Важно! Сканирования портов и атаки компьютера с www.imho.ws - [IMHO's LIFE] - Новости ФОРУМА

26.11.2003, 09:50

Предоставляю лог стенки:

8:33:08 Атака Rst 207.44.136.197 -> 207.44.136.197
8:33:07 Сканирование портов 207.44.136.197 TCP (2566, 2573)
8:03:03 Сканирование портов 207.44.136.197 TCP (2416, 2414)
5:45:13 Сканирование портов 207.44.136.197 TCP (1833, 1834)
3:26:24 Сканирование портов 207.44.136.197 TCP (4309, 4308)
3:15:51 Сканирование портов 207.44.136.197 TCP (4228, 4223)
1:29:17 Сканирование портов 207.44.136.197 TCP (3259, 3258)
0:55:38 Сканирование портов 207.44.136.197 TCP (3048, 3047)
24.11.2003 23:03:40 Сканирование портов 207.44.136.197 TCP (2104, 2106)
23.11.2003 5:08:30 Сканирование портов 207.44.136.197 TCP (1147, 1146)

Прошу администраторов форума дать разъяснения - как это воспринимать?

dr-evil · 26.11.2003, 14:49

хм, а ты часом в это время на форуме не был?

Yanson · 26.11.2003, 17:05

AndyLP, если не ошибаюсь, то это лог первого оутпоста. Сам на это раньше ловился.

26.11.2003, 23:14

dr-evil
И что? Значицца, если я прихожу в клуб, в котором, при всем, существует фэйс-контроль, то это позволяет хозяевам (работникам) клуба, в то время, когда я нахожусь в нем (отдыхаю), втихаря шарить по моим карманам? Так что ли?
И где здесь взаимосвязь между моим присутствием на форуме и сабжем?
Я и 25-го был на форуме и что?
Yanson
Увы, ошибаешься: Оутпост - второй, один из последних (хотя это еще ни о чем не говорит

).

ЗЫ. Никого не хочу беспричинно обвинить, но хотелось бы все-таки выяснить причину сабжа.

Yanson · 27.11.2003, 06:00

Цитата:

Увы, ошибаешься: Оутпост - второй, один из последних (хотя это еще ни о чем не говорит ).

AndyLP, говорю т.к. подобную инфу выдавал первый OP. После установки двойки и перехода на XP больше дезы не получаю. Причем в обоих случаях форуму было выставлено максимальное разрешение, разве только не доверенная зона. Короче, причина беспокойства необоснована.

27.11.2003, 08:02

Yanson

Ок, будем считать, что Оутпост глючит (возражения разработчиков принимаются

) и то, что он выдал в логе (часть) - его "маленькие шутки", а, возможно, зашел какой нить Вася (к примеру) в гости к админам форума и, пока они ходили за пивом, приложил свои шаловливые ручки к компу...

Вообщем, каждый остался при своем мнении, ответа от админов так и не получено (странно !), а я...

*Alrt* · 27.11.2003, 08:07

Цитата:

AndyLP:
Ок, будем считать, что Оутпост глючит

Именно.

Цитата:

AndyLP:
возможно, зашел какой нить Вася (к примеру) в гости к админам форума и, пока они ходили за пивом, приложил свои шаловливые ручки к компу...

Невозможно! Меня лично ты таким предположением ты задел. Что админы тут ламо по твоему?

27.11.2003, 23:09

Alrt
Слово "возможно", также, как и "предполагаю", явно не указывает и не обвиняет (даже юридически не считается клеветой, ИМХО), а предполагать можно что угодно...

... и, "если человек не обиделся на вашу шутку, значит у него есть чувство юмора, а если обиделся, значит, понял ее смысл"... тем более, что это - не шутка и у себя, на компе, я получил вышеприведенную картину. А в ней "нарисовалось" то, что произошло 23, 24 и 26 числа. Но, по твоим словам, именно Оутпост глючит.

Я правильно понял?
То есть, Оутпост, чтобы юзеру жизнь медом не казалась или, чтобы затуманить ему глаза (что не зря деньги потрачены), выдает в случайном порядке фиктивность нелегального доступа к компу?

И, если глянуть на полный лог (попытки других), то, судя по твоему "заключению", можно Оутпост совсем отключить/поставить в режим разрешения. Так что ли?

Предположим, что я сменю файервол, и что вы будете говорить потом? Что это глючит стенка1/стенка2/etc... ?

А, предположим обратное: вы обнаружите, что с компьютера AndyLP происходят вероятные сканирования/атаки вашего форума. Ваши действия? ИМХО, реакция и ответ будут незамедлительны.

Я даже не предположил, что админы здесь - ламо, но и "Вася", возможно, - не чайник...

