информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Все любят медСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Объясните кто знает, что это означает. 16.05.01 00:51  
Автор: Grig Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Свидетельствуют ли эти сообщения, выданные мне ZoneAlarm Pro об "атаке на мой компьютер" . Если да, то какое именно и что мне надо предпринять?
Если нет, то зачем он мне выдает эту информацию?
Благодарю за ответ.

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.201 (TCP Port 3003) [TCP Flags: S].
Time: 15.05.2001 21:05:16

The firewall has blocked Internet access to your computer (DNS) from 64.50.33.162 (TCP Port 3460) [TCP Flags: S].
Time: 15.05.2001 21:58:04

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.199 (TCP Port 1531) [TCP Flags: S].
Time: 15.05.2001 22:25:32

The firewall has blocked Internet access to your computer (TCP Port 123) from 213.41.41.37 (TCP Port 4747) [TCP Flags: S].
Time: 15.05.2001 22:35:42

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.152 (TCP Port 1228) [TCP Flags: S].
Time: 15.05.2001 23:50:56

The firewall has blocked Internet access to your computer (TCP Port 10008) from 211.114.147.34 (TCP Port 3920) [TCP Flags: S].
Time: 16.05.2001 0:12:38

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.152 (TCP Port 1710) [TCP Flags: S].
Time: 16.05.2001 0:28:12

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.152 (TCP Port 2225) [TCP Flags: S].
Time: 16.05.2001 0:30:40

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.152 (TCP Port 2486) [TCP Flags: S].
Time: 16.05.2001 0:40:48

The firewall has blocked Internet access to your computer (TCP Port 27374) from 195.250.69.152 (TCP Port 3059) [TCP Flags: S].
Time: 16.05.2001 0:44:06

The firewall has blocked Internet access to your computer (TCP Port 111) from 210.183.232.170 (TCP Port 1768) [TCP Flags: S].
Time: 16.05.2001 1:00:46
Василий тебе @#$ню сказал по причине того, что перепутал входные и выходные порты. 17.05.01 11:55  
Автор: SOLDIER Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Приступаем к дешифрированию вумных сообщений.

> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.201 (TCP Port 3003) [TCP
> Flags: S].
> Time: 15.05.2001 21:05:16

Cудя по всему, некий мэн щупал тебя на наличие какого-то трояна. Потому как ОФИЦИАЛЬНО порты 27346-27998 IANA не назначены. В пакете стоит флаг SYN (S)-стало быть это запрос клиента на установление связи с сервером. Сетка, если тебя интересует, принадлежит Arminco Ltd, что в стольном граде Ереване, Армения. Кстати, там внизу довольно много подобных запросов от других серверов данной сетки. В описалово на неё значится, что это диалапный пул. На одиночные запросы подобного типа в принципе, можно не реагировать. Но вот на 7 атак в течении 3 часов стоило бы связаться с админом сети. Впрочем, решать тебе.

>
> The firewall has blocked Internet access to your computer
> (DNS) from 64.50.33.162 (TCP Port 3460) [TCP Flags: S].
> Time: 15.05.2001 21:58:04

Обращение по ДНС-порту (53) по TCP-протоколу. В общем, большого криминала тоже нет при одиночном обращении. Но в принципе, не так давно в реализации BIND для многих *nix-систем была обнаружена довольно серьёзная дыра, позволяющая удалённо проламывать систему до рута. Возможно, у тебя и искали подобную версию уязвимого ДНС. Как я слышал, новые трояны (черви, вернее) для ЛИНУХ - Lion, Raven используют 53 порт не-то для рассылки себя, не то для определения уязвимой системы. Сетка принадлежит MRI International (наверное, Штаты-лениво проверять).

<...scipped...>

> The firewall has blocked Internet access to your computer
> (TCP Port 123) from 213.41.41.37 (TCP Port 4747) [TCP
> Flags: S].
> Time: 15.05.2001 22:35:42

Порт 123 используется протоколом NTP-сетевая служба времени. При помощи оного корректируется системное время клиентами ntp. Вроде тоже не так давно по БахТрахам проходила инфа о дырявости этого протокола. Сетка французская. Париж. Контора-какой-то Colt (пистолеты, наверное, тебе впарить хотели ;) ).



> The firewall has blocked Internet access to your computer
> (TCP Port 10008) from 211.114.147.34 (TCP Port 3920) [TCP
> Flags: S].
> Time: 16.05.2001 0:12:38

Сетка корейская. Более подробно мона глянуть на
http://whois.nic.or.kr. Назначение порта мне неизвестно. IANA он тоже не назначен.

<...scipped...> Тут опять баловались говпода армяне.

> The firewall has blocked Internet access to your computer
> (TCP Port 111) from 210.183.232.170 (TCP Port 1768) [TCP
> Flags: S].
> Time: 16.05.2001 1:00:46

Порт RPC-служб. Обращение к службе portmapper, управляющей RPC-сервисами. Известен своей дырявостью. Доступ мона получить командой rpcinfo -p ip. Кажись прошлой осенью была найдена дыра в ЛИНУХах и Солярисах в демоне rpc.statd. Cетка тож корейская.

----------------------
Подводя итог. Кроме скана с Еревана я бы на остальное внимания не обращал. Обычные пробы на дырявые службы. Попытки незаконного входа не было. В принципе даже сканирование не является преступлением. Так что решай сам. ;)
Да ну тя на$#$ с такой статистикой............ :) 16.05.01 04:39  
Автор: Prototip Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Свидетельствуют ли эти сообщения, выданные мне ZoneAlarm
> Pro об "атаке на мой компьютер" . Если да, то какое именно
> и что мне надо предпринять?
> Если нет, то зачем он мне выдает эту информацию?
> Благодарю за ответ.
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.201 (TCP Port 3003) [TCP
> Flags: S].
> Time: 15.05.2001 21:05:16
>
> The firewall has blocked Internet access to your computer
> (DNS) from 64.50.33.162 (TCP Port 3460) [TCP Flags: S].
> Time: 15.05.2001 21:58:04
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.199 (TCP Port 1531) [TCP
> Flags: S].
> Time: 15.05.2001 22:25:32
>
> The firewall has blocked Internet access to your computer
> (TCP Port 123) from 213.41.41.37 (TCP Port 4747) [TCP
> Flags: S].
> Time: 15.05.2001 22:35:42
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.152 (TCP Port 1228) [TCP
> Flags: S].
> Time: 15.05.2001 23:50:56
>
> The firewall has blocked Internet access to your computer
> (TCP Port 10008) from 211.114.147.34 (TCP Port 3920) [TCP
> Flags: S].
> Time: 16.05.2001 0:12:38
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.152 (TCP Port 1710) [TCP
> Flags: S].
> Time: 16.05.2001 0:28:12
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.152 (TCP Port 2225) [TCP
> Flags: S].
> Time: 16.05.2001 0:30:40
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.152 (TCP Port 2486) [TCP
> Flags: S].
> Time: 16.05.2001 0:40:48
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.152 (TCP Port 3059) [TCP
> Flags: S].
> Time: 16.05.2001 0:44:06
>
> The firewall has blocked Internet access to your computer
> (TCP Port 111) from 210.183.232.170 (TCP Port 1768) [TCP
> Flags: S].
> Time: 16.05.2001 1:00:46
Да-да на тя напали и хотят ограбить... 16.05.01 04:09  
Автор: Василий Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Свидетельствуют ли эти сообщения, выданные мне ZoneAlarm
> Pro об "атаке на мой компьютер" . Если да, то какое именно
> и что мне надо предпринять?

ТВОЙ ФАЙЕРВОЛ БЛОКИРОВАЛ ПОПЫТКУ ВХОДА ПО ЭТИМ ПОРТАМ... ОДНА ТОКА ПРОСЬБА НЕ НАДО ПИСАТЬ ПРОВУ ОБ ЭТОМ, РАЗ ТЫ ХОДИШЬ НА ТАКИЕ САЙТЫ САМ НАВЕРНО НЕ БЕЗ ГРЕХА.. ИЛИ КАДА НИДЬ СОГРЕШИШЬ ИЛИ ХОЧИШЬ СОГРЕШИТЬ...

> Если нет, то зачем он мне выдает эту информацию?
> Благодарю за ответ.
>
> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.199 (TCP Port 1531) [TCP
> Flags: S].
> Time: 15.05.2001 22:25:32

ИСПОЛЬЗУЕТСЯ RAP-LISTEN`ОМ

>
> The firewall has blocked Internet access to your computer
> (TCP Port 123) from 213.41.41.37 (TCP Port 4747) [TCP
> Flags: S].
> Time: 15.05.2001 22:35:42
>

ИСПОЛЬЗУЕТСЯ N1-RMGMT

> The firewall has blocked Internet access to your computer
> (TCP Port 27374) from 195.250.69.152 (TCP Port 1710) [TCP
> Flags: S].
> Time: 16.05.2001 0:28:12
>
ИСПОЛЬЗУЕТСЯ IMPERA`Й....

КОРОЧЕ УСТАЛ ПИСАТЬ .. САМ ПОИЩИ ПРО ПОРТЫ... НО ВЫДНО ЭТО ЧЕЛ (ПО ХОДУ С ТВОЕГО ПРОВА) И ОН РЕШИЛ ТЯ ДОСТАТЬ... И КОНКРЕТНО ПРОСКАНИТЬ... МОЖА 139 ЕГО ТАК ПРИВЛЕК... ЗАКРОЙ ТАДЫ ЕГО... ПОСМОТРИ СВОИ ОТКРЫТЕ ПОРТЫ NETSTAT`ОМ

ТИПА NETSTAT -A НАДЕЮСЬ ЗНАЕШЬ ГДЕ ПИСАТЬ И ГДЕ NETSTAT ИСКАТЬ :))
2 Василий. Спасибо тебе за консультацию! 16.05.01 08:45  
Автор: Grig Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо, что не поленился и ответил. А прову писать я и не собирался.
Если кому-то хочется сканировать меня, ( не достигая при этом своей конечной цели ), то пускай мучается на здоровье. :))))))
А что касается того, что и сам могу "когда-нибудь согрешить", то меня такого рода деятельность просто не интересует.
Еще раз спасибо тебе за советы.
С уважением Grig.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach