Страница 1 из 1

подозрительная активность интернет соединения

СообщениеДобавлено: Вс окт 30, 2011 7:31 am
Hacker
кажется за мной следит ЦРУ.... или менская крывавая гэбня. Ратуйце, хлопцы!

В общем, подозрительная активность интернет-соединения. Периодически мигают "экранчики" в трее. За последнее время был установлен VkontakteDJ. Уже удалён.
Автозагрузка, сервисы, запущенные процессы - девственно чисты.
В реестре правда осталась запись в автозагрузке: praetorian.exe. Однако по указанному пути файл отутствует. Официально - это Защитник Яндекс. И вот что про него пишут.
Антивирь AVZ ничего не нашёл. Даже AppInit_dlls и winlogon чисты.
Можете, кстати, у себя для интереса посмотреть (актуально для WinXP):
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
если там не прописано подозрительных exe'шников (кроме explorer, userinit, logonui) то всё в порядке.
Файл hosts также в порядке.
Сканирование HiJackThis тоже не выявило ничего подозрительного.

Я уж хотел было списать активность на обмен технической информации модема с сервером провайдера, обновлениями прошивки и пр... Но не тут-то было.
Когда модем раньше обменивался подобной информацией, мониторчики не мигали. Сейчас же явно видны попытки отсыла пакетов с моего компа.

Можно ли как-нить по-кулхацкерному "прослушать" проснифить чего там модем отправляет и куда?
AVZ умеет такие фокусы?

ЗЫ. если ближайшее время надолго исчезну с форума, знайте, я пал жертвой коварного заговора мирового правительства

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Вс окт 30, 2011 8:05 pm
Hacker
Установил ZoneAlarm для приличия. А то вовсе сидел без антивирей\файрволов. :lamer:

Анализ логов подтвердил мою теорию об обмене служебной информацией. Т.к. исходящие запросы идут на IP принадлежащие Космосу.
$this->bbcode_second_pass_quote('', '2')13.184.238.6 - Внутренние сервисы: DNS, WWW, Time, IRC

$this->bbcode_second_pass_quote('', '2')13.184.238.25 - DNS

Вопрос лишь в том, что буквально пару дней назад такой активности не было.
Может у меня паранойя, но меня реально раздражает.
И по-прежнему интересует вопрос, что же там отсылается без моего ведома. o_O

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Вт ноя 01, 2011 9:04 am
Zhelezaka
$this->bbcode_second_pass_quote('', '')становил ZoneAlarm для приличия. А то вовсе сидел без антивирей\файрволов.

У самого такой, что в логах показывает...???

$this->bbcode_second_pass_quote('', '')ериодически мигают "экранчики" в трее.

А трафик как ??

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Пн дек 05, 2011 9:44 pm
Hacker
в общем, в прошлый раз активность была вызвана двумя вещами:
1. в опере была открыта страница с чатом, апплетами (кто на сайте) и прочей хренью. :lamer:
2. факт подозрительных входящих запросов с серверов DNS КосмосТВ остался открытым.

А вообще Zone Alarm этот - дрянь редкостная. Столько нервов попортил. :ass:
Как начнёт тупить, прежде чем решит наконец спросить пользователя, давать или не давать доступ программе, запустить службу или нет... это что-то.
Особенно "классно" когда игры в винду вываливает с вопросом "дать не дать".
$this->bbcode_second_pass_quote('', '')$this->bbcode_second_pass_quote('', '')ериодически мигают "экранчики" в трее.

А трафик как ??

да никак. У меня анлим. :smile:

Сейчас вдруг опять началось. Причём круче, чем раньше.
За минуту ZoneAlarm заблокировал 20(!) входящих запросов с 20-ти разных IP! :eek: Долбили на 3541-й порт. За что он там отвечает, кстати?
Однако ZoneAlarm сказал, что уровень опасности средний, возможно скан портов, и вообще - это интернет-шум. :lamer: :confused:
Загрузка входящего\исходящего трафика: 200-500 Байт\с

отчот:
http://fwalerts.zonelabs.com/fwanalyze. ... b=overview

Изображение

люди, караул!

