id: Гость   вход   регистрация
текущее время 18:30 29/04/2024
Автор темы: Гость, тема открыта 26/09/2010 09:30 Печать
Категории: атаки
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ЦеленапрвленнаяАтакаИлиСлучайность
создать
просмотр
ссылки

Целенапрвленная атака или случайность


Доброго времени суток!
Из журнала фаервола узнаю, что были заблокированы многочисленные попытки вторжения:
приложение, инициировавшее попытку подключения – Windows OS
протоколы – TCP,UDP
IP источника – 219.122.176.71, 228.236.44.115, 58.240.80.18, 222.236.44.115, 77.37.200.200 и др., примечательно, что большая часть из тех, что проверены на страну, китайских
порт источника – различные из диапазона 1024-65535
IP назначения – мой
порты назначения – 80,25, привилигированные (1-1024).
Вопрос возникает, это зомби-компьютеры случайно вышли на мой IP или имеет место целенаправленная атака? Сканирование DrWeb не выявило вредоносного кода на моей машине.
Заранее спасибо


 
Комментарии
— Гость (26/09/2010 10:40)   <#>
Обычная практика, с китайских IP сканируют порты плюс атака по словарю, ищут внешний вход и root pass. Как правило всё шаблонно и неопасно, если система более-менее правильно настроена.
— Гость (26/09/2010 17:51)   <#>
приложение, инициировавшее попытку подключения – Windows OS
Так снесите винду, поставьте UNIX.
— Geidrow (26/09/2010 18:08)   <#>
поставьте UNIX
Вы утверждаете, что пользователи UNIX не подвергаются подобным атакам? Интересно, кстати, какие фаерволы существуют под nix'ы
— SATtva (26/09/2010 18:46)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Сканирование портов и попытки подбора паролей к ssh давно уже просто информационный шум.
— Гость (26/09/2010 19:20)   <#>
Вы утверждаете, что пользователи UNIX не подвергаются подобным атакам?
Подвергаются, но после "грамотной" настройки такие атаки совершенно не опасны.
Интересно, кстати, какие фаерволы существуют под nix'ы
/comment42096
— Гость (07/10/2010 17:59)   <#>
Comcast компрометирует себя
— Geidrow (07/10/2010 18:11)   <#>
Comcast компрометирует себя
Доброго времени суток!
Хотел спросить, кто-нибудь замечал в логах своих фаерволов попытки установления связи с 71.227.233.142 (c-71-227-233-142.hsd1.wa.comcast.net) по 500 порту.
На сайт comcast.net заходил месяц назад.
Интересен правовой аспект таких попыток подключения со стороны юридических лиц в смысле отстаивания своих прав в суде. Дело в том, что не будь фаервола, подключение установилось бы со службой lsass, отвечающей за безопасность (хранит информацию о безопасности для учетной записи локального пользователя)?
Заранее спасибо
— SATtva (07/10/2010 18:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Провайдер в общем случае не несёт ответственности за действия пользователей.
— Geidrow (07/10/2010 18:31)   <#>
Уважаемый SATtva, похоже, возникло недопонимание. Мой провайдер AlmaTV, а Comcast, по моему мнению, не имеет никаких оснований ломиться по 500 порту. Кстати, тогда, когда мною был посещен сайт comcast.net у меня фаервол не был установлен, а с момента последнего посещения comcast.net мой IP сменился. Возникает вопрос, как на этот конкретный IP (текущий) вышли серверы Comcast?
— SATtva (07/10/2010 18:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Тот хост, который Вы привели Выше, является адресом пользовательского пула Комкаста (Комкаст — один из крупнейших американских провайдеров). Почему Вы решили, что это сам Комкаст осуществляет названные действия, а не один из его пользователей с зомбированной машиной?
— Гость (07/10/2010 18:49)   <#>
Это предположение. Интересно, какие опасности несёт проникновение через 500 порт?
— SATtva (07/10/2010 18:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Виндовой склад ума Вас погубит. Система может вообще не иметь брандмауэра и стабильно работать. Всё зависит от надёжности самой системы и тех служб, которые слушают внешние подключения на тех или иных портах.
— Geidrow (07/10/2010 19:11)   <#>
:) Переход на nix планируется, но это требует предварительной подготовки и времени. На данный момент хотелось бы прояснить суть атаки.
— Гость (07/10/2010 23:27)   <#>
сканирование ваших портов вполне обычное дело, судя по логам моего д-линк попытка меня посканить фиксируется раз в 10...20 минут. пока комп ведет себя нормльно – наплевать и забыть.

"Интересно, какие опасности несёт проникновение через 500 порт?" – теже что и проникновение через любой другой порт или сервис – поставят шелкод и будут делать с вашим компом все шо захотят :)
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3