подозрительная активность интернет соединения

Все о программах для онлайна.

Модератор: Gromak

подозрительная активность интернет соединения

Сообщение Hacker » Вс окт 30, 2011 7:31 am

кажется за мной следит ЦРУ.... или менская крывавая гэбня. Ратуйце, хлопцы!

В общем, подозрительная активность интернет-соединения. Периодически мигают "экранчики" в трее. За последнее время был установлен VkontakteDJ. Уже удалён.
Автозагрузка, сервисы, запущенные процессы - девственно чисты.
В реестре правда осталась запись в автозагрузке: praetorian.exe. Однако по указанному пути файл отутствует. Официально - это Защитник Яндекс. И вот что про него пишут.
Антивирь AVZ ничего не нашёл. Даже AppInit_dlls и winlogon чисты.
Можете, кстати, у себя для интереса посмотреть (актуально для WinXP):
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
если там не прописано подозрительных exe'шников (кроме explorer, userinit, logonui) то всё в порядке.
Файл hosts также в порядке.
Сканирование HiJackThis тоже не выявило ничего подозрительного.

Я уж хотел было списать активность на обмен технической информации модема с сервером провайдера, обновлениями прошивки и пр... Но не тут-то было.
Когда модем раньше обменивался подобной информацией, мониторчики не мигали. Сейчас же явно видны попытки отсыла пакетов с моего компа.

Можно ли как-нить по-кулхацкерному "прослушать" проснифить чего там модем отправляет и куда?
AVZ умеет такие фокусы?

ЗЫ. если ближайшее время надолго исчезну с форума, знайте, я пал жертвой коварного заговора мирового правительства
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.

Re: подозрительная активность интернет соединения

Сообщение Hacker » Вс окт 30, 2011 8:05 pm

Установил ZoneAlarm для приличия. А то вовсе сидел без антивирей\файрволов. :lamer:

Анализ логов подтвердил мою теорию об обмене служебной информацией. Т.к. исходящие запросы идут на IP принадлежащие Космосу.
$this->bbcode_second_pass_quote('', '2')13.184.238.6 - Внутренние сервисы: DNS, WWW, Time, IRC

$this->bbcode_second_pass_quote('', '2')13.184.238.25 - DNS

Вопрос лишь в том, что буквально пару дней назад такой активности не было.
Может у меня паранойя, но меня реально раздражает.
И по-прежнему интересует вопрос, что же там отсылается без моего ведома. o_O
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.

Re: подозрительная активность интернет соединения

Сообщение Zhelezaka » Вт ноя 01, 2011 9:04 am

$this->bbcode_second_pass_quote('', '')становил ZoneAlarm для приличия. А то вовсе сидел без антивирей\файрволов.

У самого такой, что в логах показывает...???

$this->bbcode_second_pass_quote('', '')ериодически мигают "экранчики" в трее.

А трафик как ??
Zhelezaka

 
Сообщения: 859
Зарегистрирован: Сб янв 12, 2008 12:30 pm
Откуда: город герой - Минск
Благодарил (а): 8 раз.
Поблагодарили: 26 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение Hacker » Пн дек 05, 2011 9:44 pm

в общем, в прошлый раз активность была вызвана двумя вещами:
1. в опере была открыта страница с чатом, апплетами (кто на сайте) и прочей хренью. :lamer:
2. факт подозрительных входящих запросов с серверов DNS КосмосТВ остался открытым.

А вообще Zone Alarm этот - дрянь редкостная. Столько нервов попортил. :ass:
Как начнёт тупить, прежде чем решит наконец спросить пользователя, давать или не давать доступ программе, запустить службу или нет... это что-то.
Особенно "классно" когда игры в винду вываливает с вопросом "дать не дать".
$this->bbcode_second_pass_quote('', '')$this->bbcode_second_pass_quote('', '')ериодически мигают "экранчики" в трее.

А трафик как ??

да никак. У меня анлим. :smile:

Сейчас вдруг опять началось. Причём круче, чем раньше.
За минуту ZoneAlarm заблокировал 20(!) входящих запросов с 20-ти разных IP! :eek: Долбили на 3541-й порт. За что он там отвечает, кстати?
Однако ZoneAlarm сказал, что уровень опасности средний, возможно скан портов, и вообще - это интернет-шум. :lamer: :confused:
Загрузка входящего\исходящего трафика: 200-500 Байт\с

отчот:
http://fwalerts.zonelabs.com/fwanalyze. ... b=overview

Изображение

люди, караул!
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение kosproger » Пн дек 05, 2011 10:03 pm

$this->bbcode_second_pass_quote('Hacker', '')а минуту ZoneAlarm заблокировал 20(!) входящих запросов с 20-ти разных IP! Долбили на 3541-й порт. За что он там отвечает, кстати?

порт ни за что не отвечает :wink:
А у тебя торрент в это время не был запущен какой-нить?
Lenovo G560, Debian Sid
Аватара пользователя
kosproger
HWBY Team
HWBY Team
 
Сообщения: 2010
Зарегистрирован: Пн июл 24, 2006 2:46 am
Откуда: РБ, г. Сморгонь, Новополоцк, Полоцк, Витебск
Благодарил (а): 16 раз.
Поблагодарили: 6 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение Hacker » Ср дек 07, 2011 6:11 am

$this->bbcode_second_pass_quote('kosproger', '')орт ни за что не отвечает :wink:

А вот очень даже отвечает :wink:
$this->bbcode_second_pass_code('', 'http://www.ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP') может я некорректно выразился :shuffle:
$this->bbcode_second_pass_quote('kosproger', '') у тебя торрент в это время не был запущен какой-нить?

