Pokaż wyniki 1 do 4 z 4

Temat: Włamanie na kompa - cz.2

  1. #1
    Zarejestrowany
    Feb 2011
    Postów
    8

    Domyślnie Włamanie na kompa - cz.2

    Pisałem już wcześniej ale mam jeszcze jedno pytanie odnośnie tych logów. a mianowicie:

    (Internet idzie do mojego sąsiada a dopiero później jest rodzielony od niego na 2 czy tam 3 inne mieszkania w tym do mnie )

    Czy ktoś uprzejmy wytłumaczy o co chodzi z tymi pakietami. Czasami nie wysyła lub nie odbiera nic aż tu nagle - nie będe kopiował wszystkiego bo dużo tego ale np:

    09:07:40 Blokuj IN UDP 192.168.2.6 138 192.168.2.255 138 Blokuj ruch NetBIOS
    09:07:40 Blokuj IN UDP 192.168.2.5 138 192.168.2.255 138 Blokuj ruch NetBIOS
    09:07:06 Blokuj IN UDP 192.168.2.3 138 192.168.2.255 138 Blokuj ruch NetBIOS
    09:05:42 Blokuj IN UDP 192.168.2.6 138 192.168.2.255 138 Blokuj ruch NetBIOS
    09:05:40 Blokuj IN UDP 192.168.2.5 138 192.168.2.255 138 Blokuj ruch NetBIOS
    09:05:30 Blokuj IN UDP 192.168.2.5 137 192.168.2.255 137 Blokuj ruch NetBIOS


    09:03:39 Blokuj IN UDP 192.168.2.3 68 255.255.255.255 67 Packet to closed port
    09:03:38 Blokuj IN UDP 192.168.2.5 68 255.255.255.255 67 Packet to closed port


    09:03:39 Blokuj IN UDP 192.168.2.3 68 255.255.255.255 67 Packet to closed port
    09:03:38 Blokuj IN UDP 192.168.2.5 68 255.255.255.255 67 Packet to closed port


    Tutaj już różne porty :

    2011-03-08 22:03:10 Blokuj IN UDP 192.168.2.4 49930 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.4 49930 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50031 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50031 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 137 192.168.2.255 137 Blokuj ruch NetBIOS
    2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 137 192.168.2.255 137 Blokuj ruch NetBIOS
    2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50031 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50029 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.4 49930 239.255.255.250 3702 Packet to closed port
    2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port

    I jeszcze jedno pytanie czy jeżeli w swoim firewallu np obserwuje zakładke "ruch sieciowy" i nic sie tam nie dzieje tzn nic nie wysyła ani nie odbiera
    a np wysyła lub odbiera pakiety to oznacza że ktoś mógł mi się włamać na kompa i np obserwować co robie?

    Z góry dzięki za pomoć!

  2. #2
    Zarejestrowany
    Oct 2008
    Skąd
    woj. Lubuskie. Dokładniej się nie da
    Postów
    405

    Domyślnie

    Jak jesteś z nim w sieci lokalnej, może nasłuchiwać "na kablu" czy nawet "na switchu". I to bez generowania jakiegokolwiek dodatkowego ruchu (karta w trybie promisc i chwila zabawy).
    Co do twojego logu, netbiosowy serwer nazw się rozgłasza. Nie widzę w tym nic szkodliwego. 67-68 to bodajże DHCP. Również niegroźne. Hehe pamiętam kiedyś jak pomyliłam atak z puknięciem z neostrady. WIna nortona, a że zwykle nie używam neo....
    Dalej log wydaje się ciekawszy.
    49930-- jakiś egzotyczny port. Sprawdź co na nim siedzi. Jeżeli u ciebie nic, możliwe że ktoś w twojej sieci lokalnej ma malware, który puka wszędzie pod podany port z nadzieją, że gdzieś jest on otwarty i...
    Nie strasząc horrorami: wyszukuje zombie.
    Koledzy, jeśli znacie ten port, powiedzcie co "normalnego" może na nim siedzieć. Komunikator jakiś? Gra? Klient p2p?
    Co do portu 50031, niektórzy stawiają na nim serwer CSa. Ale nie strać czujności, sprawdź netstatem co tam siedzi dodając przełącznik odpowiadający za wyświetlenie nazwy programu z nim powiązanego (odwołuję do mana). EventTracker KB --Port No 50031 Service Name client-port on Red Hat Linux 9.0 RFC Doc 0 Protocol UDP -- jeszcze coś takiego o tym porcie znalazłam'

