Gyere ide, ha szerinted a PC-dnek valami olyan baja van, ami vírus, trójai, akármi miatt lehet, vagy ilyesmire gyanakszol.
De először nézz ide: www.wigwam.info -csináld meg ott a féregirtást, és ha még mindig baj van, akkor itt valaki segít, ha tud.
A Ripe adatbázisa szerint ez a Matávnet címtartományába esik. Ez lehet bérelt vonalas is, de az kevéssé valószínű, sokkal inkább dial-up. Ekkor dinamikus az IP cím kiosztás.
Most már tudjuk, honnan nyomul. Mivel nem akartunk tőle semmit, szért csak rossz szándéka lehet, tehát letiltjuk.
Local address,service is (dili,10110)
Remote address,service is (145.236.208.191,1548)
Process name is "N/A"
Volt már olyan az Indexen, amikor egy ismeretlen url-re is tiltást rendeltem, pedig csak valaki beszerkesztette egy topikba.
Kétes esetben inkább meg kell nézni az oldalt forrásban (view source), és ha ott szerepelt, akkor még kitörölhetem a tiltó szabályt, majd reload, ellenkező esetben már be is tolták a falovat az udvarba.
Setting/web. Menj rá arra az oldalra, amelyet regulázni akarsz. Mondjuk az enyémben: "beres.hu". Ekkor a jobboldalon megjelenik a "Use these rules for beres.hu" szöveg. Innen kezdve olyan már mint a totó szelvény.
Laa-Yosh - én nem IRC-zek, és általában minden olyat tiltok, amin keresztül be lehet menni a gépbe.
Bizony, volt valami a gépedben. Azt akartam javasolni, hogy tegyed el az ATGUARD könyvtárat (átnevezés pl.), mert szerintem azok az adatok, amelyek a gépedben voltak (vagy vannak még? bőven elegendőek egy alapos feljelentésre.
Megoldás. Clean gép, vagy legalábbis az IRC kerülése. Feltenni az átnevezés után újra az ATGUARD-ot, és minden dolgot kézzel engedélyezni, minden domaint, minden http-t, stb.
Egy ilyen géppel lerántani egy Netshieldet (www.nai.com), mert az menet közben is észleli a gazembereket. Ha már promiszkuitélsz, akkor óvszer is kell.
Azután kell megpróbálni megint.
Ha megvan az elszállás előtti atguard logod, akkor - amennyiben feljelentést akarsz tenni, mélben jelezzed.
kivi, azok a defaultok azért kellenek, hogy a LAN menjen. Nekem itthon már akkor is ordít a tűzfal, ha a gyerek bejelentkezik a gépébe.
Log. Az ernyő tetején van a dashboard. Jobb egérgomb, Event log. Amire ráállsz, azt alulra kifejti, onnan ki lehet másolni.
Az én bejegyzéseimben a dili a szerver neve.
A következő sor, pl.: 145.236.208,191 az IP cím, a 1548 pedig a port.
zitbag kedvéért: a netbus, backdoor, stb, már a károkozó program. De jelentkezhet mindenféle más formában is.
A gyaloglós példa. Hiába van Netbus a gépedben, ha azt nem aktivizálják, akkor nem megy. Nekem is van, mert műgyüjtöttem őket, és nem kívülről kaptam.
A víruskereső sok mindent megtalál. Gyártottam nektek egy példát, ime a log:
Tehát, ha valaki rendszeresen nézi a gépét, akkor meg lehet találni.
Az IRC-hez nem értek, de annyi információm van róla, hogy azon keresztül simén be lehet kapni egyet. Ha pedig a gépedben van, akkor csak a reigstrydet kell átírni, majd egy reboot kell. Onnantól kezdve már nagyon virgonc tud lenni, feltéve, ha egy valamilyen shield pofán nem vágja. Ez így remélem világosabb volt.
kivi, nagyon szép a fogási eredménynaplód. Ezek szerint a tűzfal ellátja a feladatát. De nem reméljed, hogy ezzel minden rendben van. Javaslom, hogy session végén nézzed át a setting részt, és amiben nem vagy egészen biztos, azt inkább gyorsan tiltsad le, vagy mégjobb, töröljed ki.
Igen kb. ennyi a választék. A kis hülyék játszadoznak. Mennyivel kényelmesebb ilyen hidegben ez az olcsó játék, mint pl. vonatot dobálni kővel.
kivi, A NETBUST, és a BO-t NEHOGY ENGEDÉLYEZZED! Akkor bemegy.
Általában: mivel nem szolgáltatók vagytok, ezért már a pingelésre is szabad idegesnek lenni, ugyanis pingelje az ürge azt, ami vele egyidős.
