Gyere ide, ha szerinted a PC-dnek valami olyan baja van, ami vírus, trójai, akármi miatt lehet, vagy ilyesmire gyanakszol.
De először nézz ide: www.wigwam.info -csináld meg ott a féregirtást, és ha még mindig baj van, akkor itt valaki segít, ha tud.
Rule "Default Block NetBus" blocked (Valami IP cim,NetBus). Details:
Inbound TCP connection
Local address,service is (Valami IP cim,NetBus)
Remote address,service is (Valami IP cim,1327)
Process name is "N/A"
Full lamerkenet pontosan mit jelent ez az egesz.........
Koszi segitseget
Nos, ma ezeket fogtam. Kopasz kolléga hogy értékeli ezeket az eseteket? (Az xxxxxx helyén természetesen a gépem neve volt.)
20h47
Rule "Default Block Back Orifice 2000" blocked (xxxxxx,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (xxxxxx,Back-Orifice)
Remote address,service is (212.108.212.5,1113)
Process name is "N/A"
20h49
Rule "Default Block Back Orifice 2000" blocked (xxxxxx,Back-Orifice). Details:
Inbound UDP packet
Local address,service is (xxxxxx,Back-Orifice)
Remote address,service is (212.108.212.5,1115)
Process name is "N/A"
20h53
Rule "Default Block NetBus" blocked (xxxxxx,NetBus). Details:
Inbound TCP connection
Local address,service is (xxxxxx,NetBus)
Remote address,service is (145.236.216.72,1909)
Process name is "N/A"
20h53
Rule "Implicit block rule" blocked (xxxxxx,27374). Details:
Inbound TCP connection
Local address,service is (xxxxxx,27374)
Remote address,service is (145.236.216.72,2165)
Process name is "N/A"
20h53
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,27374)
Remote address,service is (145.236.216.72,2165)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6400)
Remote address,service is (145.236.209.159,4958)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,Backdoor-g-1)
Remote address,service is (145.236.209.159,1238)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6670)
Remote address,service is (145.236.209.159,1492)
Process name is "N/A"
21h18
This one time, the user has chosen to "block" communications. Details:
Inbound TCP connection
Local address,service is (xxxxxx,6969)
Remote address,service is (145.236.209.159,1746)
Process name is "N/A"
Na.
Az=ta egy kedves ]riember, Ariel segítségével kielemeztünk ezt-azt...
Volt egy netbus fent, ha minden igez. Mikor jött be, nemtom.
Az ip-k vegyesen voltak ad serverek, meg a freemail-t nézte az outlook ;)
Volt közbe még egy lefagyás, és újrainstalláltam az ATGuardot.
Egyelőre ennyi, most figyelek...
Mehet eccere két firewall? :)
Ez a srác -IRC-en keresztül mindenkit Netbusol, aki beleép egy csatira:
DWAway is ~karpati@line-210-71.dial.matav.net * Deathwing Zolee
DWAway on #amigahu +#cg #assassins.hu
DWAway using irc.extra.hu EXTRA
DWAway has been idle 4mins 47secs
DWAway End of /WHOIS list.
Ezt többször is szóvá tettem neki, tagadta.
Ma (kb. 10 perce) közöltem vele, hogy ki fogom rakni ide az IP-jét. Erre fenyegetőzni kezdett, a gépem pedig furcsa dolgokat kezdet csinálni:
- 1 másodpercre elsötétült a képernyő
- lelassult, lehalt a rendszer
- restart után a win a backupból hívta vissza a registryt
- az ATGuard azóta nem indul; a könyvtárában kb. 2 mega adat van, szóval lehet hogy törlődött a file.
Most visszamentem, megint tagad, mindenesetre a ConSeal firewall állandó forgalmat meg ilyet jelez. Nem vagyok profi, nemértem mi ez, de a holnapi programom reinstall lesz.
Bejöhetett hozzám a firewallon át?
Ja, most egy ideje ide akar konnektálni a gépem, folyamatosan:
194.38.105.13
Egyesével próbálja végig a portokat ha jól látom...
