Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Позавчера на мой комп была попытка несанкционированого входа с сервера aquaforum.kiev.ua.! У меня на компе стоит фаервол который обрезал атаку. Но у большинства пользователей я думаю даже нет антивирусных програм. Кстати антивирус Касперского от такого не спасает ! В связи с этим предупреждаю пользователей !
Интересно, а что скажет на это сообщение Александр Бешлега ?

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

А может это просто кукисы с аквафорума хотели прописаться без всяких задних мыслей? :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

А подробнее, если не секрет? Какой на порт, какая атака?
Скорее всего это параноя у "стены", ведь при определенных настройках даже 2 пинга с интервалом менее чем 10 сек воспринимаются как атака.
Все ИМНО, я не сисадмин, а простой пользователь ПК

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

У меня AGNITUM фаервол выдал сообщение об отражении атаки с сервера на какой порт непомню 10 июля 0:09:34 ночьки.

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Если я не путаю то по моему Rst атака.

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

У твоего файрвола должны быть логи (журнал собщений). Вот посмотри эти самые логи и выложи здесь сообщение об атаке. А то тот же самый Бешлега, он ведь не телепат, а админ форума (по совместительству). И я не думаю что он угадает что это у тебя было.
Так что логи в студию! :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

у меня такой же фаервол , но меня никто не атаковал :) только AGNIUM

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

10.07.2006 0:09:34 Rst атака 213.169.66.5 -> 213.169.66.5

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

а где вы отчеты смотрите, что то я тоже найти хочу и не знаю где они?

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

меня по нескольку раз в день атакуют с разных ай пи. но я никогда не проверяю откуда они

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

В инете куча вопросов от польователей Outpost (у меня тоже он) по поводу rst (на гугле ключи "rst атака") - все склонны, что это глюк - данная стена неправильно отрабатывает принудительное закрытие соединения по таймауту, если я правильно резюме сделал :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Мне Марченков тоже говорил об атаке с форума. Я больше склонен к тому, о чем написал Михайло. Но сейчас буду сисадмина дергать.

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

А, тут как то с уже такое было и мне сообщали о портах. Вот лог фаервола:
[06/Jun/2006 10:10:47] PORTSCAN hostip="213.169.66.5"
hostname="www.aquaforum.kiev.ua" log="protocol: TCP, source:
213.169.66.5, destination: хх.хх.ххх.ххх, ports: 57611, 57612, 57613,
57615, 57616, 57622, 57623, 57636, 57712, 57713, ..." time="Tue Jun 06
10:10:47 2006" username="not logged yet"

И таких сканирований была куча, через каждые 3 минуты.
Ответ сисадмина по этому поводу:

"мне тяжело сказать на 100%
но судя по диапазону портов (от 52000 и выше)
скорее всего на сервере с ip-address хх.хх.ххх.ххх стоит Linux/FreeBSD, за которым в офисе сидят люди. Этот сервер делает NAT (маскарад по-русски) запросов клиентов с офиса.
При маскараде сервер использует порты выше 52000
Идет назад от сервера ответ, и дурной firewall на ответы от сервера реагирует."

Я: "Т.е. это не сканирование портов с моего сервера?"
Сисадмин: "на 99% -- нет
Ибо сканируют обычно порты в диапазоне от 1 до 5000-6000, ну до 10000.
Самый ценный диапазон портов 1 -- 1023 -- ибо на нем обычно висяст все сервисы. MySQL, правда, висит на 3306, MSSQL -- 1453, если не ошибаюсь"

Может это именно оно?

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Проблемы у Аутпоста судя по схожим вопросам к службам поддержки возникают обычно при работе с форумами.
Кроме того определенные версии за атаки воспринимали все подряд - мне наверное раза 3 за приходилось откатываться на старые версии, пока это не фиксили. Сейчас пользуюсь 3.5.638.6208 (457) - массовых срабатований нет, но это при уровне обычный и локальные компы пришлось в исключения записать - локалка, а то и 127.0.0.1 блокируется часто, особенно если много соединений открываешь.

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Ги.... А я свої прогри на 5505 порт вішаю.....

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Ну слава богу ! Все спокойно и жизнь прекрасна !

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

А для підстраховки тут невірний порт привів на всяк випадок, щоб хакерів ввести в оману :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Та ні, реальний, правда у брандмауері від відкритий тільки для локальної мережі :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

а не підкажеш свій діапазон адрес локальної мережі? :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

від 1 до 255 :)

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Outpost тут не причем. Log про который Саша говорил присылал я, а у нас outpost -а нет.
Так что успокаиваться рано :) .

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Дима, у тебя точно не причем, но Он так же плохо с форумами работает.

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Я как сисадмин могу сказать следующее - данная ситуация могла возникнуть по следующей причине - с xxx.xxx... на 213.169.66.5 пошло много запросов на страничку (например несколько страниц сразу открывается или технология prefetch - запрос следующих страниц пока эту читаешь, либо просто кучу картинок). В этом случае запрсы идут
от ххх.ххх порт 57611 на 213.169.66.5 порт 80
от ххх.ххх порт 57616 на 213.169.66.5 порт 80
и т.д. т.е. соединение (правильно говорить TCP сессию) открывает (инициирует) ххх.ххх....
причем каждая новая сессия со стороны ххх.ххх использует порты на ххх.ххх. выше 1024 и практически "подряд" - это зависит от способа доступа в Интернет (через NAT на ххх.ххх.., напрямую, чарез NAT провайдера-обычно для модемных соединений, через прокси на ххх.. или провайдере и тд).
Далее возможны несколько выриантов: Запросы ушли, Агнитум зафиксировал это соединение как безопасное (открыто ххх.ххх значит ответы ожидаемы) - по дороге запросы либо ответы задержались и соединение закрылось по тайм-ауту. А тут приходят ответы с флагами (должны они быть такими) как бдто соединение существует и агнитум со спокойной совестью считает его атакой (ведь про инициацию соединения от ххх.ххх он уже ничего не помнит)
Этот случай самый маловероятный.
Другой случай - попытка скана с подменой ИП источника - но в этом случае сканирующий должен видеть ваш трафик - самое вероятное доступ в Инернет через Ethernet - так называемые Homenet.
Самое вероятное - видя приход большого количества пакетов (ответов на запрос) за короткий промежуток Агнитум решает что "лучше перебдеть чем недобдеть" и пишет в Логи PORTSCAN - он страдал излишней подозрительностью всегда но на порядок меньше чем Касперский Антихакер. В данном случае это чистый глюк.
Мой совет владельцам файрвола - если он что-то написал в логи - значит увидел - значит пресек (к сожалению часто нужное) - Радуйтесь. Если вас сломают (тем более грамотно) - сообщений не увидите. Хуже когда в логах все спокойно - в Интернете такого не бывает !

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Значит как говаривал мой дедушка:
Даже если у вас нет паронои, это не значит что за вами не следят !

Re: Атака на домашний комп с сервера aquaforum.kiev.ua !
 

Ваш дедушка не в разведке работал? :)
В общем-то из всего вышесказанного понятно, что для особых опасений предпосылок нет. Но ухо востро надо держать :)