Az agyam eldobom... áruld el, hogy a kukikat hogy regulázod meg? Settings/web/privacy -ban default le vannak tiltva. Ennek ellenére, ha a browserben engedélyezem, akkor rákérdez az AtGuard. Megmondom neki, hogy erről a domainról minden kukit blokkoljon. Ezután ugyaerről a domainről kérdez még egyet, még egyet, stb... Mintha nem lenne hatással a tűzfal a kukikra.
Rule "Default Block NetBus" blocked (Valami IP cim,NetBus). Details:
Inbound TCP connection
Local address,service is (Valami IP cim,NetBus)
Remote address,service is (Valami IP cim,1327)
Process name is "N/A"
Full lamerkenet pontosan mit jelent ez az egesz.........
Koszi segitseget
Nos, ma ezeket fogtam. Kopasz kolléga hogy értékeli ezeket az eseteket? (Az xxxxxx helyén természetesen a gépem neve volt.)
20h47
Rule "Default Block Back Orifice 2000" blocked (xxxxxx,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (xxxxxx,Back-Orifice)
Remote address,service is (212.108.212.5,1113)
Process name is "N/A"
20h49
Rule "Default Block Back Orifice 2000" blocked (xxxxxx,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (xxxxxx,Back-Orifice)
Remote address,service is (212.108.212.5,1115)
Process name is "N/A"
20h53
Rule "Default Block NetBus" blocked (xxxxxx,NetBus). Details:
Inbound TCP connection
Local address,service is (xxxxxx,NetBus)
Remote address,service is (145.236.216.72,1909)
Process name is "N/A"
20h53
Rule "Implicit block rule" blocked (xxxxxx,27374). Details:
Inbound TCP connection
Local address,service is (xxxxxx,27374)
Remote address,service is (145.236.216.72,2165)
Process name is "N/A"
20h53
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,27374)
Remote address,service is (145.236.216.72,2165)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6400)
Remote address,service is (145.236.209.159,4958)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,Backdoor-g-1)
Remote address,service is (145.236.209.159,1238)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6670)
Remote address,service is (145.236.209.159,1492)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6969)
Remote address,service is (145.236.209.159,1746)
Process name is "N/A"
Na.
Az=ta egy kedves ]riember, Ariel segítségével kielemeztünk ezt-azt...
Volt egy netbus fent, ha minden igez. Mikor jött be, nemtom.
Az ip-k vegyesen voltak ad serverek, meg a freemail-t nézte az outlook ;)
Volt közbe még egy lefagyás, és újrainstalláltam az ATGuardot.
Egyelőre ennyi, most figyelek...
Mehet eccere két firewall? :)
Ez a srác -IRC-en keresztül mindenkit Netbusol, aki beleép egy csatira:
DWAway is ~karpati@line-210-71.dial.matav.net * Deathwing Zolee
DWAway on #amigahu +#cg #assassins.hu
DWAway using irc.extra.hu EXTRA
DWAway has been idle 4mins 47secs
DWAway End of /WHOIS list.
Ezt többször is szóvá tettem neki, tagadta.
Ma (kb. 10 perce) közöltem vele, hogy ki fogom rakni ide az IP-jét. Erre fenyegetőzni kezdett, a gépem pedig furcsa dolgokat kezdet csinálni:
- 1 másodpercre elsötétült a képernyő
- lelassult, lehalt a rendszer
- restart után a win a backupból hívta vissza a registryt
- az ATGuard azóta nem indul; a könyvtárában kb. 2 mega adat van, szóval lehet hogy törlődött a file.
Most visszamentem, megint tagad, mindenesetre a ConSeal firewall állandó forgalmat meg ilyet jelez. Nem vagyok profi, nemértem mi ez, de a holnapi programom reinstall lesz.
Bejöhetett hozzám a firewallon át?
Ja, most egy ideje ide akar konnektálni a gépem, folyamatosan:
194.38.105.13
Egyesével próbálja végig a portokat ha jól látom...
Ezt írja a Conseal:
2000/02/14 7:27:13 PM GMT +0100: Dial-Up Adapter [0000][Ref# 15] Connection Attempt: src=195.56.12.210, dst=193.68.35.149, sport=1128, dport=80.
A netbusnak először gyalogolnia kell. Egyébként jobb egérgomb a felső fekete soron (Dashboard), Event log.
Olvassad el Johannes hozzászólását.
A bejönni akarókkal kapcsolatban keletkezik egy ablak, amiben végig kérdez. Módszer: Ha gyanús a figura, akkor nem válaszolsz rögvest. RIPE.NET/Who is db, megnézed. Ha lőni akarsz, akkor most kell lőni. Utána érdemes csak letiltani.
No, egyre inkább kezdem "belakni" a tűzfalamat, de azér' egy rakás dolog még nem egyértelmű.
Egyik: default engedélyezve van a programban (settings/firewall) néhány rule, inbound, outbound egyaránt. Azokkal nem lehet semmi probléma?
Másik: a portscant hogy tudom nyomonkövetni?
Harmadik: amilyen logokat itt mutattál, azokat hol gyüjti a program? Hol tudom megnézni, hogy valaki kopogtatott-e a gépemen? Ha például a NetBust eleve letiltom, akkor utólag honnan tudom meg, hogy valaki rám akarta küldeni?
A saját ISP-d adataival? Azt is ki kellene tenni, mert az nem router, hanem a rossznyelvek szerint linukszosok játszódnak. Azt csak vegyed komolyan. A Te fogási eredménynaplódra is kiváncsiak lennénk.
Külön köszönet Mogorvának, én az AtGuardot tőle akasztottam le, s azóta biztonságban érzem magam, még akkor is, ha nyilvánvalóan csak (?) scannelnek.
Lehet, hogy a saját ISP-m is belém akar mászni? :--)
üdv az őrzőknek: egy ember
Úgy gondolom, hogy az ISP-k nem sokat tesznek az ügyben. Akkor lehetünk eredményesebbek, ha az IP címet feloldjuk. Nekem most 3 brózer is van egymás mellett. Az egyikben ez a topik, a másik a www.nic.com who is-re van állitva, a harmadik pedig a www.ripe.net who is-re. Hol az egyik a jobb, hol a másik.
Legyen ez csak szégyentábla.
Eddig a fickók csak hesegetve voltak. Meg kell fontolni az ágyuzást is. Bár csőre töltött fegyverek állnak készen, még nem lőttem.
2000.02.13. 16:53:17.834 IP Filter Rule "Default Block NetBus" blocked (budaiz,NetBus). Details:
Inbound TCP connection
Local address,service is (budaiz,NetBus)
Remote address,service is (145.236.216.50,3966)
Process name is "N/A"
2000.02.13. 16:53:21.019 IP Filter Rule "Default Block NetBus" blocked (budaiz,NetBus). Details:
Inbound TCP connection
Local address,service is (budaiz,NetBus)
Remote address,service is (145.236.216.50,3966)
Process name is "N/A"
2000.02.13. 16:53:40.861 IP Filter Rule "Implicit block rule" blocked (budaiz,1000). Details:
Inbound TCP connection
Local address,service is (budaiz,1000)
Remote address,service is (145.236.216.50,4220)
Process name is "N/A"
2000.02.13. 16:54:02.917 IP Filter Rule "Implicit block rule" blocked (budaiz,27374). Details:
Inbound TCP connection
Local address,service is (budaiz,27374)
Remote address,service is (145.236.216.50,4474)
Process name is "N/A"
Alert 2000.02.13. 16:54:16.735 IP Filter The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (budaiz,27374)
Remote address,service is (145.236.216.50,4474)
Process name is "N/A"
Ha ez a kis gyükérállat olvassa a topicot, javaslom neki baromi gyorsan rekonnektáljon, hátha másik IP-t kap, mert marhára mexívatom a következő próbálkozásnal.
Arra milyen megoldást javasolsz, ha azt steretném,hogy csak azokról az oldalakról engedje be a cookie-kat ahonnan szeretém? Mert ha a borzolóban letiltom, akkor még azok sem jönnek be, amit a firewall engedne.
Ha viszont IE-ben engedem, akkor mindegyikre rákérdez. Úgy tűnik, hogy a firewall beenged minden kukit. Lehet ez?
Nos... beizzítottam az Atguardot. Nagyon jónak néz ki. Az öntanuló lehetéség különösen szimpi. Igaz, az icq-t nem akarta kiengedni... de aztán rábeszéltem.
Az adatok kozul a legutolso:
A fazon orokke kivancsiskodik vagy portscannel, vagy nezi, melyik porton
tudna valamelyik trojait elerni. A fazon nalam hanyattesik a Back Ice
rendszeren, de mashol eredmennyel jarhat. Kerlek nezzetek utana.
Scan. A hacker may be scanning your system to see if a particular Trojan Horse
program is installed on your system. This scan is likely nothing to be worried about.
Details
This is one the most common scans that home users will see directed against their
systems. The traditional hacker technique is to post Trojan Horse programs on the
Internet in newsgroups, on websites, or within e-mail spam. The hackers then run
'bots (robots) that scan huge portions of the Internet in order to see who has
been infected with their programs.
Since any individual scanner is probing millions of potential victims, the likelihood
is that the average user will get scanned every so often. However, most hackers
want to compromise machines with fast, 24-hour connections like cable modems
and DSL. Therefore, they target well-known address ranges, like 24.x.x.x,
that support these high speed connections.
The most common UDP-based trojan horses detected by the
intrusion-detection engine are listed below.
,
UDP port Trojan horse name 2140
DeepThroat 3149
Master's Paradise 10067
Portal of Doom 31337
Back Orifice (default port) 31789
Hack'a'Tack 54321
Back Orifice 2000 (default port)
Szep joccakat urraim! Nos almatlansaguk okozoja lehet a ugyfelelharito szolgalat, mint pld elender. Gyon szepen az urgevics, es hasraesik a fekete jegen. Tobbszor. Scannel, majd elkezdi szolongatni a kulonfele hatso ajtok prtjait. Persze nem nyilik. Erre urge atmaszik masik elenderes ip-re es szorakzaik megint. Erre az ember felhivja a szugyfelkiszolgaltatot, hogy ugayn lepjenek ra a pasas nemi szervere. A ficere kozli, erre csak a mernok jogos, o pediglen kikapcsolta a radiotelefonjat, es majd begyun hetfo delben.
Nos ebben a szituacioban joc hacker kollega es azt monda: nicsenk mily bena madark, torjuk man fel. Es feltorik. Es talan majd kesobb eszre veszik, hogy fel lettek nyomva. Szoval ez a mi kis ugyfelszolgalatunk. Mindenestre a fiuknak a tech supportra irtam, amire a szokaso automata ugyfelvalasz jott, hogyan forduljak es hova: fel....
A masik az ATguard forrasat bizony elegge szurik. Az os site atguard.da.ru es a da.ru-ra egyszeruen nem lehet a matavnyetrol felmaszni, es masik kisebb szolgaltatokrol sem, akik ilyesfajta cegeken ulnek. A Datanyet most eppen nyet. mert nem fizettem be - trefan kivul - a o forint es hasonlo filler oszegrol szolo szamlat. Vedik tolem a sajat leveleimet.
Kulonben itthon a Neten sajnos mindeki mindeki ellen lo. Szabaly: nincs szabaly. De majd lesz. Mivel a Net itt nem lepett. a szolgaltatok pedig sehogy, vagy eppen rosszabb volt a rendszbaly, mint a netakrobatak okozta kar, marad a Hatosag.
Ja adatvedelem> A Microsoft kitalalta a telefonkartya SIM lockjahoz hasonlo Winfows lockot. Neve BIOS LOCK es azt akadalyozza meg, hogyha te OEM Wingorenyt veszel mas gepen egyaltalan installalhtao, illetve alaplap csere utan elindithato legyen Szigouran a te erdekedben. Holografice vedett cimkevel ellatva. EGye meg ebedre az aki kitalalta.
Szerintem ez, meg a netoakrobatak egy sorozat probapert fog kivaltani.
A conseal personal firewall állítólag egy apró trükkel szétbarmolható. Az én paranoiámnak a legjobban az ATGUARD felel meg, biztosan vannak más eszközök is.
Javaslom a kisérletezést. az atguard nem magányos katony, mert további eszközök is vannak mellette, támadó és védekező fegyverek egyaránt.
Ezekből kell egy jó kis egyedi megoldást összerakni. Akkor csökken az örge sansza.
A legbiztosabban akkor alhatsz, ha a tudtodon kívül egyetlen kósza bit sem jöhet be, vagy mehet ki.
Laa-Yosh, a kérdés jogos (helyet cserélhetsz a kígyóbűvölő versenyzővel).
Nagyszájú utódaink áttették az utcai harcokat a netre. Magánvéleményem szerint az ISP-k erre kidolgozott protokollja egy cseppet elavult. Az egy dolog, hogy ha én valamit el akarok érni az iespémnél, akkor az menni fog, mert ismerjük egymást.
Első lépésként szerintem dokumentálni kell.
A haditerv pedig akkor jó, ha nem kiabáljuk ki (csak akkor szabad, ha dezinformációs célzattal tesszük).
Lényeg, a lényeg, pár ásót már kikészítettem. Az lesz a legnagyobb bünti, hogy velük fogok ásatni.
Dunába lövés nem lesz, de más igen.
Én magam a kombinált kezelés híve vagyok.
Bízzál a dologban.
Ha viszont Neked is ennyi találatod van, akkor a javaslatom (én is ezt teszem):
- atómórára szikronizált óra,
- két db. extra brózer, az egyikben a nic.com who is, a másikban ez a topik.
Ha pedig megvan a palimadár, akkor be kell írni.
Pár ISP már tudja a topik létezését (hiszen érintettek benne).
Az eddigi ügymenet: írsz egy mélt. Kivizsgálják a logot, és írnak egy ejnye-ejnye mélt. A delikvens persze azt mondja, hogy nem is ő volt. Ennyi.