Ezt írja a Conseal:
2000/02/14 7:27:13 PM GMT +0100: Dial-Up Adapter [0000][Ref# 15] Connection Attempt: src=195.56.12.210, dst=193.68.35.149, sport=1128, dport=80.
A netbusnak először gyalogolnia kell. Egyébként jobb egérgomb a felső fekete soron (Dashboard), Event log.
Olvassad el Johannes hozzászólását.
A bejönni akarókkal kapcsolatban keletkezik egy ablak, amiben végig kérdez. Módszer: Ha gyanús a figura, akkor nem válaszolsz rögvest. RIPE.NET/Who is db, megnézed. Ha lőni akarsz, akkor most kell lőni. Utána érdemes csak letiltani.
No, egyre inkább kezdem "belakni" a tűzfalamat, de azér' egy rakás dolog még nem egyértelmű.
Egyik: default engedélyezve van a programban (settings/firewall) néhány rule, inbound, outbound egyaránt. Azokkal nem lehet semmi probléma?
Másik: a portscant hogy tudom nyomonkövetni?
Harmadik: amilyen logokat itt mutattál, azokat hol gyüjti a program? Hol tudom megnézni, hogy valaki kopogtatott-e a gépemen? Ha például a NetBust eleve letiltom, akkor utólag honnan tudom meg, hogy valaki rám akarta küldeni?
A saját ISP-d adataival? Azt is ki kellene tenni, mert az nem router, hanem a rossznyelvek szerint linukszosok játszódnak. Azt csak vegyed komolyan. A Te fogási eredménynaplódra is kiváncsiak lennénk.
Külön köszönet Mogorvának, én az AtGuardot tőle akasztottam le, s azóta biztonságban érzem magam, még akkor is, ha nyilvánvalóan csak (?) scannelnek.
Lehet, hogy a saját ISP-m is belém akar mászni? :--)
üdv az őrzőknek: egy ember
Úgy gondolom, hogy az ISP-k nem sokat tesznek az ügyben. Akkor lehetünk eredményesebbek, ha az IP címet feloldjuk. Nekem most 3 brózer is van egymás mellett. Az egyikben ez a topik, a másik a www.nic.com who is-re van állitva, a harmadik pedig a www.ripe.net who is-re. Hol az egyik a jobb, hol a másik.
Legyen ez csak szégyentábla.
Eddig a fickók csak hesegetve voltak. Meg kell fontolni az ágyuzást is. Bár csőre töltött fegyverek állnak készen, még nem lőttem.
2000.02.13. 16:53:17.834 IP Filter Rule "Default Block NetBus" blocked (budaiz,NetBus). Details:
Inbound TCP connection
Local address,service is (budaiz,NetBus)
Remote address,service is (145.236.216.50,3966)
Process name is "N/A"
2000.02.13. 16:53:21.019 IP Filter Rule "Default Block NetBus" blocked (budaiz,NetBus). Details:
Inbound TCP connection
Local address,service is (budaiz,NetBus)
Remote address,service is (145.236.216.50,3966)
Process name is "N/A"
2000.02.13. 16:53:40.861 IP Filter Rule "Implicit block rule" blocked (budaiz,1000). Details:
Inbound TCP connection
Local address,service is (budaiz,1000)
Remote address,service is (145.236.216.50,4220)
Process name is "N/A"
2000.02.13. 16:54:02.917 IP Filter Rule "Implicit block rule" blocked (budaiz,27374). Details:
Inbound TCP connection
Local address,service is (budaiz,27374)
Remote address,service is (145.236.216.50,4474)
Process name is "N/A"
Alert 2000.02.13. 16:54:16.735 IP Filter The user has created a rule to "block" communications. Details:
Inbound TCP connection
Local address,service is (budaiz,27374)
Remote address,service is (145.236.216.50,4474)
Process name is "N/A"
Ha ez a kis gyükérállat olvassa a topicot, javaslom neki baromi gyorsan rekonnektáljon, hátha másik IP-t kap, mert marhára mexívatom a következő próbálkozásnal.
Arra milyen megoldást javasolsz, ha azt steretném,hogy csak azokról az oldalakról engedje be a cookie-kat ahonnan szeretém? Mert ha a borzolóban letiltom, akkor még azok sem jönnek be, amit a firewall engedne.
Ha viszont IE-ben engedem, akkor mindegyikre rákérdez. Úgy tűnik, hogy a firewall beenged minden kukit. Lehet ez?
Nos... beizzítottam az Atguardot. Nagyon jónak néz ki. Az öntanuló lehetéség különösen szimpi. Igaz, az icq-t nem akarta kiengedni... de aztán rábeszéltem.
Az adatok kozul a legutolso:
A fazon orokke kivancsiskodik vagy portscannel, vagy nezi, melyik porton
tudna valamelyik trojait elerni. A fazon nalam hanyattesik a Back Ice
rendszeren, de mashol eredmennyel jarhat. Kerlek nezzetek utana.
Scan. A hacker may be scanning your system to see if a particular Trojan Horse
program is installed on your system. This scan is likely nothing to be worried about.
Details
This is one the most common scans that home users will see directed against their
systems. The traditional hacker technique is to post Trojan Horse programs on the
Internet in newsgroups, on websites, or within e-mail spam. The hackers then run
'bots (robots) that scan huge portions of the Internet in order to see who has
been infected with their programs.
Since any individual scanner is probing millions of potential victims, the likelihood
is that the average user will get scanned every so often. However, most hackers
want to compromise machines with fast, 24-hour connections like cable modems
and DSL. Therefore, they target well-known address ranges, like 24.x.x.x,
that support these high speed connections.
The most common UDP-based trojan horses detected by the
intrusion-detection engine are listed below.
,
UDP port Trojan horse name 2140
DeepThroat 3149
Master's Paradise 10067
Portal of Doom 31337
Back Orifice (default port) 31789
Hack'a'Tack 54321
Back Orifice 2000 (default port)
Szep joccakat urraim! Nos almatlansaguk okozoja lehet a ugyfelelharito szolgalat, mint pld elender. Gyon szepen az urgevics, es hasraesik a fekete jegen. Tobbszor. Scannel, majd elkezdi szolongatni a kulonfele hatso ajtok prtjait. Persze nem nyilik. Erre urge atmaszik masik elenderes ip-re es szorakzaik megint. Erre az ember felhivja a szugyfelkiszolgaltatot, hogy ugayn lepjenek ra a pasas nemi szervere. A ficere kozli, erre csak a mernok jogos, o pediglen kikapcsolta a radiotelefonjat, es majd begyun hetfo delben.
Nos ebben a szituacioban joc hacker kollega es azt monda: nicsenk mily bena madark, torjuk man fel. Es feltorik. Es talan majd kesobb eszre veszik, hogy fel lettek nyomva. Szoval ez a mi kis ugyfelszolgalatunk. Mindenestre a fiuknak a tech supportra irtam, amire a szokaso automata ugyfelvalasz jott, hogyan forduljak es hova: fel....
A masik az ATguard forrasat bizony elegge szurik. Az os site atguard.da.ru es a da.ru-ra egyszeruen nem lehet a matavnyetrol felmaszni, es masik kisebb szolgaltatokrol sem, akik ilyesfajta cegeken ulnek. A Datanyet most eppen nyet. mert nem fizettem be - trefan kivul - a o forint es hasonlo filler oszegrol szolo szamlat. Vedik tolem a sajat leveleimet.
Kulonben itthon a Neten sajnos mindeki mindeki ellen lo. Szabaly: nincs szabaly. De majd lesz. Mivel a Net itt nem lepett. a szolgaltatok pedig sehogy, vagy eppen rosszabb volt a rendszbaly, mint a netakrobatak okozta kar, marad a Hatosag.
Ja adatvedelem> A Microsoft kitalalta a telefonkartya SIM lockjahoz hasonlo Winfows lockot. Neve BIOS LOCK es azt akadalyozza meg, hogyha te OEM Wingorenyt veszel mas gepen egyaltalan installalhtao, illetve alaplap csere utan elindithato legyen Szigouran a te erdekedben. Holografice vedett cimkevel ellatva. EGye meg ebedre az aki kitalalta.
Szerintem ez, meg a netoakrobatak egy sorozat probapert fog kivaltani.
A conseal personal firewall állítólag egy apró trükkel szétbarmolható. Az én paranoiámnak a legjobban az ATGUARD felel meg, biztosan vannak más eszközök is.
Javaslom a kisérletezést. az atguard nem magányos katony, mert további eszközök is vannak mellette, támadó és védekező fegyverek egyaránt.
Ezekből kell egy jó kis egyedi megoldást összerakni. Akkor csökken az örge sansza.
A legbiztosabban akkor alhatsz, ha a tudtodon kívül egyetlen kósza bit sem jöhet be, vagy mehet ki.
Laa-Yosh, a kérdés jogos (helyet cserélhetsz a kígyóbűvölő versenyzővel).
Nagyszájú utódaink áttették az utcai harcokat a netre. Magánvéleményem szerint az ISP-k erre kidolgozott protokollja egy cseppet elavult. Az egy dolog, hogy ha én valamit el akarok érni az iespémnél, akkor az menni fog, mert ismerjük egymást.
Első lépésként szerintem dokumentálni kell.
A haditerv pedig akkor jó, ha nem kiabáljuk ki (csak akkor szabad, ha dezinformációs célzattal tesszük).
Lényeg, a lényeg, pár ásót már kikészítettem. Az lesz a legnagyobb bünti, hogy velük fogok ásatni.
Dunába lövés nem lesz, de más igen.
Én magam a kombinált kezelés híve vagyok.
Bízzál a dologban.
Ha viszont Neked is ennyi találatod van, akkor a javaslatom (én is ezt teszem):
- atómórára szikronizált óra,
- két db. extra brózer, az egyikben a nic.com who is, a másikban ez a topik.
Ha pedig megvan a palimadár, akkor be kell írni.
Pár ISP már tudja a topik létezését (hiszen érintettek benne).
Az eddigi ügymenet: írsz egy mélt. Kivizsgálják a logot, és írnak egy ejnye-ejnye mélt. A delikvens persze azt mondja, hogy nem is ő volt. Ennyi.
No ez viszont szöget ütött a fejembe. Miért említetted meg külön, hogy az offline borzolást :) nem teszi tönkre? Van valami amit én nem tudok, pedig illene?
Uff, nagy varázsló.
A conseal personal firewall 1.37-es feliratot viselő tüzes falról mi a szakvélemény?
(Azt meg nem kérdem meg, hogy:
- miért kell ezzel szórakozni - esténként én is 5-6 találatot szoktam kapni ezzel-azzal
- mivel lehetne esetleg alaposan elásni az illető személyek csatabárdját...)
A törzs varázslója kizárólag a 3.22-es változatot javasolja.
Egyébként nem boszorkányság, technika.
Settings: minden létező dolgot ikszeljél be.
Tedd ki a képernyő tetejére. Ekkor minden program minden kommunikációs kisérletére engedélyt kér tőled a túzfal. Te döntöd el, hogy mit engedsz és mit nem. A web/privacy/active contetnben kell ésszel beállítani a defaultot. Ez a mindent blokkolást jelent. Sok érdekes dolgot fog mesélni a kis gárdista.
Az újratelepítésnél természetesen hazavágja az addig élő szabályokat.
kopasz kolléga,
begyűjtöttem egy 3.21-es AtGuardot, de a konfigurálás környékén nem minden világos. Nem tudsz valahol egy leírást hozzá? Vagy esetleg pár tanácsot, hogy mit nem szabad semmiképpen sem kihagyni a beállításnál?
