Как дать сдачи

[helldomain]

LAndrew - eto dostigaetsya poiskom oshibok w prilojeniyah. Obichno. No elsi u tebya, dopustim, est wihod na backbon s dostatochnoi skorostju - poloji providera nadoewshego tebe chuwaka.

[tiamax]

Единственный нормальный способ "дать сдачи" это скопировать логи с атакой и переслать их своему провайдеру на abuse@ / Провайдер и только он уполномочен "давать сдачи", а заниматься самодеятельностью имхо детство, так можно доиграться и до того, что на тебя твоему провайдеру поступит жалоба, и инета лишать тебя. Да и вообще, большинство портсканов никоим образом не персонализированы, просто ваш ip попадает в диапазон сканирования, и реагировать на них нет смысла, вот если атаки повтряются да с одного или схожих ip, то отгда стоит почесаться.

[helldomain]

Menya skanirujut w srednem raz w 5 minut. Obichno pitajutsya:
1. NetBIOS 137/139
2. SSH
3. FTP

Wot tak.

[tiamax]

твой домашний комп сканируют или какой? все же зависит от популярности ресурса. у меня вот сервак за сутки 3-5 портсканов проходит, но это не причина для паранойи. а вот с серьозными попытками лично я поступаю так как описал выше, abuse провайдеру ( а с провом своим нас связывают архидружеские отношения) и все, проблема с моих плеч снята, мой пров уже сам пишет провайдеру атакера, сам его у себя в black list заносит да еще и пару недель внимательно присматривается к нашему серваку для контроля . Я понимаю что не всех так провы любят, но отреагировать на корректно написанный abuse, подтвержденный логами они должны, сами в этом заинтересованы.

[helldomain]

Nu, moemu prowu nastolko pofig, kto menya bombit, glawnoe, chto-bi u nih iz-za etogo routeri ne legli. A tak - wse po barabanu. Na posle whodnogo routera stoit firewall, wot i use.

[tiamax]

ну что значит пофиг ? им же тоже лишний трафик не нужен в принципе( а хороший портскан с широкого канала может быть и заметен), плюс если будут сканить и соответственно ломать их юзеров, то эти "поломаные юзеры" потом могут одночасно в каком нибудь ddos заучаствовать, а это прову уж точно не нужно. так что в принципе есть у него причины заботиться о юзерах ( хоть и не очень весомые), но основная причина это вроде как правила такие-помощь в этом вопросе оказывать, или фиг его знает что, но ни разу не встречал, чтоб звонили прову, жаловались на попытку взлома, а тот отвечал, типа мне пофиг, пусть хакают

[helldomain]

Ya w Germanii. Provider - T-Online. U nih swoi linii po wsei strane. Eto birokrati, traf oni ne schitajut. Im na eto zabit. U menya traf w srednem 150-250gb w mesyac na menya odnogo.

[tiamax]

Ну ты пробовал им жаловаться на попытки взлома? А то может мы теоретически говорим. Я вот в Киеве, рассказал я про свою ситуацию - провайдер реагирует архиоперативно. Если не пробовал ты своим жаловаться, то давай интереса ради отправь им кусок лога и попроси принять меры Вот и определимся.

[helldomain]

Probowal. Menya nedeliu podryad walili. Tishina.

[tiamax]

В смысле тишина, ты позвонил провайдеру войсом и сказал что тебя валят неделю а они в ответ молчали пока ты трубку не положил? Или все же пообещали разобраться и нифига не сделали?

[helldomain]

Ugu. Poobeschali, skazali kuda skinut log, ya zalil. Wot i po sei den moi request imeet status open.

А что, собственно, такого?
Ну сканирует порты, а что запрещено?
Take it easy and do your homework!
ustek

Если вас кто-то сканировал, то его можно тоже посканировать даже ради интереса. Я для этого пользую прогу Languard Network Scanner.
Если вас сканируют по порту UDP 137/139, то это скорее всего сканер типа xSharez (тоже хороший сканер, особенно 3й версии), кто-то пытается найти зашаренные ресурсы на компе. Такого кул хацкера можно тоже посканить, тем же xSharez'ом и пока он делает своё грязное дело можно свистнуть у него пароли на инет и много чего ещё (так как все файрволлы блокируют UDPтраффик, то кулхацкеру во время сканирования нужно отключить файрволл, енто нам и нужно, однако самим тоже придётси его отключить).
Ну вот вдоволь насканившись, можно перейти к расдаче сдачи))
Всем известно про ньюки (хорошая их коллекция лежит здесь ) и что они расчитаны на оси Win9x, но есть хорошая штучка и для Win2k/XP(основанн на посылке крвого пакета на порт 139) - имя ей SMBdie (во время ньюканья файрволл тоже надо приоткрывать).
А писать письмо провайдеру, я считаю енто что-то типа бежать в милицию и писать ксиву, в то время когда тебе морду бьют

[helldomain]

1. 137 - 139 eto SMB.
2. SMBDIE - gliuk ustranili eshe pod 95.
3. Swoi firewall priotkriwat neobyazatelno - zawisit ot firewalla i ot togo, na filtr chego on nastroen - esli filtruesh tolko IN, togda wse spokoino uidet. Esli firewall otslejiwaet paketi (SPI) i nastroen na dinamicheskoe uprawlenie dostupom, to nikomu i nichego otkriwat ne nado.

[helldomain]

Vasyan! Bolshaya prosba ne kidat na imho igrushki takogo plana. W krainem sluchae link - no sami progi - ne ne ne. Takoi gemoroi delat ne nado. Mogut po bashke nadawat. Nadejus ya ne obidel.