FORUM Carcd

FORUM Carcd (https://carcd.ru/forum/index.php)
-   Безопасность (https://carcd.ru/forum/76/)
-   -   Это Реальная Атака Или Ложная ? (https://carcd.ru/forum/76/thread32376/)

sedoyaga 08.11.2007 14:34

Дайте совет ,пожалуйста .Это реальная атака или фаервол врет ?

l0ner 08.11.2007 16:58

а это твой MAC -адрес или нет и как у тебя основной шлюз прописан, ручками?,а IP атакующего это маска локальной подсети,может у тебя два компа вместе соеденены вот и ругается фаер

l0ner 08.11.2007 17:16

Да и если у вас локале нет супер хацкеров,то можно сделать так:Убрать в детекторе атак на вкладке ethernet галочку "Блокировать атакующего при смене МАС-адреса шлюза",ну и на всякий пожарный проверить на вирусы и трояны комп.А так иичего страшного не происходит, просто в сети существует резервирование шлюзами друг-другом. Когда ваш основной шлюз по каким- либо причинам становиться недоступен, его роль на себя берет соседний - соответственно при этом меняется mac адрес устройства. Касперский и Аутпост расценивают это как злонамеренную подмену гейта. Но ничего страшного в этом нет, просто скорее всего на вашем основном шлюзе проводятся технические работы.

sedoyaga 09.11.2007 10:29

Цитата:

'l0ner' *'334722' *'8.11.2007, 18:16']

Да и если у вас локале нет супер хацкеров,то можно сделать так:Убрать в детекторе атак на вкладке ethernet галочку "Блокировать атакующего при смене МАС-адреса шлюза",ну и на всякий пожарный проверить на вирусы и трояны комп.А так иичего страшного не происходит, просто в сети существует резервирование шлюзами друг-другом. Когда ваш основной шлюз по каким- либо причинам становиться недоступен, его роль на себя берет соседний - соответственно при этом меняется mac адрес устройства. Касперский и Аутпост расценивают это как злонамеренную подмену гейта. Но ничего страшного в этом нет, просто скорее всего на вашем основном шлюзе проводятся технические работы.

Сенкс . Ясный , понятный ответ. Провайдер не дал такого внятного объяснения. Сказал -это глупость,удали фаервол. Я ответил ,что пользуюсь фаерволом постоянно (лезут хакеры). А эти сообщения

появились только в ноябре. При этом IP постоянный,а МАС -каждый раз разный (из 8 сообщений - 8 разных МАС).

PS Два компьютера вместе не соединены (один).

debosch 12.11.2007 11:12

Цитата:

'sedoyaga' *'334951' *'9.11.2007, 10:29']

Сенкс . Ясный , понятный ответ. Провайдер не дал такого внятного объяснения. Сказал -это глупость,удали фаервол. Я ответил ,что пользуюсь фаерволом постоянно (лезут хакеры). А эти сообщения

появились только в ноябре. При этом IP постоянный,а МАС -каждый раз разный (из 8 сообщений - 8 разных МАС).

PS Два компьютера вместе не соединены (один).

Провайдер хорошо пошутил.

Не обращай внимание на эту этикетку. Что-бы это не было - оно все равно блокируется (а может и не

все - хакеры не спят , ищут дыры , только не знаю зачем им ты ).

sedoyaga 13.11.2007 11:56

Цитата:

'debosch' *'335819' *'12.11.2007, 12:12']

Провайдер хорошо пошутил.

Не обращай внимание на эту этикетку. Что-бы это не было - оно все равно блокируется (а может и не

все - хакеры не спят , ищут дыры , только не знаю зачем им ты ).

Не знаю зачем ,но ломятся незванные гости. Вот посетил только что .И это не провайдер . И не техслужбы .

sedoyaga 15.11.2007 09:30

Цитата:

'sedoyaga' *'336125' *'13.11.2007, 12:56']

Не знаю зачем ,но ломятся незванные гости. Вот посетил только что .И это не провайдер . И не техслужбы .

Свой IP кто-нибудь узнал ?

l0ner 15.11.2007 14:36

Ето какая-то прога под системный процесс подделалась и в инет хочет вылезти со всеми твоими данными

debosch 15.11.2007 19:10

Цитата:

'l0ner' *'336391' *'15.11.2007, 14:36']

Ето какая-то прога под системный процесс подделалась и в инет хочет вылезти со всеми твоими данными

Вроде на картинке IP наоборот внутрь компьютера просится .

debosch 15.11.2007 19:27

Цитата:

'l0ner' *'336391' *'15.11.2007, 14:36']

Ето какая-то прога под системный процесс подделалась и в инет хочет вылезти со всеми твоими данными

А вот прога прячущаяся под процесс svhost.exe выглядит вот как на картинке .Это явно троян .

Касперский не видит ,никто не видит .Фаерволл блокирует .Сидит (точнее сидела ,но убита ) в

автозапуске спецами по безопасности .

debosch 15.11.2007 19:47

Цитата:

'l0ner' *'336391' *'15.11.2007, 14:36']

Ето какая-то прога под системный процесс подделалась и в инет хочет вылезти со всеми твоими данными

Нет. Прога - подделка с троянскими функциями выглядит так , как на картинке (хотел скрин прикрепить,но толстенный получается ).

Реальный процесс svhost.exe (подделка svcchosst.exe ) . И тянет все на llasty.dsaku72830.inФО(я исказил окончание ) .

Фаервол блокирует . Антивирусы не видят . Селится в автозапуске . Убит сей троян спецами по безопасности .

l0ner 15.11.2007 19:49

А лучше ручками все почистить,так вернее.Если знаешь как и где искать.

debosch 15.11.2007 19:57

Цитата:

'l0ner' *'336505' *'15.11.2007, 19:49']

А лучше ручками все почистить,так вернее.Если знаешь как и где искать.

Можно и ручками . Но лучше ножками . Как в анекдоте про маньяка . Оттащить в кусты и ногами

по морде . Авторов этих троянов .

l0ner 15.11.2007 20:05

И когда "компутерщики" научатся скрины снимать хотя бы подручными кнопками?

debosch 15.11.2007 20:11

Цитата:

'l0ner' *'336512' *'15.11.2007, 20:05']

И когда "компутерщики" научатся скрины снимать хотя бы подручными кнопками?

Так написал же , что толстый файл получается (принтскрин ). Около 3 метров .Народ загрузит и спасибо не скажет.

А фотоаппарат дочь уволокла . В сотовом камера хилая , но все понятно (и мало весит ,

самое главное ).

Да и не компутерщики мы , а диахносты .

l0ner 15.11.2007 20:19

Да я то же диагност,но с компом на ТЫ,так надо сохранять не по умолчанию в *bmp, а jpeg или gif,и будет вам размер небольшой и всем хорошо.

sedoyaga 25.11.2007 14:51

Цитата:

'sedoyaga' *'336314' *'15.11.2007, 10:30']

Свой IP кто-нибудь узнал ?

А вот еще с одного IP бяка ломится . EХЕ -шник (похоже вирусь ) .Свой IP никто не узнал ?

sedoyaga 28.11.2007 18:58

Цитата:

'l0ner' *'336520' *'15.11.2007, 21:19']

Да я то же диагност,но с компом на ТЫ,так надо сохранять не по умолчанию в *bmp, а jpeg или gif,и будет вам размер небольшой и всем хорошо.

Раз ты с компом на ТЫ , подскажи (другу надо ) , что за вирусь у него поселился с интернет эксплорере ? Он ломится в интернет на определенную страницу . И он (вирус ) отключил все антивирусные программы (они его не видят , а фаервол видит и блокирует ) . Новые программы (в том числе антивирусные ) устанавливать не дает . Как его имя ? И чем его , кроме сноса всей винды , можно

победить ? Может еще кто про него знает ?

l0ner 28.11.2007 19:52

надо смотреть в диспетчере задач какой сервис активен,посмотреть прогами filemon и regmon(если нету вышлю)какой файло вые**ваеца и приглушить.Я же уже говорил,что самый надежный способ убить виря это руки и голова,да и еще одна прога на замену диспетчеру Process explorer(в наличии есть),мне надо полный список процессов,хотя бы снимок экрана и список служб и сервисов,а там будем разбираться.

l0ner 28.11.2007 20:30

Цитата:

'sedoyaga' *'339024' *'25.11.2007, 14:51']

А вот еще с одного IP бяка ломится . EХЕ -шник (похоже вирусь ) .Свой IP никто не узнал ?

вот вся инфа по IP



found 0 domain entrys on IP: 83.239.172.167

IP location: Russian Federation [RU] - Volgograd

IP owner: Southern Telecommunications Company PJSC IP assigned to: ELECTROSVYAZ Volgograd



% This is the RIPE Whois query server #3.

% The objects are in RPSL format.



% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.



% Information related to '83.239.128.0 - 83.239.191.255'



inetnum: 83.239.128.0 - 83.239.191.255

netname: VOLGOGRAD-REGION-NET

descr: ELECTROSVYAZ Volgograd

descr: Volgograd, Russia

country: RU

admin-c: VPS3-RIPE

tech-c: AAK91-RIPE

tech-c: ENS3-RIPE

status: ASSIGNED PA

mnt-by: STC-MNT

source: RIPE # Filtered



person: Viktor P Shirinsky

address: Filial JSC "ELECTROSVIAZ" Volgograd Telegraph

address: Mira str. 9

address: 400066 Volgograd

address: Russia

phone: +7 8442 325492

fax-no: +7 8442 936205

e-mail: ainf@avtlg.ru

nic-hdl: VPS3-RIPE

source: RIPE # Filtered



person: Aleksey A. Kalinovsky

address: PJSC "Southern Telecommunications Company",

address: branch "Volgogradelectrosviaz",

address: 9, Mira str.,

address: Volgograd, 400066,

address: Russia

phone: +7 8442 389751

e-mail: kalina@avtlg.ru

nic-hdl: AAK91-RIPE

mnt-by: STC-MNT

source: RIPE # Filtered



person: Eugene N Sitnikov

address: PJSC "Southern Telecommunications Company",

address: branch "Volgogradelectrosviaz",

address: 9, Mira str.,

address: Volgograd, 400066,

address: Russia

phone: +7 8442 381920

e-mail: firefly@vlpost.ru

nic-hdl: ENS3-RIPE

mnt-by: STC-MNT

source: RIPE # Filtered



% Information related to '83.239.0.0/16AS25490'



route: 83.239.0.0/16

descr: Southen Telecommunication Company

origin: AS25490

holes: 83.239.128.0/18

remarks: addresses of VEC connected

remarks: to Kripton and VTT, Volgograd, Electro Svyaz

mnt-by: STC-MNT

source: RIPE # Filtered



% Information related to '83.239.128.0/18AS33934'



route: 83.239.128.0/18

descr: Volgograd Electro Svyaz AS

descr: Volgograd, Russia

origin: AS33934

mnt-by: STC-MNT

source: RIPE # Filtered

sedoyaga 29.11.2007 10:28

Цитата:

Сообщение от l0ner' *'339937 (Сообщение 251740)
вот вся инфа по IP



found 0 domain entrys on IP: 83.239.172.167

IP location: Russian Federation [RU] - Volgograd

IP owner: Southern Telecommunications Company PJSC IP assigned to: ELECTROSVYAZ Volgograd



% This is the RIPE Whois query server #3.

% The objects are in RPSL format.



% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.



% Information related to '83.239.128.0 - 83.239.191.255'



inetnum: 83.239.128.0 - 83.239.191.255

netname: VOLGOGRAD-REGION-NET

descr: ELECTROSVYAZ Volgograd

descr: Volgograd, Russia

country: RU

admin-c: VPS3-RIPE

tech-c: AAK91-RIPE

tech-c: ENS3-RIPE

status: ASSIGNED PA

mnt-by: STC-MNT

source: RIPE # Filtered



person: Viktor P Shirinsky

address: Filial JSC "ELECTROSVIAZ" Volgograd Telegraph

address: Mira str. 9

address: 400066 Volgograd

address: Russia

phone: +7 8442 325492

fax-no: +7 8442 936205

e-mail: ainf@avtlg.ru

nic-hdl: VPS3-RIPE

source: RIPE # Filtered



person: Aleksey A. Kalinovsky

address: PJSC "Southern Telecommunications Company",

address: branch "Volgogradelectrosviaz",

address: 9, Mira str.,

address: Volgograd, 400066,

address: Russia

phone: +7 8442 389751

e-mail: kalina@avtlg.ru

nic-hdl: AAK91-RIPE

mnt-by: STC-MNT

source: RIPE # Filtered



person: Eugene N Sitnikov

address: PJSC "Southern Telecommunications Company",

address: branch "Volgogradelectrosviaz",

address: 9, Mira str.,

address: Volgograd, 400066,

address: Russia

phone: +7 8442 381920

e-mail: firefly@vlpost.ru

nic-hdl: ENS3-RIPE

mnt-by: STC-MNT

source: RIPE # Filtered



% Information related to '83.239.0.0/16AS25490'



route: 83.239.0.0/16

descr: Southen Telecommunication Company

origin: AS25490

holes: 83.239.128.0/18

remarks: addresses of VEC connected

remarks: to Kripton and VTT, Volgograd, Electro Svyaz

mnt-by: STC-MNT

source: RIPE # Filtered



% Information related to '83.239.128.0/18AS33934'



route: 83.239.128.0/18

descr: Volgograd Electro Svyaz AS

descr: Volgograd, Russia

origin: AS33934

mnt-by: STC-MNT

source: RIPE # Filtered



Надо же . Сколько знакомых имен . Теперь многое понятно .

sedoyaga 04.12.2007 20:06

Цитата:

'l0ner' *'336520' *'15.11.2007, 21:19']

Да я то же диагност,но с компом на ТЫ,так надо сохранять не по умолчанию в *bmp, а jpeg или gif,и будет вам размер небольшой и всем хорошо.

Вот еще ! Товарищ фотку прислал . Фаервол спрашивает , а пустить ли внутрь компа фервол . Это что ?

Троян просится ?

l0ner 04.12.2007 20:17

Все что лезет на комп без ведома и разрешения хозяина,то это все болячки разные,если ты не знаешь что это за приложение и не давал разрешения то надо пресекать эту бяку на корню,надо в параметрах->приложения посмотреть что разрешено что блокировано ну и все такое,вообщем надо файер настроить как надо.

strem 04.12.2007 20:17

заблокируй нах..не пускай вроде троян. а где Юнер...вопросы есть по антивирусу.

l0ner 04.12.2007 20:21

Цитата:

'strem' *'341901' *'4.12.2007, 20:17']

а где Юнер...вопросы есть по антивирусу.

Если Вы про меня ,то я не Юнер,а если по русски то Лонер.И какие вопрсы?

strem 04.12.2007 20:32

[attachment=46200:attachment]Прощу прошения ЛОНЕР.не правильно прочел...



я тут себе на комп вот такой антивирус.хотел спросить что да как.

l0ner 04.12.2007 20:44

Сама фирма извесная и все продукты у нее хорошие.Вот ссылка на рейтинг антивирей http://www.aptiv.net/index.php?name=News&a...p=view&id=2

strem 04.12.2007 20:57

Цитата:

'l0ner' *'341913' *'4.12.2007, 20:44']

Сама фирма извесная и все продукты у нее хорошие.Вот ссылка на рейтинг антивирей http://www.aptiv.net/index.php?name=News&a...p=view&id=2

третий сорт -не брак. http://www.carcd.ru/forum/public/sty...O_DIR#>/19.gif

sedoyaga 06.12.2007 09:58

Цитата:

'strem' *'341901' *'4.12.2007, 21:17']

заблокируй нах..не пускай вроде троян. а где Юнер...вопросы есть по антивирусу.

Смущает то , что Каспер не хрюкает как резаная свинка . Хотя и ему не все трояны известны .

l0ner 06.12.2007 11:48

Вообще антивири не очень хапают трояны,для этого лучше поставить спец прогу по поиску и уничтожению троянов и червей называеца Trojan Remove,ну и как я уже писал что лучшее средство от троя руки,иногда лучше записывать что и когда устанавливаешь и потом поиском по компу и дате установки смотришь что за бяку ты нечаянно поставил

strem 06.12.2007 12:56

Цитата:

'l0ner' *'342534' *'6.12.2007, 11:48']

Вообще антивири не очень хапают трояны,для этого лучше поставить спец прогу по поиску и уничтожению троянов и червей называеца Trojan Remove,ну и как я уже писал что лучшее средство от троя руки,иногда лучше записывать что и когда устанавливаешь и потом поиском по компу и дате установки смотришь что за бяку ты нечаянно поставил

вообще по каким то признакам можно установить есть ли на компе троян.должен сказать окромя Окти

нигде не бываю.

l0ner 06.12.2007 13:04

можно по исходящему трафу,с помощью файера,по активности процессов и сервисов ну и чаще проверять комп.Да вообще много способов,но если пользователь начинающий то будет немного сложновато

strem 06.12.2007 13:49

Цитата:

'l0ner' *'342555' *'6.12.2007, 13:04']

можно по исходящему трафу,с помощью файера,по активности процессов и сервисов ну и чаще проверять комп.Да вообще много способов,но если пользователь начинающий то будет немного сложновато

я частенько заглядываю в процессы.смотрю есть ли неизвестный мне процесс.а вот этоJAWA я ей чот не доверяю.однажды скачал я в инете файрвол поставил а он сволочь оказался демо. http://www.carcd.ru/forum/public/sty...IR#>/smile.gif вобще я наверно и есть начинающий.сложновато.

l0ner 07.12.2007 14:48

А точно уверен что JAWA,а не JAVA(виртуальная машина,но ее тоже не должно быть в списках процессов),вот мой список процессов,и то там штуки четыре лишних(нужны блин пока).[attachment=46345:attachment]

sedoyaga 07.12.2007 15:37

Цитата:

'l0ner' *'343062' *'7.12.2007, 15:48']

А точно уверен что JAWA,а не JAVA(виртуальная машина,но ее тоже не должно быть в списках процессов),вот мой список процессов,и то там штуки четыре лишних(нужны блин пока).[attachment=46345:attachment]

JAWA похож на троян . Посмотреть ,куда ломится . Запретить его ,посмотреть ,что будет .Потом

принимать меры ( изничтожать руками , или утилитой ) .

l0ner 07.12.2007 15:48

Конечно сначала надо его прикрыть,чтоб не ломился,потом вычислить в какой директории сидит,и что к нему еще относиться,а там принимать меры,если одним файлом то ручками снести и почистиь комп

strem 07.12.2007 18:28

[attachment=46359:attachment]Вот ,что я нарыл у себя на компе...только что. :11:

sedoyaga 21.12.2007 09:59

Цитата:

'strem' *'343129' *'7.12.2007, 19:28']

[attachment=46359:attachment]Вот ,что я нарыл у себя на компе...только что. :11:

А вот что я нарыл . Все утро ломится ко мне в комп . Свой IP никто не узнал ? Я такие вещи сюда кладу и отправляю по инстанции к профи . Мстя будет страшна .

-Bat- 21.12.2007 10:14

Ставьте проксю с вин 2003 и свич, на проксике уже и поднимайте стенку, правила на нем настраивайте, там же и IDS можно установить, по логам IDS тогда уже и правила детектора настроить можно, а так на любой пинг сидеть и внимание обращать, можно и мозгами повредиться http://www.carcd.ru/forum/public/sty...O_DIR#>/18.gif

sedoyaga 21.12.2007 17:34

Цитата:

'-Bat-' *'352006' *'21.12.2007, 11:14']

Ставьте проксю с вин 2003 и свич, на проксике уже и поднимайте стенку, правила на нем настраивайте, там же и IDS можно установить, по логам IDS тогда уже и правила детектора настроить можно, а так на любой пинг сидеть и внимание обращать, можно и мозгами повредиться http://www.carcd.ru/forum/public/sty...O_DIR#>/18.gif

Мозг может повредиться , если все твои рекомендации выполнить . Проще IP пробить(если не подмена,но это просчитывается ) , потом позвонить туда и вежливо попросить больше не лезть в комп

(тем более ,если он пустой ,только для интернета ,информации полезной и бесполезной нет ).


Текущее время: 03:14. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot