Сетевые атаки

Работа с другими провайдерами, вирусы

Сообщение ksenia » 22 мар 2009 13:05

Постоянные атаки с этих адресов!
Примите меры, пожалуйста!

22.03.2009 13:02:42 Активный ответ Существенный Входящее Нет 94.141.43.56 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 13:01:36 22.03.2009 13:01:36

22.03.2009 13:02:42 Предотвращение вторжений Критический Входящее TCP 94.141.43.56 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 C:\WINDOWS\system32\svchost.exe 1 2-973F3BF5906D4 Default 1 22.03.2009 13:01:36 22.03.2009 13:01:36

22.03.2009 13:02:14 Активный ответ отключен Информация Нет Нет 94.141.43.56 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 13:01:08 22.03.2009 13:01:08

22.03.2009 12:57:13 Активный ответ отключен Информация Нет Нет 94.141.51.186 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:56:11 22.03.2009 12:56:11

22.03.2009 12:57:01 Активный ответ отключен Информация Нет Нет 94.141.32.114 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:55:59 22.03.2009 12:55:59

22.03.2009 12:56:39 Активный ответ отключен Информация Нет Нет 94.141.45.33 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:55:33 22.03.2009 12:55:33

22.03.2009 12:51:22 Активный ответ Существенный Входящее Нет 94.141.43.56 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:51:08 22.03.2009 12:51:08

22.03.2009 12:51:22 Предотвращение вторжений Критический Входящее TCP 94.141.43.56 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 C:\WINDOWS\system32\svchost.exe 1 2-973F3BF5906D4 Default 1 22.03.2009 12:51:07 22.03.2009 12:51:07

22.03.2009 12:48:28 Активный ответ отключен Информация Нет Нет 94.138.87.53 00-00-00-00-00-00 0.0.0.0 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:47:26 22.03.2009 12:47:26

22.03.2009 12:47:15 Активный ответ Существенный Входящее Нет 94.141.51.186 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:46:10 22.03.2009 12:46:10

22.03.2009 12:47:15 Предотвращение вторжений Критический Входящее TCP 94.141.51.186 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 C:\WINDOWS\system32\svchost.exe 1 2-973F3BF5906D4 Default 1 22.03.2009 12:46:10 22.03.2009 12:46:10

22.03.2009 12:46:05 Активный ответ Существенный Входящее Нет 94.141.32.114 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:45:58 22.03.2009 12:45:58

22.03.2009 12:46:05 Предотвращение вторжений Критический Входящее TCP 94.141.32.114 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 C:\WINDOWS\system32\svchost.exe 1 2-973F3BF5906D4 Default 1 22.03.2009 12:45:57 22.03.2009 12:45:57

22.03.2009 12:46:05 Активный ответ Существенный Входящее Нет 94.141.45.33 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:45:32 22.03.2009 12:45:32

22.03.2009 12:46:05 Предотвращение вторжений Критический Входящее TCP 94.141.45.33 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 C:\WINDOWS\system32\svchost.exe 1 2-973F3BF5906D4 Default 1 22.03.2009 12:45:31 22.03.2009 12:45:31

22.03.2009 12:38:31 Активный ответ Существенный Входящее Нет 94.138.87.53 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 1 2-973F3BF5906D4 Default 1 22.03.2009 12:37:26 22.03.2009 12:37:26

22.03.2009 12:38:26 Предотвращение вторжений Критический Входящее TCP 94.138.87.53 00-00-00-00-00-00 94.141.45.105 00-00-00-00-00-00 C:\WINDOWS\system32\svchost.exe 1 2-973F3BF5906D4 Default 1 22.03.2009 12:37:25 22.03.2009 12:37:25
ksenia

 
Сообщения: 1
Зарегистрирован:
22 мар 2009 12:59

Сообщение Diesel » 22 мар 2009 13:39

примем меры
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1533
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение dalex » 22 мар 2009 17:49

Интересно как - это 94.138.87.53 и т.п. - Дания.
Аватара пользователя
dalex
На борту
На борту
 