    50027 EventTracker KB --Port No 50027 Service Name client-port on Red Hat Linux 9.0 RFC Doc 0 Protocol UDP
    Kolejny egzotyczny port. Potraktować podobnie

    137 - znana bajka. Niby netbios-ns , ale często się słyszało o niegrzecznym sofcie co się pod ten port podpinał.
    Port 137 Information - TCP & UDP Port 137
    3702 WS-discovery . Więcej http://docs.oasis-open.org/ws-dd/dis....1-spec-os.pdf Używasz tego? Port 3702 Information - TCP & UDP Port 3702

    Tak czy inaczej, najbardziej mnie te piątki intrygują. Ktoś do ciebie puka?
    Na wszelki wypadek przeskanuj dysk systemowy pod względem występowania malware. Użyj opcji dokładnej. Zapuść na noc. I jeszcze powiedz osobom z sieci lokalnej by się przeskanowali. Bardzo możliwe, że ktoś ma u siebie szkodliwe oprogramowanie (załapał syfa) i teraz próbuje się ono rozprzestrzenić po localu. Jako że masz firewalla, wyciąłeś niechciany ruch. I dobrze. Tak to ma działać. Jednak ostrożności nigdy nie za wiele. To Ty masz się czuć pewnie na swojej maszynie. Jeżeli coś przykuło twoją uwagę i cię zaniepokoiło, check it
    Tyle ode mnie
    Jeśli nie będziesz mieć pod górke, nigdy nie dojdziesz na szczyt.

  3. #3
    Zarejestrowany
    Feb 2011
    Postów
    8

    Domyślnie

    A co to znaczy że może nasłuchwać? że widzi wszystko co robie w necie?
    Jesli tak to da sie to jakos zablokowac?

    a co do sprawdzenia tych portów to prosiłbym o wytłumaczenia na prostu język gdyż zupełnie nie kumam tego, jestem zielony w tych sprawach
    Ostatnio edytowane przez Matt10 : 03-09-2011 - 10:21

  4. #4
    Zarejestrowany
    Oct 2008
    Skąd
    woj. Lubuskie. Dokładniej się nie da
    Postów
    405

    Domyślnie

    Nasłuchiwanie to jeszcze nie "widzenie tego co robisz w necie". Obadaj czy nie masz jakichś połączeń jako LISTEN (w netstacie). Nasłuchiwanie, oznacza wystawienie "aplikacji serwerowej" na dany otwarty port. Jeżeli coś spróbuje się z nim połączyć (np. klient trojana z pakietami instrukcji), aplikacja zareaguje tak, jak klient od niej chce a serwer to umożliwia. Jak się zabezpieczyć? Firewall i pozamykanie niepotrzebnych usług w systemie.
    a co do sprawdzenia tych portów to prosiłbym o wytłumaczenia na prostu język gdyż zupełnie nie kumam tego, jestem zielony w tych sprawach
    Kod:
    netstat /?
    --jeżeli na windows
    Kod:
    netstat --help
    --jeżeli na linux
    Przerzuć sobie do pliku (dopisz na końcu
    Kod:
    >plik.txt
    ) w celu późniejszej analizy. Pod linuxem by ci się przydał grep. Jednak pominę. Nie znam odpowiednika windows.
    A przeskanowałeś normalnym antywirem?
    Jeśli nie będziesz mieć pod górke, nigdy nie dojdziesz na szczyt.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj