Atak na moj komputer
mam norton antywirus 2003 z firewallem i 14 lipca ktos mnie zatakowal. Wyswietlilo ze z LONDYNU.i numer jego ip i nazwa komputera: xxx.xxx.xxx.xxx–br.blueyonder.co.uk Mam cos dalej robic po tym ataku? np zmienic Ip (mam SDI) instalujac Windowsa xp od poczaku? czy po prostu miec wlaczanego FIReWALLA? a jak zawiedzie??
Regulamin zabrania podawania adresów ip, nawet jeźeli był przeprowadzony z niego atak ––– SLAY3R –––
Regulamin zabrania podawania adresów ip, nawet jeźeli był przeprowadzony z niego atak ––– SLAY3R –––
Odpowiedzi: 20
Ja stawiam na kontakt z adminem.
Dokładnie>dzień,godzina,nr.IP,szczególowy opis zdarzenia,opis ataku i rozmiar szkód.
Żadko zdarzają się podmiany,a powaźny atak i tak nie ujawnia nigdy prawdziwego adresu.
Często zdarza się,źe włamywacze,w celu utrudnienia ich wyśledzenia,atakują z dynamicznych adresów IP – za pomocą modemu i połączenia dial–up.I aby namierzyc włamywacza naleźy skontaktować się z dostawcą internetu.Np.gdy korzystał on z usług TP SA,zaźalenie trzeba skierowac na adres abuse@tpnet.pl
Szczególy sa pod adresem www.tpnet.pl/abuse.php
Inna sprawa,gdy agrsor korzysta z tzw. odskoczni.Zanim zaatakują ciebie,łączą się kolejno poprzez inne hosty w sieci(do których mieli wczesniej dostep)i dzięki temu kilkakrotnie zmienia się ich adres IP.
W środowiskach hakerskich znane są techniki,pozwalające na ukrycie bądź modyfikowanie adresu komputera intruza.Zatem,moźe się zdarzyć,źe zebrane dowody – prowadzą do nikąd :!:
Oto opis najczęściej spotykanych flag pakietów TCP
–S (Syn) – oznacza pakiet nawiązujący połączenie,
F(Fin)& R(Reset) – zerawanie bądź zakończenie połączenia,
A(ACK) – potwierdzenie np.nawiązania połączenia albo odebranie pakietu.
Przy kaźdym ataku i jego opisie firewall podaje flagę.Tak czyni np.:ZoneAlarm.
Dokładnie>dzień,godzina,nr.IP,szczególowy opis zdarzenia,opis ataku i rozmiar szkód.
Żadko zdarzają się podmiany,a powaźny atak i tak nie ujawnia nigdy prawdziwego adresu.
Często zdarza się,źe włamywacze,w celu utrudnienia ich wyśledzenia,atakują z dynamicznych adresów IP – za pomocą modemu i połączenia dial–up.I aby namierzyc włamywacza naleźy skontaktować się z dostawcą internetu.Np.gdy korzystał on z usług TP SA,zaźalenie trzeba skierowac na adres abuse@tpnet.pl
Szczególy sa pod adresem www.tpnet.pl/abuse.php
Inna sprawa,gdy agrsor korzysta z tzw. odskoczni.Zanim zaatakują ciebie,łączą się kolejno poprzez inne hosty w sieci(do których mieli wczesniej dostep)i dzięki temu kilkakrotnie zmienia się ich adres IP.
W środowiskach hakerskich znane są techniki,pozwalające na ukrycie bądź modyfikowanie adresu komputera intruza.Zatem,moźe się zdarzyć,źe zebrane dowody – prowadzą do nikąd :!:
Oto opis najczęściej spotykanych flag pakietów TCP
–S (Syn) – oznacza pakiet nawiązujący połączenie,
F(Fin)& R(Reset) – zerawanie bądź zakończenie połączenia,
A(ACK) – potwierdzenie np.nawiązania połączenia albo odebranie pakietu.