... а ответить посетителю форума (отреагировать на его вопрос, ИМХО - серьезный) желательно не тогда, когда "задевают". И, если вы 100% уверены, что с вашей стороны ничего "такого" быть не могло, то стоило бы разъяснить ситуацию, а не отмалчиваться, пока не "достанут".

ЗЫ. А так положение такое, как: "Входя в наше заведение Вы должны пройти контроль на наличие оружия. Сдавайте имеющееся у Вас оружие охраннику/швейцару. При выходе Вы сможете получить его обратно. Если Вас пристрелят в нашем заведении, администрация ответственности не несет. Администрация"

Yanson · 28.11.2003, 05:18

AndyLP, мда. Надо просто больше инфы про OP почитать. Все что у тебя случилось связано с неверным детектированием атак. Эта проблема существовала в первой версии, видимо присутствует и во второй. Как говорится не все плагины одинаково полезны.

28.11.2003, 06:21

Yanson

... ок, временно сменю стенку - посмотрю, как дальше будет...

*Alrt* · 28.11.2003, 08:45

AndyLP
Давай не будем тут казусы обсуждать.

Ты просто не знаешь ситуацию, поэтому допустил такое высказывание, если бы знал то такая мысль у тебя бы не возникла, будь твой Вася хоть хакером.

Borland · 28.11.2003, 10:11

Кстати, АутПост тут, по-видимому, ни при чём. У меня вчера NIS выдал такую же инфу (и автоматом заблокировал IP на полчаса - просмотр форума обломался

). Может, какие "добрые люди" подламывают/подломили сайт/сервер?

vot · 28.11.2003, 10:24

Ребята, а может просто хостеру форума вопрос задать нужно? (это по сути)

Теперь от меня по поводу тона даного топа.....
Человеки, а не кажется ли вам, что тон данного топа на базарную брань очень смахивает????
Ну новым простительно может быть, но админам.......
Админы, вы чего????
Будьте выше "растапыривания пальцев и соплей пузырями"......

*helldomain* · 28.11.2003, 12:05

Tiho, tiho gospoda, ne nado drug druga pinat nogami. Eto bolno i ne kulturno.

1. Sprashiwat po etomu powodu nujno menya.
2. Server polnostju proweren na nalichie rootkitow i lishnih weschei kotorih tam ne doljno bit.
3. Dannij effekt woznikaet iz-za zapazdiwaniya servera kogda paketi prihodyat pozje, chem ih jdut.

S uwajeniem,

helldomain/IMHO.WS

Borland · 28.11.2003, 12:11

helldomain
Хорошо, причина понятна.
А не подскажет ли Уважаемый, чо и где можно подкрутить для борьбы с таким эффектом

*helldomain* · 28.11.2003, 13:01

Podskajet. Prikrutit prawilnij firewall. Eto s tochki zreniya konchenogo klienta. I eshe hotelos-bi widet rezultati pinga i traceroute prejde chem mi budem o chem-to goworit.

29.11.2003, 00:46

Alrt
Ок, проехали...

Цитата:

Кстати, АутПост тут, по-видимому, ни при чём. У меня вчера NIS выдал такую же инфу (и автоматом заблокировал IP на полчаса - просмотр форума обломался ).

Borland
Чтобы просмотр не обламывался, переведи, если ситуация позволяет, время вперед, а через полчаса (смотря насколько стоит запрет) - обратно и просматривай...

...у меня так прокатило.

helldomain
Спасибо за разъяснения.

vot

Borland · 30.11.2003, 07:31

helldomain
на 04:21 GMT 30.11.2003:
ping www.imho.ws

Цитата:

Обмен пакетами с www.imho.ws [207.44.136.197] по 32 байт:

Ответ от 207.44.136.197: число байт=32 время=422мс TTL=49
Ответ от 207.44.136.197: число байт=32 время=406мс TTL=49
Ответ от 207.44.136.197: число байт=32 время=407мс TTL=49
Ответ от 207.44.136.197: число байт=32 время=407мс TTL=49

Статистика Ping для 207.44.136.197:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время передачи и приема:
наименьшее = 406мс, наибольшее = 422мс, среднее = 410мс

tracert www.imho.ws

Цитата:

Трассировка маршрута к www.imho.ws [207.44.136.197]

с максимальным числом прыжков 30:

1 250 ms 250 ms 250 ms APAS19.mtu.ru [212.30.161.19]
2 * * * Превышен интервал ожидания для запроса.
3 250 ms 250 ms 250 ms CreXGE0-0-3.ssilan.mtu.ru [195.34.52.1]
4 296 ms 250 ms 250 ms CoreFE1-0-3.ssilan.mtu.ru [195.34.52.2]
5 360 ms 375 ms 375 ms 500.POS4-1.IG2.NYC4.ALTER.NET [157.130.254.137]
6 359 ms 375 ms 375 ms 189.at-6-1-0.XR2.NYC9.ALTER.NET [152.63.0.29]
7 360 ms 343 ms 375 ms 180.ATM6-0.GW2.NYC9.ALTER.NET [152.63.19.1]
8 360 ms 359 ms 375 ms u72311-gw.customer.ALTER.NET [63.111.120.238]
9 375 ms 375 ms 391 ms core-02-ge-0-2-1-0.nycl.twtelecom.net [66.192.240.45]
10 375 ms 359 ms 375 ms core-01-ge-2-3-0-1.nycl.twtelecom.net [66.192.255.2]
11 407 ms 422 ms 421 ms 168.215.172.47
12 406 ms 407 ms 422 ms 216.54.253.2
13 422 ms 438 ms 421 ms ivhou-207-218-245-35.ev1.net [207.218.245.35]
14 406 ms 422 ms 422 ms 207.44.136.197

Трассировка завершена.

AndyLP
Зачем же переводить время вперёд? Можно просто снять блокировку вручную

Или сразу внести 207.44.136.197 в список доверенных адресов - тогда он не будет блокироваться.

FreeSpace · 30.11.2003, 14:52

Народ, а вы только представьте себе, какой растратой ресурсов было бы сканировать порты каждого юзверя, который ходит по форуму?
С такими тормозами здесь бы вообще форумчан не осталось

*helldomain* · 30.11.2003, 16:42

Eto dur znakomaya. U TWT biwajut prikoli s routerami.

26.11.2003, 09:50	# 1
AndyLP Guest Сообщения: n/a	Важно! Сканирования портов и атаки компьютера с www.imho.ws Предоставляю лог стенки: 8:33:08 Атака Rst 207.44.136.197 -> 207.44.136.197 8:33:07 Сканирование портов 207.44.136.197 TCP (2566, 2573) 8:03:03 Сканирование портов 207.44.136.197 TCP (2416, 2414) 5:45:13 Сканирование портов 207.44.136.197 TCP (1833, 1834) 3:26:24 Сканирование портов 207.44.136.197 TCP (4309, 4308) 3:15:51 Сканирование портов 207.44.136.197 TCP (4228, 4223) 1:29:17 Сканирование портов 207.44.136.197 TCP (3259, 3258) 0:55:38 Сканирование портов 207.44.136.197 TCP (3048, 3047) 24.11.2003 23:03:40 Сканирование портов 207.44.136.197 TCP (2104, 2106) 23.11.2003 5:08:30 Сканирование портов 207.44.136.197 TCP (1147, 1146) Прошу администраторов форума дать разъяснения - как это воспринимать?

27.11.2003, 23:09	# 8
AndyLP Guest Сообщения: n/a	Alrt Слово "возможно", также, как и "предполагаю", явно не указывает и не обвиняет (даже юридически не считается клеветой, ИМХО), а предполагать можно что угодно... ... и, "если человек не обиделся на вашу шутку, значит у него есть чувство юмора, а если обиделся, значит, понял ее смысл"... тем более, что это - не шутка и у себя, на компе, я получил вышеприведенную картину. А в ней "нарисовалось" то, что произошло 23, 24 и 26 числа. Но, по твоим словам, именно Оутпост глючит. Я правильно понял? То есть, Оутпост, чтобы юзеру жизнь медом не казалась или, чтобы затуманить ему глаза (что не зря деньги потрачены), выдает в случайном порядке фиктивность нелегального доступа к компу? И, если глянуть на полный лог (попытки других), то, судя по твоему "заключению", можно Оутпост совсем отключить/поставить в режим разрешения. Так что ли? Предположим, что я сменю файервол, и что вы будете говорить потом? Что это глючит стенка1/стенка2/etc... ? А, предположим обратное: вы обнаружите, что с компьютера AndyLP происходят вероятные сканирования/атаки вашего форума. Ваши действия? ИМХО, реакция и ответ будут незамедлительны. Я даже не предположил, что админы здесь - ламо, но и "Вася", возможно, - не чайник... ... а ответить посетителю форума (отреагировать на его вопрос, ИМХО - серьезный) желательно не тогда, когда "задевают". И, если вы 100% уверены, что с вашей стороны ничего "такого" быть не могло, то стоило бы разъяснить ситуацию, а не отмалчиваться, пока не "достанут". ЗЫ. А так положение такое, как: "Входя в наше заведение Вы должны пройти контроль на наличие оружия. Сдавайте имеющееся у Вас оружие охраннику/швейцару. При выходе Вы сможете получить его обратно. Если Вас пристрелят в нашем заведении, администрация ответственности не несет. Администрация" Последний раз редактировалось AndyLP; 27.11.2003 в 23:31.

28.11.2003, 08:45	# 11
Alrt Administrator Регистрация: 24.12.2002 Пол: Male Сообщения: 9 587	AndyLP Давай не будем тут казусы обсуждать. Ты просто не знаешь ситуацию, поэтому допустил такое высказывание, если бы знал то такая мысль у тебя бы не возникла, будь твой Вася хоть хакером. __________________ Я не злопамятный. Я злой, но память у меня плохая и никуда я ничего не записываю. Могу отомстить, забыть, потом снова отомстить... Forum canonis non penis canina est!

28.11.2003, 10:11	# 12
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 484	Кстати, АутПост тут, по-видимому, ни при чём. У меня вчера NIS выдал такую же инфу (и автоматом заблокировал IP на полчаса - просмотр форума обломался ). Может, какие "добрые люди" подламывают/подломили сайт/сервер? Последний раз редактировалось Borland; 28.11.2003 в 10:25.

28.11.2003, 12:05	# 14
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Tiho, tiho gospoda, ne nado drug druga pinat nogami. Eto bolno i ne kulturno. 1. Sprashiwat po etomu powodu nujno menya. 2. Server polnostju proweren na nalichie rootkitow i lishnih weschei kotorih tam ne doljno bit. 3. Dannij effekt woznikaet iz-za zapazdiwaniya servera kogda paketi prihodyat pozje, chem ih jdut. S uwajeniem, helldomain/IMHO.WS __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

26.11.2003, 14:49	# 2
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	хм, а ты часом в это время на форуме не был? __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

26.11.2003, 17:05	# 3
Yanson Full Member Регистрация: 13.10.2002 Адрес: Челябинск Сообщения: 1 167	AndyLP, если не ошибаюсь, то это лог первого оутпоста. Сам на это раньше ловился.

26.11.2003, 23:14	# 4
AndyLP Guest Сообщения: n/a	dr-evil И что? Значицца, если я прихожу в клуб, в котором, при всем, существует фэйс-контроль, то это позволяет хозяевам (работникам) клуба, в то время, когда я нахожусь в нем (отдыхаю), втихаря шарить по моим карманам? Так что ли? И где здесь взаимосвязь между моим присутствием на форуме и сабжем? Я и 25-го был на форуме и что? Yanson Увы, ошибаешься: Оутпост - второй, один из последних (хотя это еще ни о чем не говорит ). ЗЫ. Никого не хочу беспричинно обвинить, но хотелось бы все-таки выяснить причину сабжа.

27.11.2003, 08:02	# 6
AndyLP Guest Сообщения: n/a	Yanson Ок, будем считать, что Оутпост глючит (возражения разработчиков принимаются ) и то, что он выдал в логе (часть) - его "маленькие шутки", а, возможно, зашел какой нить Вася (к примеру) в гости к админам форума и, пока они ходили за пивом, приложил свои шаловливые ручки к компу... Вообщем, каждый остался при своем мнении, ответа от админов так и не получено (странно !), а я...

28.11.2003, 05:18	# 9
Yanson Full Member Регистрация: 13.10.2002 Адрес: Челябинск Сообщения: 1 167	AndyLP, мда. Надо просто больше инфы про OP почитать. Все что у тебя случилось связано с неверным детектированием атак. Эта проблема существовала в первой версии, видимо присутствует и во второй. Как говорится не все плагины одинаково полезны.

28.11.2003, 06:21	# 10
AndyLP Guest Сообщения: n/a	Yanson ... ок, временно сменю стенку - посмотрю, как дальше будет...

28.11.2003, 10:24	# 13
vot Full Member Регистрация: 29.09.2002 Сообщения: 696	Ребята, а может просто хостеру форума вопрос задать нужно? (это по сути) Теперь от меня по поводу тона даного топа..... Человеки, а не кажется ли вам, что тон данного топа на базарную брань очень смахивает???? Ну новым простительно может быть, но админам....... Админы, вы чего???? Будьте выше "растапыривания пальцев и соплей пузырями"......

28.11.2003, 12:11	# 15
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 484	helldomain Хорошо, причина понятна. А не подскажет ли Уважаемый, чо и где можно подкрутить для борьбы с таким эффектом

28.11.2003, 13:01	# 16
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Podskajet. Prikrutit prawilnij firewall. Eto s tochki zreniya konchenogo klienta. I eshe hotelos-bi widet rezultati pinga i traceroute prejde chem mi budem o chem-to goworit. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

30.11.2003, 14:52	# 19
FreeSpace Технический администратор Регистрация: 01.03.2003 Адрес: Киев, Украина Сообщения: 327	Народ, а вы только представьте себе, какой растратой ресурсов было бы сканировать порты каждого юзверя, который ходит по форуму? С такими тормозами здесь бы вообще форумчан не осталось __________________ Программирование - это единственное искусство, которое способно воплотить столь уникальное сочетание эстетики и функциональности.

30.11.2003, 16:42	# 20
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Eto dur znakomaya. U TWT biwajut prikoli s routerami. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.