соединение на UDP порт 24898

[Wand]

В последнее время заметил что аутпост фаервол начал отбивать атаки - попытка соединения на UDP порт 24898, причем попытка соединиться происходит с абсолютно разных IP адресов и просто постоянно... в минуту около 90 попыток соединения. Проверка системы не выявила наличия каких либо болезней, но поскольку морально был готов для переустановки винды (XP SP2) все поставил по новой. первым делом на свежую винду поставил фаерволл - та же самая картина - кто-то постоянно стучится на UDP порт 24898. Я стал грешить на аутпост, заново снес и поставил винду, поставил McAfee internet security - и... опять та же самая байда. Поиск в интернете по ключевым словам "UDP port 24898" ничего толкового не выдал. Собственно и возник вопрос - может кто сталкивался с таким, и что вообще это такое. ну и если это "болезнь", то как от неее избавиться

[SinClaus]

В базе портов не значится, и вообще шибко высокий номер, там стандартные сервисы и обычные трояны вроде не живут. Мабуть в окрестностях какой юный хацкер испытывает свое творение?

[Псих]

Не факт, что не появилась новая зараза.
И почему вас пугает номер порта?
Почему я не могу написать например свой червь и выставить порт 65000?
Новый червь какой-то видимо.

[VAlex]

У тебя eMule не пасется?

[Heo]

Wand
Кинь весь список загруженных сервисов (можно просмотреть через CTRL+ALT+DEL, вторая закладка)

[shiraza]

Wand
С насколько разных ip идут попытки соединения? Дай лог.
Нео
Лучше netstat -a -b , но я так понял, что пытаются соединиться с машиной Wand'а, а не его машина куда-то стучится.

[Wand]

По поводу загруженных сервисов - разумеется первым делом кинулся смотреть таск менеджер - там ничего необычного... да и фаервол показал бы какой процес вызывает такую активность... ан нет - аутпост показывал not available... Лог сечас сбросить не могу ибо переставил ХР в очередной раз, а наши админы посоветовали поставить вместо аутпоста керио персонал фаервол. Так вот керио пока ничего не показывает, хотя я лично думаю, что я просто еще не разобрался с его настройками

[shiraza]

Wand
Таск менеджер мало что показывает. Используй команду "netstat -a -b" эта стандартная команда выдает список всех подключений, с указанием участвующих процессов. Правда возможны вирусы и трояны, скрывающиеся от этого метода. Еще хорошая штука - программа TcpView от сайта _http://www.sysinternals.com/Utilities/TcpView.html, она также позволяет видеть все соединения, только удобнее netstat.

[Wand]

shiraza
дело в том, что я все это попробовал перед тем как тему создавать.. Tcpview ничего подозрительного не показал, да и что ему было показывать - я так понимаю что ко мне ломились откуда-то извне. Чертовщина одним словом, я сегодня вечером снесу керио и поставлю аугнитум аутпост - посмотрю опять что он покажет

[shiraza]

_http://www.seifried.org/security/ports/24000/24898.html
по данным этого сайта ничего на этом порту быть не должно. Посмотреть активные подключения на твоем компе стоило потому, что возможен такой сценарий: на твою тачку поставили трояна, он разослал сведения о своем наличии, а соединения на этот левый порт - попытки владельца трояна передать ему задачу.

[Wand]

shiraza
Очень похоже... так как до этого я попытался запустить фейковый no-cd к Civilization 4 - который как окзалось в последствии был трояном... Очень странно, но Доктор Веб его пропустил (с тех пор он безжалостно удален), просто троян то был тут-же подчищен, да и винда была переставлена, а попытки соединения продолжали иметь место даже после переустановки с нуля (с удалением раздела, переформатированием и т.п.)

[shiraza]

Тогда список ип, с которых происходит соединение - в студию! А там уж посмотрим, просто забить на это дело или письма провам этого злодея писать.

[SinClaus]

У нас в сети некоторые любопытные ловили троянов-спам-прокси, кстати самые популярные нынче. А вот порт они действительно могут открыть для себя где угодно. После выведения этой заразы (отловили сразу по возросшему трафику) к ним продолжали стучаться довольно долго. Но не неделю а меньше.
Кстати, а как троян вылез на улицу? Файрволла не было?
Ради интереса можно заказать скан себя снаружи - хотя бы с _http://leader.ru/secure/ - узнаешь какие порты открыты.

[bdimych]

Какие порты открыты можно наверняка посмотреть в файрволе. И сомневаюсь что троян у тебя жив т.к. если бы порт был открыт т.е. какая то прога ждет соединения на этом порту то сообщение файрвола было бы не просто "попытка соединения на порт ХХХ" а что то вроде "программа ХХХ просит соединения".

Еще сканирование диапазонов адресов довольно распространенная вещь и там все идет автоматически т.е. автомат может несколько дней пытаться соединиться а потом когда "сообразит" что бесполезно сам прекратит.

Цитата:

на твою тачку поставили трояна, он разослал сведения о своем наличии, а соединения на этот левый порт - попытки владельца трояна передать ему задачу.

по моему похоже на правду но при условии постоянного IP и опять же думаю что троян вряд ли живой т.е. он мог успеть разослать но потом был удален.

[Псих]

Ребят, воскрешаю тему, ибо последние время тоже странные сканы появились.
Сканы UPD 1026,1027 портов. Реже TCP.
Есть подозрение, что они сканятся, когда юзаешь фри проксю или сокс. Я могу ошибаться.
Кто-нить с таким стыкался?

[Римо]

_http://www.iana.org/assignments/port-numbers может чего улыбнет..

[nopresent]

В сетях разбираюсь не сильно, по этмоу вопрос снова по UDP пакетам. По логам фаервола постоянно вижу что он блокирует входящий трафик по UDP пакетам, что самое интересное, с очень близких мне ай-пи адресов. за несколько минут до 100 таких блокировок с одного ай пи.
К приверу мой ай пи 10,10,10,1 а udp идёт с 10,10,10,11. Я сижу в локальной сети. Вопрос такой - можно ли по такому факту идти к провайдеру и говорить что бы разобраись с этим айпи. Где слышал про UDP storm (какие-то атаки на сервера, которые замедляеют их работу) - может таким способом гасяться близ лежащие машины в сети что бы кому-то одному была хорошая скорость?

[SinClaus]

Сеть в большинстве случаев Ethernet, а она работает по принципу CDMA/CD, т.е. с общей средой передачи. Невозможно забить канал соседу и получить бОльшую полосу - она общая. Скорее всего хреново сконфигуренный комп где-то рядом. Или твой комп щупают.