Przy kaźdym ataku i jego opisie firewall podaje flagę.Tak czyni np.:ZoneAlarm.
Nie sadze, zeby jakis "dzieciak" bawiacy sie w pseudo "chakiera" bylby sklonny do zamiany numerow MAC i IP przed skanowaniem sieci, wiec stawialbym na to, ze jest to pewne. Jak jednak wiesz, zmiana jest mozliwa i nie mozna z drugiej strony powiedziec, ze jest to wykluczone. Wystarczy wiedziec ktory komputer w sieci jest wylaczony, znac jego MAC i mozna zmieniac.
Adminowi oczywiscie powiedz o tej sytuacji i pokaz mu logi firewalla. Niech zareaguje, bo od tego jest.
Adminowi oczywiscie powiedz o tej sytuacji i pokaz mu logi firewalla. Niech zareaguje, bo od tego jest.
EL NINO:Wybacz tire – admina w jego sieci lokalnej ? A skad wezmie ten adres ?tire:Adres admina masz na visual–tracercie Nortona.
tigrris, jesli masz IP cymbala, to jest to informacja pewna. Kazdy moze powiedziec ze go w domu nie bylo, ale z drugiej strony to co okreslasz mianem ataku, moglo byc tylko skanowaniem sieci przez sam komputer w poszukiwaniu innych maszyn (rozsylaja zapytania – kto tu jest). To zalezy co za info wyrzucil norton i jakie porty miales skanowane.
A IP mozesz wpisac dowolne.
Z adminem mam kontakt wiec tu nie ma problemu, ale zanim poprosze go o sprawdzenie czy taki atak mial miejsce wole sie nieco bardziej upewnic.
Nortona uzywam od niedawna, wiec staram sie sprawdzac jego alerty (np. to skanowanie portow – moze jeszcze do tego nie doszedlem, ale norton pokazuje tylko liczbe skanowanych portow (np. powyzej 12), a nie widze jakie to porty itd.), zeby sie dowiedziec czy to byl zaplnowany atak, czy moze tak jak piszesz "skanowanie przez komp w poszukiwaniu innych maszyn".
A z tym IP to juz nie rozumiem – czy to jest pewna informacja, czy nie skoro mozna sobie wpisac dowolne? :roll:
Biorac pod uwage, ze nr mac karty sieciowej tez mozna sobie zmienic, to okaze sie, ze nie ma co pytac nawet admina bo ktos sie moze podszywac pod innego uzytkownika (numery ip w sieci wew. sa stale – podejrzewam, ze powiazane z nr mac karty –jak sie myle to poprawcie).
Problem jest jeszcze taki, ze na kompie szwagierki ktos ostatnio zasadzil trojana netbus (i co wazniejsze uzywal go), wiec to skanowanie portow tym bardziej mnie interesuje, bo moze byc to proba kontaktu od tej osoby. Niestety na jej kompie jest win98 – nie ma wiec zadnych logow, nie bylo tez wczesniej firewalla (zostal dopiero zainstalowany po fakcie uzycia trojana).
Pewnie i tak nejlepiej bedzie "zawrocic glowe" adminowi – moze pomoze znalezc zartownisia ;)
pozdr.
tigrris
Wybacz tire – admina w jego sieci lokalnej ? A skad wezmie ten adres ?tire:Adres admina masz na visual–tracercie Nortona.
tigrris, jesli masz IP cymbala, to jest to informacja pewna. Kazdy moze powiedziec ze go w domu nie bylo, ale z drugiej strony to co okreslasz mianem ataku, moglo byc tylko skanowaniem sieci przez sam komputer w poszukiwaniu innych maszyn (rozsylaja zapytania – kto tu jest). To zalezy co za info wyrzucil norton i jakie porty miales skanowane.
A IP mozesz wpisac dowolne.
Oczywiście,źe Nortonowi.Poza tym,moźesz zawsze zwrócić się z meilem do admina sieci,o zbadanie czy dane IP brało udział w ataku na twój komp,czy nie.Adres admina masz na visual–tracercie Nortona.
Witam forumowiczów!
Podepnę sie nieco pod temat...
Otóź Norton PF 2003 wykrył skanowanie portów i podał numer IP intruza, który pochodzi z sieci lokalnej.
Jednak osoba do której naleźy to ip, twierdzi, źe w czasie rzeczonego ataku jej komputer był wyłączony, no i w ogóle nie skanowała niczyich portów.
Komu tu wierzyć? Nortonowi czy podejrzanemu?? Czy moźna sie podszyć pod czyjeś ip?
pozdr.
tigrris
Podepnę sie nieco pod temat...
Otóź Norton PF 2003 wykrył skanowanie portów i podał numer IP intruza, który pochodzi z sieci lokalnej.
Jednak osoba do której naleźy to ip, twierdzi, źe w czasie rzeczonego ataku jej komputer był wyłączony, no i w ogóle nie skanowała niczyich portów.
Komu tu wierzyć? Nortonowi czy podejrzanemu?? Czy moźna sie podszyć pod czyjeś ip?
pozdr.
tigrris
damipl:U mnie w ciągu pół roku tylko 2–razy pojawił się alert Norton PF. :D :D :D
I to jest klasa firewall`a.
Podobnie postępuje BlackICE 3.5 oraz ZoneAlarm 4.
Te pf dbają o święty spokój swego "pana".
:D
damipl:U mnie w ciągu pół roku tylko 2–razy pojawił się alert Norton PF. :D :D :D
I to jest klasa firewall`a.
Podobnie postępuje BlackICE 3.5 oraz ZoneAlarm 4.
Te pf dbają o święty spokój swego "pana".
:D
A szkoda,bo przed usiłowaniem napisania odpowiedzi nt.ZoneAlarm,naleźałoby zapoznać się z nowościami i nie przywoływać staroci.
Poza tym źaden ZoneAlarm z ostatniej serii 3.7.1xx nie jest skory do wywoływania fałszywych alarmów,na co ZoneLabs posiada certyfikat badań skuteczności.
Zapewne wersje z 2000/2001 roku miały tę wadę,ale to było taaaak daaawnooo........
Poza tym źaden ZoneAlarm z ostatniej serii 3.7.1xx nie jest skory do wywoływania fałszywych alarmów,na co ZoneLabs posiada certyfikat badań skuteczności.
Zapewne wersje z 2000/2001 roku miały tę wadę,ale to było taaaak daaawnooo........
Nie testowalem Zoone Alarm 4, wstyd sie przyznac, ale nie wiedzialem, ze jest juz nowa wersja. Mozliwe, ze blad ten poprawiona, ale w starych ZA wystepowaly dosc czesto falszywe alerty.
Sorry,nie ma alarmów fałszywych.Tegoroczne programy firewall`owe są tak opracowane,źe jest to wyeliminowane.No,chyba,źe ktoś uźywa starego Kerio 2.1.4.–A juź w najnowszym ZoneAlarm 4 to wykluczone.Kaźdy alarm ma podane uzasadnienie łącznie z IP agresora.
Jeśli są wątpliwości,wystarczy zainstalować sobie VisualZone......... :D
Osoby skarźące się na nazbyt częste,wręcz codzienne "ataki" – są w takim razie wyraźnie widoczne w necie.Więc,co robi ich firewall :?:
8)
Jeśli są wątpliwości,wystarczy zainstalować sobie VisualZone......... :D
Osoby skarźące się na nazbyt częste,wręcz codzienne "ataki" – są w takim razie wyraźnie widoczne w necie.Więc,co robi ich firewall :?:
8)
U mnie w ciągu pół roku tylko 2–razy pojawił się alert Norton PF. :D :D :D
A by tylko ktoś spróbował mi sie włamać to bym go
a potem:
A by tylko ktoś spróbował mi sie włamać to bym go
a potem:
Nalezy pamietac, ze wiele alertow PF jest falszywych (szczegolnie popularnego Zone Alarm).
Dzisiejsza siec pelna jest roznorodnych skanerow, robotow itd. – niekoniecznie czyhajacych na nasze dane :–)
Dzisiejsza siec pelna jest roznorodnych skanerow, robotow itd. – niekoniecznie czyhajacych na nasze dane :–)
To są po prostu zawody...
Zawody to ja miałem wczoraj, gdy w ciągu 15 minut 15 razy firewall zgłosił mi próbę skanu. Aź byłem w szoku, nie wiem jak by dalej było bo musiałem kompa wyłączyć i wyjść z chatki... :wink: :lol:
To są po prostu zawody....przyjmijmy,źe w crossie. :D
W zasadzie u mnie tez nie ma dnia ,aby nie było ataku .Poto jest firewall.
8)
W zasadzie u mnie tez nie ma dnia ,aby nie było ataku .Poto jest firewall.
8)
..ja staram sie byc spokojny, choc podobnie jak exp(..)ke czasami kilka razy dziennie moj firewall zglasza mi probe skanu portow. Nie wiem po co, komu moje pliki, ale zycze im zawsze milej zabawy :–)
pozdrawiam,
pozdrawiam,
Spoko kolego abcd.To mógł byC skaning korporacyjny.
Są firmy,które na zamówienie swego klienta np.sprawdzają stealth kompów.
Oczywiście jakiś skript–kiddies chcieli ci zrobić kuku,z Londynu czy poprzez Londyn–a z Gdańska,tego zapewne bez specjalistycznego oprogramowania nigdy się nie dowiesz, i przeszukać twoje zasoby.
Zazwyczaj atak przychodzi,gdy do któregoś portu,np.5000 jest podczepiony trojan.Wtedy agresor "widzi" twój komputer w sieci.
Tak,źe spokojnie.Firewall jest OK,bo atak wykrył i go zablokował.Norton PF nie z tych,co "dadzą sobie w kaszę dmuchać" :!:
Pozdrawiam. :D
Są firmy,które na zamówienie swego klienta np.sprawdzają stealth kompów.
Oczywiście jakiś skript–kiddies chcieli ci zrobić kuku,z Londynu czy poprzez Londyn–a z Gdańska,tego zapewne bez specjalistycznego oprogramowania nigdy się nie dowiesz, i przeszukać twoje zasoby.
Zazwyczaj atak przychodzi,gdy do któregoś portu,np.5000 jest podczepiony trojan.Wtedy agresor "widzi" twój komputer w sieci.
Tak,źe spokojnie.Firewall jest OK,bo atak wykrył i go zablokował.Norton PF nie z tych,co "dadzą sobie w kaszę dmuchać" :!:
Pozdrawiam. :D
abcd:Mam cos dalej robic po tym ataku? np zmienic Ip (mam SDI) instalujac Windowsa xp od poczaku?
Reinstalacją windowsa nie zmienisz swojego IP. Numer ten dała ci TP i tylko oni mogą go zmienić, o ile przedstawisz im mocne argumenty.
I powtórzę to co napisał aligator włączony firewall po tysiąckroć.
3 razy to i tak masz farta 8) , u mnie na serverze to tak 40 to jest norma :( :(
abcd:czy po prostu miec wlaczanego FIReWALLA? a jak zawiedzie??
oczywiście źe mieć włączonego firewalla, w końcu po to on jest. Jeźeli zawiedzie to znaczy źe włam zrobił Ci specjalista, jednak wątpliwa sprawa źeby taki interesował się twoim marnym kompem :wink: Nie przejmuj się, ja mam takich ataków od jednego do trzech dziennie, Palestyna, USA, RPA itd. a dzisiaj Szwecja i są to przewaźnie trojany szukające dziur...Jak coś nie tak napisałem to mnie tire poprawi... :wink:
Strona 1 / 1