Сообщения: 156
Зарегистрирован:
05 фев 2009 12:55

Сообщение Diesel » 22 мар 2009 20:41

насчет того что тп это понятно, те что с фридома были- сидели без антивируса- приняли к сведению-обещали все исправить.. Как говорится на совести клиентов.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1533
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение dalex » 23 мар 2009 11:37

ksenia

Уважаю - так их и надо - пусть боятся.
Аватара пользователя
dalex
На борту
На борту
 
Сообщения: 156
Зарегистрирован:
05 фев 2009 12:55

Сообщение pavel28 » 05 апр 2009 22:52

добавлю один вроде локальный адресок: 10.0.28.214 - это же фридомовский? Достал ужо. Про внешние не буду писать, т.к. нет смысла, а вот своего доморощенного хукера надо хуком слева, не поймет - справа и нафиг вон из сети перманент. ИМХО

Добавлено спустя 9 минут 1 секунду:

Michael писал(а):Loader
на 99% что у него просто вирусняк на компе, а пользователь чайник, а не "кул хацкер"

Добавлено спустя 53 минуты 29 секунд:

с адреса 10.0.156.68 сканировали порты на моем компе, тщательно сканировали, в течение 30 мин, потом отстали...


Да не отстали - залезли и сообщение прекратило орать что идет скан портов. :-D

Добавлено спустя 2 минуты 4 секунды:

а вообще есть проги определяющие сканирование портов. раньше точно были, ща я так понимаю это не нужно, справляется фаэрвол. Кстати советую все порты закрыть, а какие нужно контроллировать - какая никакая а защита будет.
Зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни, зевни
Аватара пользователя
pavel28
Штурман
Штурман
 
Сообщения: 716
Зарегистрирован:
02 авг 2008 22:36
Откуда: Оттудова

Сообщение Татутхамон » 28 апр 2009 21:00

Всем здрасте, а у меня сегодня целый вечер вот такая канитель можт кому интересно: записи детектора атак
21:32:06 0.0.0.0 Атакующий разблокирован
21:27:06 0.0.0.0 Узел заблокирован на 5 мин. ARP_SCAN
21:14:16 94.141.60.15 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (34560)
21:10:13 94.141.54.198 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (34560)
21:06:53 94.141.62.168 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (34560)
21:04:43 0.0.0.0 Атакующий разблокирован
20:59:43 0.0.0.0 Узел заблокирован на 5 мин. ARP_SCAN
20:58:29 94.141.32.194 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (34560)
20:51:07 94.141.42.85 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173)
20:41:44 94.141.41.246 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173)
20:38:03 0.0.0.0 Атакующий разблокирован
20:35:08 0.0.0.0 Подсеть заблокирована на 5 мин. ARP_SCAN
20:31:15 94.141.51.132 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (34560)
20:15:43 94.141.56.38 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (38667)
четыре ноля эт что интересно?
а еще записи журнала пакетов:
21:36:17 Блокировать IN IGMP 10.0.108.68 239.255.255.250 Block IGMP
21:36:07 Блокировать IN IGMP 10.0.108.65 224.0.0.1 Block IGMP
21:34:09 Блокировать IN IGMP 10.0.108.68 239.255.255.250 Block IGMP
21:34:01 Блокировать IN IGMP 10.0.108.65 224.0.0.1 Block IGMP
21:32:06 Блокировать IN Ethernet 00-19-5b-f1-ea-82 ff-ff-ff-ff-ff-ff 00-19-5B-F1-EA-82
21:32:02 Блокировать IN IGMP 10.0.108.68 239.255.255.250 Block IGMP
21:32:02 Блокировать IN Ethernet 00-19-5b-f1-ea-82 ff-ff-ff-ff-ff-ff 00-19-5B-F1-EA-82
21:31:58 Блокировать IN Ethernet 00-19-5b-f1-ea-82 ff-ff-ff-ff-ff-ff 00-19-5B-F1-EA-82
21:31:58 Блокировать IN Ethernet 00-19-5b-f1-ea-82 ff-ff-ff-ff-ff-ff 00-19-5B-F1-EA-82
а у меня фрвл настроен блокировать адрес атакующего на несколько минут. вместе с этим отключается и весь интернет включая как локалку так и внешку. чет мне кажется сегодня не у меня одного такая хрень. вот эт вот запись определяется как мак адрес атакующего: 00-19-5B-F1-EA-82. неприятно вобчем, работать неудобно. какат гадость завелась наверное в сети
Татутхамон

 

Сообщение YoungMax » 28 апр 2009 21:20

ничего страшного если порт один раз просканят.
небось кто-то из друзей сканит твой комп на открытые порты.
а вот насколько я понимаю IN Ethernet 00-19-5b-f1-ea-82 ff-ff-ff-ff-ff-ff 00-19-5B-F1-EA-82 это локалка,мб шлюз он блокирует и пакеты входящие не проходят к твоему компу,поэтому и отключается инет и локалка
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Сообщение Татутхамон » 28 апр 2009 21:30

ну я не ос продвинутый в этом деле, но что то подобное предполагал, спасибо.
Татутхамон

 

Сообщение Lucky SB » 28 апр 2009 22:15

Татутхамон писал(а):а у меня фрвл настроен блокировать адрес атакующего на несколько минут. вместе с этим отключается и весь интернет включая как локалку так и внешку

настройте файрвол так, чтобы он не отключал инет и локалку )))

20:58:29 94.141.32.194 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (34560)
20:51:07 94.141.42.85 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173)
20:41:44 94.141.41.246 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (39173)

сдаеться мне, что это торрент-клиенты от горе-абонентов с ненастроенным роутингом коннектятся
BS3023-RIPE
Телепат-любитель
Аватара пользователя
Lucky SB
Командир корабля
Командир корабля
 
Сообщения: 2978
Зарегистрирован:
06 дек 2007 20:30

Сообщение Татутхамон » 28 апр 2009 22:52

у меня в настройке блокировки узлов был всего один адрес 0.0.0.0,
получается это IC што ли? ) фрвл рубит этот адрес из-за ARP_SCAN , ну вобчем маленько перенастроил стенку думаю все будет нормально
Татутхамон

 

Сообщение Diesel » 29 апр 2009 13:48

Татутхамон писал(а):у меня в настройке блокировки узлов был всего один адрес 0.0.0.0,
получается это IC што ли? )
С чего бы это Информсвязь то???
0.0.0.0 это насколько я помню "все локальные интерфейсы"
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1533
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Lucky SB » 29 апр 2009 21:58

Diesel писал(а):0.0.0.0 это насколько я помню "все локальные интерфейсы"

вы таки совсем неправильно помните.
перестаньте юзеров смущать....

адрес без маски бессмысленен.
Судя по результатам блокирования его фаер под адресом 0.0.0.0 понимал сеть 0.0.0.0 с маской 0.0.0.0, под эту сеть попадают ВСЕ возможные ipv4 адреса.
BS3023-RIPE
Телепат-любитель
Аватара пользователя
Lucky SB
Командир корабля
Командир корабля
 
Сообщения: 2978
Зарегистрирован:
06 дек 2007 20:30

Сообщение Lucky SB » 30 апр 2009 07:55

Diesel
Человек вот что писал:
Татутхамон писал(а):20:35:08 0.0.0.0 Подсеть заблокирована на 5 мин. ARP_SCAN
BS3023-RIPE
Телепат-любитель
Аватара пользователя
Lucky SB
Командир корабля
Командир корабля
 
Сообщения: 2978
Зарегистрирован:
06 дек 2007 20:30

Сообщение Diesel » 30 апр 2009 08:03

человек писал и вот это...
21:32:06 0.0.0.0 Атакующий разблокирован ...
По моему тут не место для полемики, тут человеку нужно с файерволом разобратся! Если стоит аутпост, то люди советуют в интернете следующее:
В Outpost - надо блокировать для SVCHOST.exe всё что содержит порты 1900 и 5000 (именно эти цифры, а не диапозоны). Разрешить UDP для сетей 169.*.*.* , 10.*.*.*, 212.*.*.* , 224.*.*.*
В Глобальных правилах по умолчанию всё нормально.
В детекторе атак - уровень тревоги обычный, Ethernet - все галочки.
Netbios отключить в аутпосте.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1533
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Пред.След.

Вернуться в Freedom + другие провайдеры

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron