Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
ответ 09.10.01 22:54 Число просмотров: 896
Автор: Ira Статус: Незарегистрированный пользователь
|
:)) немного смущает, помоему это уже сложновато для меня! :))
Подскажите, а как узнать к какому порту на моем компе было обращение, чтобы понять что есть атака, а что нет?
И спасибо за разъяснения! :))
> > он же пишет порт 3531 а не 80 или я не понимаю? > > и что такое RFS/STD? > он пишет: > "The firewall has blocked Internet access to your computer > (HTTP) from 213.26.183.77 (TCP Port 3531) [TCP Flags: S]. > > на твоем компе порт HTTP (это 80-й) > 3531 - это порт на его компе. > > про RFC и STD: > это документы, описывающие стандарты де-факто в интернет. > RFC - request for comments - Это не совсем стантарт. > STD - это стандарт. > > скачать RFC и STD можно отсюда: > http://www.faqs.org/ > http://www.rfc-editor.org/ > для начинающих лучше зайти на первый сайт. там не только > RFC, но и FAQs - ответы на часто задаваемые вопросы. > надеюсь, тебя не смутит, что доки на аглицком:) > удачи! > йцукенг
|
<hacking>
|
Попался, ворюга!! :)) Подскажите, что теперь 09.10.01 22:08
Автор: Ira Статус: Незарегистрированный пользователь
|
Мне, посоветовали в этой конференции для защиты компа от преследующего меня извращенца поставить фаервол!
Сегодня наконец поставила! :))
ZoneAlarm 1.6
Не прошло и 10 мин. как получила сообщение об атаке:
"The firewall has blocked Internet access to your computer (TCP Port 5500) from 213.59.118.77 (TCP Port 1119) [TCP Flags: S].
Time: 09.10.01 21:09:46"
Что теперь делать?
Как по IP можно узнать побольше инфы (местоположение, провайдер и т.д.)?
Подскажите, пожалуйста!
Спасибо!
P.S. А вообще, мне очень понравилось, теперь благодаря Вашим советам я настроила Асю, поставила прокси и установила фаервол - большое чувство самоудовлетворения и защищенности!
ВСЕМ ВАМ БОЛЬШОЕ СПАСИБО ЗА СОВЕТЫ!!! :))
|
|
Подсказываю 12.10.01 11:45
Автор: Подарок Статус: Незарегистрированный пользователь
|
В место зона алярм поставь OUTPOST .. он лучше
Когда будет атака.. запомни адресм откуда атака и сразу зайди на http://www.all-nettools.com/tools1.htm там в окошко трассировки введи адрес атакующего и нажми ОК.. увидишь кто он и откуда
Удачи!
|
|
Подсказываю 12.10.01 11:43
Автор: Подарок Статус: Незарегистрированный пользователь
|
|
|
Истена для ira 10.10.01 02:27
Автор: Tamas Статус: Member
|
слуш а на* тибе всё это надо !!!
есле у тебя не установлено какинибуд сарвисных прилажений типа троянов
к тебе и без фаирвола не кто не когда не влезит
а нашёт изврашенцев просто пошли их на*
поповоду как узнать по IP провйдера это элементарно
но что тибе это даст номер телефона тибе серавно
без вмешателства ФСБ не кто не скажет !!!
есле что не понятно пиши намыло tamas@mail.ru
|
| |
Истена ли ??? 10.10.01 17:10
Автор: babay <Andrey Babkin> Статус: Elderman
|
> слуш а на* тибе всё это надо !!! > есле у тебя не установлено какинибуд сарвисных прилажений > типа троянов > к тебе и без фаирвола не кто не когда не влезит
Бред полный, даже если ты ну допустим на 4НТ без паков в инет полез, не составит труда сказать как зовут твою собаку, если в твоем компе есть об этом упоминание. Дыр в ОС и в приложения достаточно.
> а нашёт изврашенцев просто пошли их на* > поповоду как узнать по IP провйдера это элементарно > но что тибе это даст номер телефона тибе серавно > без вмешателства ФСБ не кто не скажет !!!
Не номером телефона единым жив человек, по твоему мылу можно многое узнать (в некоторых случаях), а постоянный IP - еще красивее, посиди без FW и антивируса в инете :-))
Если ты с работы @#$ью занялся то до этого уже есть дело и твоему начальству, делай выводы...
> есле что не понятно пиши намыло tamas@mail.ru
|
| |
ИстИна для Tamas:) 10.10.01 03:54
Автор: йцукенг <jcukeng> Статус: Member
|
> слуш а на* тибе всё это надо !!! > есле у тебя не установлено какинибуд сарвисных прилажений > типа троянов > к тебе и без фаирвола не кто не когда не влезит хе-хе. ты уверен?
есть такая штука - атака на переполнение буфера.
если, допустим, у тебя стоит непропатченная программа (например, IIS), то влезть на комп очень даже реально.
Ты можешь спросить - а зачем дома ставить IIS или PWS?
Ну, например, чтобы научиться сайты на ASP делать.
> а нашёт изврашенцев просто пошли их на* зачем? после установки ФВ можно их просто игнорировать:).
> поповоду как узнать по IP провйдера это элементарно > но что тибе это даст номер телефона тибе серавно > без вмешателства ФСБ не кто не скажет !!! а нафига знать номер телефона какого-то извращенца?
Достаточно знать его IP. Если совсем обнаглеет, пишешь письмо провайдеру, приаттачив логи фв, и пожалуйста - "извращенцу" отрубают инет.
А если провайдер не реагирует, можно обратиться с заявлением в милицию.
Тогда извращенцу вообще нехило вставят, по ходу дела и его провайдеру достанется.
PS. Tomas! Русский язык надо знать. Без обид, OK?
|
| | |
ну я так не думаю 10.10.01 23:09
Автор: Tamas Статус: Member
|
ну нащёт IIS это понятно но я ималв виду что есле нет не каких сарвисных приложение то влезть будить не возможно !!!
а нащёт мусаров ты попробуй приди в отдиление и напиши поэтому поводу
заюву и послушай куда тебя пощлют !!! они наже что такое комп не знають !!!
PS я не TOMAS а TAMAS это ник типа !!!
|
| | | |
пардон за коверкание ника. 11.10.01 02:05
Автор: йцукенг <jcukeng> Статус: Member
|
> PS я не TOMAS а TAMAS это ник типа !!! искренне извиняюсь за коверкание ника.
уверяю, это было сделано ненамеренно.
> ну нащёт IIS это понятно но я ималв виду что есле нет не > каких сарвисных приложение то влезть будить не возможно !!! если нет приложений, нафига винда?
> а нащёт мусаров ты попробуй приди в отдиление и напиши > поэтому поводу заюву и послушай куда тебя пощлют !!! ты ошибаешься. главное, чтоб не приняли за шизика:). если они поймут, что ты телевизор пересмотрел, то пошлют, стопудово:).
> они наже что такое > комп не знають !!! можно подумать, они в школах не учились.
компьтерную грамотность в школах преподают аж с 1985 года.
а обычную грамотность, как я вижу, перестали преподавать:).
ты все-таки прими мой совет, подучи русский язык.
|
|
Попался, ворюга!! :)) Подскажите, что теперь 09.10.01 22:28
Автор: Theo Статус: Незарегистрированный пользователь
|
Помнится была такая славная программулька SmartWhois , которая выводила тел. номер провайдера, куда, соответственно возможно обратиться за законной помощью =))
|
|
Еще одна попытка, он что меняет прокси? 09.10.01 22:24
Автор: Ira Статус: Незарегистрированный пользователь
|
Еще одна попытка, на этот раз:
"The firewall has blocked Internet access to your computer (HTTP) from 213.26.183.77 (TCP Port 3531) [TCP Flags: S].
Time: 09.10.01 22:25:22"
он что меняет прокси?
|
| |
нет, это обращение по 80-му порту, скорее всего, Code Red. 09.10.01 22:27
Автор: йцукенг <jcukeng> Статус: Member
|
> "The firewall has blocked Internet access to your computer > (HTTP) from 213.26.183.77 (TCP Port 3531) [TCP Flags: S]. > Time: 09.10.01 22:25:22" > он что меняет прокси?
почитай RFC о том, какой порт для чего нужен.
номер RFC не встомню. называется Assigned Numbers.
номер STD, если не ошибаюсь, 2.
|
| | |
нет, это обращение по 80-му порту, скорее всего, Code Red. 09.10.01 22:33
Автор: Ira Статус: Незарегистрированный пользователь
|
он же пишет порт 3531 а не 80 или я не понимаю?
и что такое RFS/STD?
> > "The firewall has blocked Internet access to your > computer > > (HTTP) from 213.26.183.77 (TCP Port 3531) [TCP Flags: > S]. > > Time: 09.10.01 22:25:22" > > он что меняет прокси? > > почитай RFC о том, какой порт для чего нужен. > номер RFC не встомню. называется Assigned Numbers. > номер STD, если не ошибаюсь, 2.
|
| | | |
ответ 09.10.01 22:43
Автор: йцукенг <jcukeng> Статус: Member
|
> он же пишет порт 3531 а не 80 или я не понимаю? > и что такое RFS/STD? он пишет:
"The firewall has blocked Internet access to your computer (HTTP) from 213.26.183.77 (TCP Port 3531) [TCP Flags: S].
на твоем компе порт HTTP (это 80-й)
3531 - это порт на его компе.
про RFC и STD:
это документы, описывающие стандарты де-факто в интернет.
RFC - request for comments - Это не совсем стантарт.
STD - это стандарт.
скачать RFC и STD можно отсюда:
http://www.faqs.org/
http://www.rfc-editor.org/
для начинающих лучше зайти на первый сайт. там не только RFC, но и FAQs - ответы на часто задаваемые вопросы.
надеюсь, тебя не смутит, что доки на аглицком:)
удачи!
йцукенг
|
| | | | |
ответ 09.10.01 22:54
Автор: Ira Статус: Незарегистрированный пользователь
|
:)) немного смущает, помоему это уже сложновато для меня! :))
Подскажите, а как узнать к какому порту на моем компе было обращение, чтобы понять что есть атака, а что нет?
И спасибо за разъяснения! :))
> > он же пишет порт 3531 а не 80 или я не понимаю? > > и что такое RFS/STD? > он пишет: > "The firewall has blocked Internet access to your computer > (HTTP) from 213.26.183.77 (TCP Port 3531) [TCP Flags: S]. > > на твоем компе порт HTTP (это 80-й) > 3531 - это порт на его компе. > > про RFC и STD: > это документы, описывающие стандарты де-факто в интернет. > RFC - request for comments - Это не совсем стантарт. > STD - это стандарт. > > скачать RFC и STD можно отсюда: > http://www.faqs.org/ > http://www.rfc-editor.org/ > для начинающих лучше зайти на первый сайт. там не только > RFC, но и FAQs - ответы на часто задаваемые вопросы. > надеюсь, тебя не смутит, что доки на аглицком:) > удачи! > йцукенг
|
| | | | | |
[виндоус хоум] о настройке ФВ и безопасности 09.10.01 23:32
Автор: йцукенг <jcukeng> Статус: Member
|
> Подскажите, а как узнать к какому порту на моем компе было > обращение, чтобы понять что есть атака, а что нет? в логах фв видно же, к какому порту было обращение:)
если речь идет о домашнем компе, то попытку коннекта извне к тебе по любому (TCP) порту можно рассматривать как атаку.
для понимания всего этого неплохо было бы, например, почитать книгу dl "Атака на Интернет".
теперь практические советы:
итак, в настройках фв разрешаешь обращаться вовне по TCP:
порт 80(http), 21(ftp), 25(smtp), 110(pop3), 443(https).
в случае необходимости добавляешь другие порты.
ICMP-траффик можно разрешить.
что касается UDP, то разрешить прием/отправку UDP-пакетов нужно только от/к DNS-сервера(у) твоего провайдера, и только по 53 порту(DNS).
в настройках ftp-клиента говоришь, что ты за фв и поэтому нужно использовать PASV mode.
если есть аська, то разрешаешь обращаться вовне по порту 4000 или 5190, в зависимости от версии аськи. при этом лучше запускать аську из-под твикера( читай записки асечника на www.uinc.ru).
В настройках браузера(MS IE, Netscape, Opera) запрети куки, JavaScript и ActiveX, последнее в особенности.
MS Outlook удали, пользуйся TheBat! - каждый месяц по багу находят:(.
вот и все. никто тебя не обидит. это маниакальный набор правил, главное, чтоб файервол без дырок был.
удачи!
йцукенг
PS. может, кто-то меня поправит и дополнит?
|
| | | | | | |
Дополнение 16.10.01 09:55
Автор: DiAnno... Статус: Незарегистрированный пользователь
|
> если речь идет о домашнем компе, то попытку коннекта извне > к тебе по любому (TCP) порту можно рассматривать как атаку. > для понимания всего этого неплохо было бы, например, > почитать книгу dl "Атака на Интернет". > теперь практические советы:
Поставь Zona Alern Pro и ATGuard (научить работать с обоими могу. Оставь свое мыло)
> итак, в настройках фв разрешаешь обращаться вовне по TCP: > порт 80(http), 21(ftp), 25(smtp), 110(pop3), 443(https). > в случае необходимости добавляешь другие порты.
Гы...СПОРНО!
Зачем разрешать?
Надо регулировать...Т.Е. настраивать исходя из надобности...
=> 80 порт тока для браузера пойдет.
21потр ябы не настраивал вообще. Хватит, что ФВ сам спросит когда это понадобится!
25 (СМТП)- настроить тока для почтового клиента и тока на адрес мыльного сервера, хотя ябы советовал не настраивать, а разово "pirmit" дабы отфильтровать "левые" соединения...
110 - таже история. Тока для Клиента и тока с родным серваком
443 - эта дурь за все время тока раз о себе напомнила и то, когда меня кто-то сканил:))))
> ICMP-траффик можно разрешить.
Спорно!
Я блокирую и на жизни моей это не отражается Т.О. лучше блокировать или фильтровать, но нужно ли это домашнему пользователю?
> что касается UDP, то разрешить прием/отправку UDP-пакетов > нужно только от/к DNS-сервера(у) твоего провайдера, и > только по 53 порту(DNS).
И Аська обломись?:))
Хотя совет по Асе ниже...
> в настройках ftp-клиента говоришь, что ты за фв и поэтому > нужно использовать PASV mode.
> если есть аська, то разрешаешь обращаться вовне по порту > 4000 или 5190, в зависимости от версии аськи. при этом > лучше запускать аську из-под твикера( читай записки > асечника на www.uinc.ru).
Пожалуй дополню:
- использовать анонимный прокси из (http://proxycheck.spylog.ru/index.phtml)
- настроить ФВ на работу тока с портом прокси и тока на его IP
- запретить прямое соединение вообще:
1. Активизировать меню "Послать через сервер Аськи"
2. Секурити закладка Direct connection "допускать прямое соединение только с пользователем моего контакт листа"
3. в МЕНЮ каждого чела из контактного листа:
- выставь авто посыл через сервер аськи
- показывать внешний IP
- видимый для него
(при общем режиме Инвизибл для этого пользователя будешь видимой)
Что мы имеем:
- легальное соединение Аськи только с прокси, а остально можно рубить дабы Аська самовольно иногда пытается устанавливать Прямое соединение, но оно просто лишнее!
Далее о браузее:
Если скорость твоего соединения достаточная то можно и браузер настраивать через анонимный проксик что и для Аськи ставила! В ФВ создаешь только одно правило на общение только с прокси IP и порт!
Установи любую смотрелку соединений и прослушиваемых портов. Для это подойдут: Ip tools (еще и Whois и полезные вещи)
NetMonitor (логирует все) Тоже полезно.
Теперь что мы имеем:
Теперь мы получаем два соединения с анонимным проксей по его порту!
Это твой браузер и твоя Ася!
Правда Ася еще будет прослушивать несколько портов. например 2000-ная Аська весьма большой интервал портов может прослушивать. Но главное, что соединений по ним не будет!
> В настройках браузера(MS IE, Netscape, Opera) запрети куки,
Добавлю:
Кукисы иногда нужны для авторизации или для некоторых настроек пользователя. Например в ЧАТе или каком нить др. ресурсе.
> JavaScript и ActiveX, последнее в особенности.
ActiveX - рубить без оглядки:)))
Хотя на нем повязан Флеш!
Странно, но факт! Без Актива его не будет:(
Но всегда можно ФВ отфильтровать отдельные правила для некоторых ресурсов...назовем из "доверительного характера"
JavaScript - и ДА и НЕТ!
Вот пока у нас буду ходить "ЧУДО" НЕ вэб-мастера, а ПОДмастерья у нас будут некоторые МЕНЮшки важные делать на Джаве. Т.е. при вырубленной Джаве ты просто ее не увидишь:)
Иногда даже не попадешь на сайт:)))
Иногда трудно будет понять куда попал:))))
Короче тут тоже требуется голова!
Все это решаемо сетевым фильтром_ака_ATGuard о котором я говорил!
Просто поставь его довеском к Зоне и работай лучше с ним т.к. зону один раз настроил и забыл!
Опять же Джава скрипт рубить там, где не доверяешь!
Совет:
Поставь довеском к AVP AVPScripter.
Он вроде должен перехватить "опасные" скрипты, но не факт! Хотя из моего опыта он добросовестно сработал один раз! Более случаев мною замеченно небыло!
Возвращаясь к ФВ и в частности к Zone Alarm советую поставить Pro версию!
В ней еще есть защита от мыльных аттачментов!
Давеча он предотвратил запуск сетевого червя:)))))
Действует зараза:))))
> MS Outlook удали, пользуйся TheBat! - каждый месяц по багу > находят:(.
Да!
Бат лучше и секурити у него лучше!
Совет:
запрети автоматическое отображение HTML-ной части писем!
> вот и все. никто тебя не обидит. это маниакальный набор > правил, главное, чтоб файервол без дырок был.
Главное чтоб костюмчик сидел:))))
P.S.
А вообще все советы плохо можно проанализировать т.к. никто по делу кроме ЙЦУКЕНГ не говорил:(
Тебе надо выработать схему своей секюрити.
Лучше опиши какими сервисами и приложения ты пользуешься в работе с интернетом, а я тебе обрисую картину точнее!
DiAnno
|
| | | | | | |
[виндоус хоум] о настройке ФВ и безопасности 10.10.01 00:12
Автор: Ira Статус: Незарегистрированный пользователь
|
Спасибо, большое!
Теперь буду разбираться! :))
Кстати, сейчас еще раз была атака:
The firewall has blocked Internet access to your computer (TCP Port 111) from 200.41.84.205 (TCP Port 3982) [TCP Flags: S].
Может это он так реагирует, когда кто-нить сканит порты сканером в большом диапазоне IP, а я думаю что это меня атакуют?
Да и еще, почему-то Word пытается соединиться с каким-то сервером!
У меня Ofice2000 - помоему это странно!
|
| | | | | | | |
О Word 10.10.01 11:23
Автор: paganoid Статус: Member Отредактировано 10.10.01 11:26 Количество правок: 1
|
Ворд лезет в инет? Это весьма паскудно, поскольку это означает то, что из ворда что-то (возможно, вредоносная надстройка) лезет в инет. (звучит как "масло маслянное", но это я к тому, что не САМ Word лезет, а какая-то гадыссь хочет у него на спине проехать)
Убери, как минимум, все лишние подключенные шаблоны и надстройки. Проверь директорию автозапуска Word . Запусти редактор VBA (Alt+F11) и проверь наличие макросов в Normal.dot и открываемых книгах. Если есть - you have been hacked.
|
| | | | | | | |
о ворде 10.10.01 00:23
Автор: йцукенг <jcukeng> Статус: Member
|
> Да и еще, почему-то Word пытается соединиться с каким-то > сервером! > У меня Ofice2000 - помоему это странно!
не пускай его никуда.
а лучше - сотри и вместо него поставь Лексикон.
|
|
|