нет. Была запущена Опера, но там были статичные html (без баннеров и флэш).
В любом случае, парой открытых страниц нельзя объяснить входящие запросы с 20-ти(!) разных IP в течении минуты.

Сейчас опять тишина, враг капитулировал, причины остались неизвестны.
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение leave » Ср дек 07, 2011 10:10 am

Hacker, это самые обычный примитивный скан сетей. Если сервис обнаружен - его начинают долбить. Если не обнаружен - идем дальше.
leave
HWBY Team
HWBY Team
 
Сообщения: 1442
Зарегистрирован: Пт окт 28, 2005 5:34 pm
Откуда: Менск
Благодарил (а): 1 раз.
Поблагодарили: 16 раз.

Re: подозрительная активность интернет соединения

Сообщение Hacker » Чт дек 08, 2011 12:24 am

$this->bbcode_second_pass_quote('leave', '[')b]Hacker, это самые обычный примитивный скан сетей. Если сервис обнаружен - его начинают долбить. Если не обнаружен - идем дальше.

Пажалста, ещё раз, для сетевых чайников. :smile: Какой такой сервис мог быть на моём компе? o_O
И что даёт это долбление? Какова вероятность кражи явок\паролей\посещённый сайтов?
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение leave » Чт дек 08, 2011 10:50 am

Не так. Чуваки пускают скан на конкретный сервис по диапазону, скажем, 178.0.0.0/8. Скан осуществляет стадо ботов - от 1 до пары тысяч "голов". Если сервис обнаружится (порт будет в состоянии LISTEN), и, опционально, сетевой баннер будет корректным, то этот факт будет отражен в логах бота; в зависимости от навороченности системы бот может в таком случае прекратить сканирование сети и начать ковырять конкретный хост (например, брутфорсить логины/пароли, применять последовательно различные эксплоиты, и т.д.)
leave
HWBY Team
HWBY Team
 
Сообщения: 1442
Зарегистрирован: Пт окт 28, 2005 5:34 pm
Откуда: Менск
Благодарил (а): 1 раз.
Поблагодарили: 16 раз.

Re: подозрительная активность интернет соединения

Сообщение Hacker » Сб сен 29, 2012 7:17 am

$this->bbcode_second_pass_quote('search_max', '[')off]С касперским я такого никогда не встречал. Недавно на мя наслали DDOS атаку так 10-й каспер лёг костьми на амбразуру, но защитить защитил.[/off]

меня тоже DDoS'ят :lamer:
переподключение не помогает.
Что интересно, входящие запросы идут по UDP а не TCP.
А вообще, похоже на ситуацию, описанную leave постом выше.
Вложения
DDoS.PNG
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение savely » Сб сен 29, 2012 11:40 am

$this->bbcode_second_pass_quote('', '')еня тоже DDoS'ят


Целыми 3-мя пакетами в секунду... :biggrin:
Аватара пользователя
savely
HWBY Team
HWBY Team
 
Сообщения: 6876
Зарегистрирован: Вс мар 17, 2002 2:40 pm
Откуда: Моск. обл., г.Троицк
Благодарил (а): 2 раз.
Поблагодарили: 26 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение leave » Пн окт 01, 2012 1:20 pm

Hacker, 15-секундное гугление по запросу "udp port 1997" дает нам ответ:
$this->bbcode_second_pass_quote('', '
')PORT 1997 – Information
Port Number: 1997
TCP / UDP: UDP
Delivery: No
Protocol / Name: gdp-port
Port Description: Cisco Gateway Discovery Protocol
Virus / Trojan: No

Это точно такой же авторутер, как я описывал выше (в данном случае заточенный под обнаружение цисок с рабочим и открытым GDP

За это сообщение автора leave поблагодарил:
Hacker(Ср окт 03, 2012 10:30 am)
Рейтинг:25%
 
leave
HWBY Team
HWBY Team
 
Сообщения: 1442
Зарегистрирован: Пт окт 28, 2005 5:34 pm
Откуда: Менск
Благодарил (а): 1 раз.
Поблагодарили: 16 раз.
Вернуться к началу

Re: подозрительная активность интернет соединения

Сообщение Hacker » Ср дек 04, 2013 8:33 pm

В общем, прошлый раз была фигня.
Сейчас поставил внешний IP, запустил детектор сканирования портов APS. Классная штука, скажу я вам.
Hacker gay attack.PNG


То, что детектор этот эмулирует работу сервисов и привлекает ботов, я в курсе. Кстати он ещё предназначен для тестирования файрвола, который я до сих пор не установил :biggrin:
Аватара пользователя
Hacker
AudioManiac
AudioManiac
 
Сообщения: 3638
Зарегистрирован: Пт апр 09, 2004 4:24 am
Откуда: Бахрейн, Варшава
Благодарил (а): 49 раз.
Поблагодарили: 24 раз.


Вернуться в ПО для Интернета и сети

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

cron