Fire Wall показывает Nuke атаку с адреса 87.238.112.129 - Безопасность

Master911 · 30.12.2006, 04:32

Всем прив

Есть проблема помогите плис

Последнюю неделю Fire Wall показывает Nuke атаку с адреса 87.238.112.129 я в самом ФВ PC Flank_ом глянул откуда он, но там вылезла скудная инфа об этом адресе.... кто нить могет мне дать больше инфы, что это за адрес и желательно страну..... просто интересно, что он атакует локальную тачку.....

Конфа моей сети моя Тачка основная через которую в локалку поподает инет... XPSP1_RM.1_PRO_RTL_RU..... Проверил Локальную тачку на наличие вирусов, показало нет, проверял НОД 32 послденим обновлением,
Проверил ФВ послдним обновлением на наличие червей нашел 2 я их удалил но названия к сожелению не запомнил.... итог чего я хочу найти инфу кто ко мне лезет, либо какой нить обычный спам вирусов либо кто нить еще, хочу поробовать глянуть их тачку по выше указаному адресу и возможно ли это?

Сокращения ФВ* - Файрволл (на всякий вдруг кто непонял

)

Жду совета или помощи по возможности.....

Breeze · 30.12.2006, 08:49

Цитата:

Нюк (Nuke) - это атака, целью которой является отказ в работе, какого либо сетевого сервиса. Для этой цели создано множество программ (WinNuke, Nuke Attack и тд.), которые может скачать в инете каждый засранец и свалить вашу машину. О том, как работают эти проги я здесь писать не буду, а только скажу, что большинство из них атакуют компьютер по указанному IP-адресу (как правило, на 139 порт, а в Win95 была такая дыра, что нюком можно было перезагрузить компьютер) посылая один или несколько некорректных запросов к запущенному на компьютере сетевому приложению. Возможность этих атак основанна на протоколе TCP/IP и является следствием разнообразных дыр и ошибок в ПО.
Для того чтобы обезопасить себя от нюков вам надо постоянно заходить на сайты программ, которыми вы пользуетесь при работе в Интернете (в первую очередь на www.microsoft.com) и поставить на свой компьютер антинюкер. О том как скачивать и устанавливать апдейты я писать здесь тоже не буду

...И мой совет - поставь всё-таки сервис пак2
А по большому счёту - закрыть порт файерволлом или не обращать внимания.

imhoman101 · 05.01.2007, 02:55

Номер раз http://www.all-nettools.com/toolbox:

87.238.112.129
87.238.112.128 - 87.238.112.143
Satellite Access Network

Dianov Denis
Peresvetov per. 3
Moscow
Russia
phone: +7 095 1050013
+7 495 1050013

Номер два:

root# nmap -P0 -sV -O 87.238.112.129

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-01-05 02:25 IST
Interesting ports on 87.238.112.129:
(The 1660 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
22/tcp open ssh Cisco SSH 1.25 (protocol 1.5)
25/tcp filtered smtp
70/tcp filtered gopher
80/tcp open http-proxy NetApp NetCache http proxy 6.0.3P2D6
110/tcp open tcpwrapped
143/tcp open tcpwrapped
1214/tcp filtered fasttrack
4444/tcp filtered krb524
5050/tcp open tcpwrapped
5190/tcp open tcpwrapped
5555/tcp filtered freeciv
6666/tcp filtered irc-serv
8080/tcp filtered http-proxy
8888/tcp filtered sun-answerbook
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.03%P=i386-redhat-linux-gnu%D=1/5%Tm=459D9B35%O=22%C=1)
TSeq(Class=TR%IPID=Z%TS=U)
T1(Resp=Y%DF=N%W=1020%ACK=S++%Flags=AS%Ops=ME)
T2(Resp=N)
T3(Resp=N)
T4(Resp=N)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

PS nmap rulez, сисадминам без нее - никуда.

Master911 · 06.01.2007, 19:50

Спс Парни в МСК мои друзья из компетентных органов пробьют, ети данные
Очень выручили!

, а с нюк атакой я наглухо заблокировал пока, а там разберусь и SP2 поставлю... просто я програмирую сотовые телефоны и разную др технику не весь софт работает ровно с SP2 - поэтому буду пробовать, что получится.

С НГ Вас!

УдачИ!

Sharer · 06.01.2007, 22:25

Очень прошу отписать результаты "пробивки", желательно с точными географическими координатами спутниковой "тарелки" злодея

Master911 · 13.08.2007, 18:13

Короче я уточнил чутка у кентов, данная нюк атака происходит из за того, что я сделал запрос и мне долго не приходило ответа или оборвалась связь и провайдер после некоторого времени на котором я нахожусь посылает запрос на соеденение с моим компом, а файр волл предпологает, Что это НЮК атака.

Теперь просьба, Кто подскажет как сделать ИП адрес своего провайдера в ФАЙЕР ВОЛЛЕ полностью доверительным, т.е, чтобы когда такое снова происходило он пропускал как норму? я все, что нашел в ФР вписал ИП адрес и порт в доверенные и все равно НЮК атаку иногда выдает он. Я предпологаю, что не нашел того места где в ФВ грамотно прописать в довереные его. Я могу конечно отключить контроль НЮК атак, но тогда, когда будет на самом деле НЮК атака засранцев каких-нить то это будет ГГГ мну.

P.S - SP2 Так и не поставил у меня не идет с SP2 некоторый нужный софт.

FantomIL · 14.08.2007, 13:16

Цитата:

Сообщение от Master911

Кто подскажет как сделать ИП адрес своего провайдера в ФАЙЕР ВОЛЛЕ полностью доверительным

А твой брендмауер так и называется - ФАЙЕР ВОЛЛ? Или у него есть все-таки некий разработчик?

В общем случае - создать правило, разрешающее все входящие соединения с необходимого адреса. А лучше - правило, разрешающее входящие соединения с необходимого адреса на необходимый порт (номер порта уточнить у провайдера).

Как создавать правила - читать в документации к своему ФАЙЕР ВОЛЛУ.

30.12.2006, 04:32	# 1
Master911 Banned Регистрация: 05.10.2005 Адрес: РФ РК г.Элиста Сообщения: 31	Fire Wall показывает Nuke атаку с адреса 87.238.112.129 Всем прив Есть проблема помогите плис Последнюю неделю Fire Wall показывает Nuke атаку с адреса 87.238.112.129 я в самом ФВ PC Flank_ом глянул откуда он, но там вылезла скудная инфа об этом адресе.... кто нить могет мне дать больше инфы, что это за адрес и желательно страну..... просто интересно, что он атакует локальную тачку..... Конфа моей сети моя Тачка основная через которую в локалку поподает инет... XPSP1_RM.1_PRO_RTL_RU..... Проверил Локальную тачку на наличие вирусов, показало нет, проверял НОД 32 послденим обновлением, Проверил ФВ послдним обновлением на наличие червей нашел 2 я их удалил но названия к сожелению не запомнил.... итог чего я хочу найти инфу кто ко мне лезет, либо какой нить обычный спам вирусов либо кто нить еще, хочу поробовать глянуть их тачку по выше указаному адресу и возможно ли это? Сокращения ФВ* - Файрволл (на всякий вдруг кто непонял ) Жду совета или помощи по возможности..... Последний раз редактировалось Master911; 30.12.2006 в 04:40.

05.01.2007, 02:55	# 3
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	Номер раз http://www.all-nettools.com/toolbox: 87.238.112.129 87.238.112.128 - 87.238.112.143 Satellite Access Network Dianov Denis Peresvetov per. 3 Moscow Russia phone: +7 095 1050013 +7 495 1050013 Номер два: root# nmap -P0 -sV -O 87.238.112.129 Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-01-05 02:25 IST Interesting ports on 87.238.112.129: (The 1660 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 22/tcp open ssh Cisco SSH 1.25 (protocol 1.5) 25/tcp filtered smtp 70/tcp filtered gopher 80/tcp open http-proxy NetApp NetCache http proxy 6.0.3P2D6 110/tcp open tcpwrapped 143/tcp open tcpwrapped 1214/tcp filtered fasttrack 4444/tcp filtered krb524 5050/tcp open tcpwrapped 5190/tcp open tcpwrapped 5555/tcp filtered freeciv 6666/tcp filtered irc-serv 8080/tcp filtered http-proxy 8888/tcp filtered sun-answerbook No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi). TCP/IP fingerprint: SInfo(V=4.03%P=i386-redhat-linux-gnu%D=1/5%Tm=459D9B35%O=22%C=1) TSeq(Class=TR%IPID=Z%TS=U) T1(Resp=Y%DF=N%W=1020%ACK=S++%Flags=AS%Ops=ME) T2(Resp=N) T3(Resp=N) T4(Resp=N) T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=N) T7(Resp=N) PU(Resp=N) PS nmap rulez, сисадминам без нее - никуда. Последний раз редактировалось imhoman101; 05.01.2007 в 03:34.

13.08.2007, 18:13	# 6
Master911 Banned Регистрация: 05.10.2005 Адрес: РФ РК г.Элиста Сообщения: 31	Короче я уточнил чутка у кентов, данная нюк атака происходит из за того, что я сделал запрос и мне долго не приходило ответа или оборвалась связь и провайдер после некоторого времени на котором я нахожусь посылает запрос на соеденение с моим компом, а файр волл предпологает, Что это НЮК атака. Теперь просьба, Кто подскажет как сделать ИП адрес своего провайдера в ФАЙЕР ВОЛЛЕ полностью доверительным, т.е, чтобы когда такое снова происходило он пропускал как норму? я все, что нашел в ФР вписал ИП адрес и порт в доверенные и все равно НЮК атаку иногда выдает он. Я предпологаю, что не нашел того места где в ФВ грамотно прописать в довереные его. Я могу конечно отключить контроль НЮК атак, но тогда, когда будет на самом деле НЮК атака засранцев каких-нить то это будет ГГГ мну. P.S - SP2 Так и не поставил у меня не идет с SP2 некоторый нужный софт. Последний раз редактировалось Master911; 13.08.2007 в 18:16.

06.01.2007, 19:50	# 4
Master911 Banned Регистрация: 05.10.2005 Адрес: РФ РК г.Элиста Сообщения: 31	Спс Парни в МСК мои друзья из компетентных органов пробьют, ети данные Очень выручили! , а с нюк атакой я наглухо заблокировал пока, а там разберусь и SP2 поставлю... просто я програмирую сотовые телефоны и разную др технику не весь софт работает ровно с SP2 - поэтому буду пробовать, что получится. С НГ Вас! УдачИ!

06.01.2007, 22:25	# 5
Sharer Banned Регистрация: 29.07.2006 Сообщения: 100	Очень прошу отписать результаты "пробивки", желательно с точными географическими координатами спутниковой "тарелки" злодея