Настойчивое сканирование порта 445
 

Псих
Вроде описывалось. Ну да ладно. Идешь в аутпосте Параметры-Системные-Общие Правила-Добавить. Появляется список протоколов, портов и что с ними делать. Думаю там разберешся. Сам все нужные порты вроде поставил и хожу в интернет в режиме блокировки, тоесть блокируется все не поставленное на пропуск в настройках.


-------
Вот блин, а чего это мое сообщение вверх вылезло? :confused:

Настойчивое сканирование порта 445
 

Не первый день продолжается сканирование порта 445(см. картинку)

По 2-3 раза с кучи Ip. Несколько раз в минуту. Это у всех так?
Что это за новая зараза появилась в интернете?

У меня такое постоянно. Хотя не так часто, но сканируют не только этот порт. А по серету, Ip адрес у тебя статический?

У мя тоже самое тока и другие некоторые порты тоже!

У меня тоже самое, вы случаем не ZoneAlarm 5 используете?

Slanj, каждое подключение - новый.

gost2
Думаю, пока не стоит волноваться. Стандартная система - фаервол, закрываешь все неиспользуемые порты. И вперед, к светлому анлимиту.

Оффтоп:
А как в Outpost'e закрывать руками порты?

В Outpost'е все просто:
Параметры -> Системные -> Общие правила (кнопка Параметры)
И там добавляешь правила
Можно еще попробавть щелкнуть по строке сетевой активности и выбрать Создать правило...

ВСЕМ
Я всегда недоумевал: почему многие боятся скана? Что в этом страшного? Это всего лишь сбор инфы. Если у вас стоит стенка скана можете не бояться: сканирующий никакой инфы не получит о компе!
Насчёт порта 445: это обсуждалось здесь: http://www.imho.ws/showthread.php?t=62100
там же и найдёте ответ что это за порт и почему его сканят (посмотрите на мои посты в той теме)

Interceptor, просто раньше как-то то 137 то 135 то всё по чуть сканилось, а тут явно что-то новое. Думаю, так что не зря, и не само по себе возникло. Явно какая-то дрянь готовится, типа недавних атак на ключевые серверы интернета+ google+ MS и т.д.
Интересно стало вот и спросил. А особо бояться я не собирался. ;) По крайней мере, не больше, чем до того как обнаружил эту "новость".
За разьяснения спасибо.

gost2
Ну, 135 - это тоже скан на уязвимость в Win2000\XP ;)

Так может это начало новой эпидемии?

445 етож Сассер далеко не новая епидемия:)

YooMC, ах вот как. Так его оказывается ещё навалом в сети. Классно придумали эти уроды, что 95-е Винды он не валит, а значит хозяева не лечет эту дрянь, и раздают всему миру.

А я думал вот это может имеет отношение:
http://xpsite.net/public/index.php?news=archive&go=84

Странно, но просканив свои порты, я обнаружил, что этот порт, открыт.. Как его заркыть? У мя стоит Аутпост.
тока почему то галочка локальный и удаленный порт заблокированы..

во, уже интересно.

Я не знаю. может я не то чета делаю. вот смотрите!

Поставь галочку "Где протокол: Tcp"
(и еще одно правило для Udp)
Щелкни правой кнопкой по группе "Открытые порты" и выбери "Группировать по -> Порт". Смотри какой процесс висит на этом порте (microsoft_ds:tcp?).

Псих
Угу: nibl верно тебе подсказал насчёт галочки!
Тока насчёт udp - это если нужно. Ведь udp и tcp - разные вещи!

Псих
Кстати, вопрос по Аутпосту нужно было задавать в теме про Аутпост в этом же разделе

Псих
135 порт можно закрыть прогой DCOMbobulator, взять можно здесь http://grc.com/freepopular.htm

Gerasim
А разве Псих сказал, что ему нужно именно 135 порт закрыть?
:confused:

gost2
Чего там придумывать? Дырка в WinNT системах. А Win9x\ME этой дыры не содержат.
Какие хозяева чего кому раздают?

Interceptor
Ну мне проказалось что там разговор о нем пошел. Если нет, то сорьки. А прога всеравно не помешает

gost2
В письмах от Касперского тоже про это писали. Но пока не появится инфа на security-сайтах для меня это будет просто очередной мистификацией. Да, действительно DDoS-атака была. Но это не факт, что появился новый червь!

Да, закрыть надо было.. И закрыл, правда не прожкой, но закрыл.. Все равно спасибо, и прога нужная.. ведь не везде хочется стенки ставить!

Псих
Тока учти, что при закрытии порта этого ты не сможешь делать интересные вещи. Например, вырубление\перезагрузка удалённого компа через Dcom Rpc ;)

НО его же можно открыть...

Псих
Если закрыть прогой, что советует Gerasim - мало вероятно: частенько не хочет она возвращать к жизни DCOM RPC.
А если стенкой - то конечно

Это такая бяка, что иногда не жаль этим пожертвовать!

Псих
Что-то мы отвлеклись от темы :rolleyes:

Так может подведем итог?
Получается, что все нафиг заражено сасером?

Псих
Да фиг его знает. Прочеши систему на вири и посмотри что висит и на каких портах

Да нет, я не про себя.. я про сеть: серваки

Псих
Факт того, что какие-то машины пытались атаковать другую не означает, что они заражены! Об этом говорилось уже сока раз!

Не ну ясно, что некоторые делают это заведомо.. Но все же.. .по 100-200 сканирований в час... Не много ли???

Псих
Нет, не много: заражённые серверы + скрипткидди + всякий сброд, охотящийся за шарами. В итого - нормальное число.

Ну нет.. не ужели все свернулись именно на Сассере.. между прочим другие порты сканят 1 раз на 100 сканов 445 порта..

Я же написал, что не тока Сассер.
445 - это ещё и шары. А просканить на доступ к шарам многие "хакеры" любят!

Перешел на другого провайдера и сразу пропало сканирование 445 порта. Не думаю, что в сети исчез Сассер или утихомирились хакеры, любящие просканировать шару. Так что дело в прямых руках провайдера и его настройках.

djon72
А при чём здесь прямые руки? Просто пров новый рубит пакеты, и дущие на 445 порт из вне и из его подсети.