14 7:27:13 PM GMT +0100: Dial-Up Adapter [0000][Ref# 15] Connection Attempt: src=195.56.12.210, dst=193.68.35.149, sport=1128, dport=80.