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Пн дек 05, 2011 10:03 pm
kosproger
$this->bbcode_second_pass_quote('Hacker', '')а минуту ZoneAlarm заблокировал 20(!) входящих запросов с 20-ти разных IP! Долбили на 3541-й порт. За что он там отвечает, кстати?

порт ни за что не отвечает :wink:
А у тебя торрент в это время не был запущен какой-нить?

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Ср дек 07, 2011 6:11 am
Hacker
$this->bbcode_second_pass_quote('kosproger', '')орт ни за что не отвечает :wink:

А вот очень даже отвечает :wink:
$this->bbcode_second_pass_code('', 'http://www.ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP') может я некорректно выразился :shuffle:
$this->bbcode_second_pass_quote('kosproger', '') у тебя торрент в это время не был запущен какой-нить?

нет. Была запущена Опера, но там были статичные html (без баннеров и флэш).
В любом случае, парой открытых страниц нельзя объяснить входящие запросы с 20-ти(!) разных IP в течении минуты.

Сейчас опять тишина, враг капитулировал, причины остались неизвестны.

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Ср дек 07, 2011 10:10 am
leave
Hacker, это самые обычный примитивный скан сетей. Если сервис обнаружен - его начинают долбить. Если не обнаружен - идем дальше.

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Чт дек 08, 2011 12:24 am
Hacker
$this->bbcode_second_pass_quote('leave', '[')b]Hacker, это самые обычный примитивный скан сетей. Если сервис обнаружен - его начинают долбить. Если не обнаружен - идем дальше.

Пажалста, ещё раз, для сетевых чайников. :smile: Какой такой сервис мог быть на моём компе? o_O
И что даёт это долбление? Какова вероятность кражи явок\паролей\посещённый сайтов?

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Чт дек 08, 2011 10:50 am
leave
Не так. Чуваки пускают скан на конкретный сервис по диапазону, скажем, 178.0.0.0/8. Скан осуществляет стадо ботов - от 1 до пары тысяч "голов". Если сервис обнаружится (порт будет в состоянии LISTEN), и, опционально, сетевой баннер будет корректным, то этот факт будет отражен в логах бота; в зависимости от навороченности системы бот может в таком случае прекратить сканирование сети и начать ковырять конкретный хост (например, брутфорсить логины/пароли, применять последовательно различные эксплоиты, и т.д.)

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Сб сен 29, 2012 7:17 am
Hacker
$this->bbcode_second_pass_quote('search_max', '[')off]С касперским я такого никогда не встречал. Недавно на мя наслали DDOS атаку так 10-й каспер лёг костьми на амбразуру, но защитить защитил.[/off]

меня тоже DDoS'ят :lamer:
переподключение не помогает.
Что интересно, входящие запросы идут по UDP а не TCP.
А вообще, похоже на ситуацию, описанную leave постом выше.

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Сб сен 29, 2012 11:40 am
savely
$this->bbcode_second_pass_quote('', '')еня тоже DDoS'ят


Целыми 3-мя пакетами в секунду... :biggrin:

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Пн окт 01, 2012 1:20 pm
leave
Hacker, 15-секундное гугление по запросу "udp port 1997" дает нам ответ:
$this->bbcode_second_pass_quote('', '
')PORT 1997 – Information
Port Number: 1997
TCP / UDP: UDP
Delivery: No
Protocol / Name: gdp-port
Port Description: Cisco Gateway Discovery Protocol
Virus / Trojan: No

Это точно такой же авторутер, как я описывал выше (в данном случае заточенный под обнаружение цисок с рабочим и открытым GDP

Re: подозрительная активность интернет соединения

СообщениеДобавлено: Ср дек 04, 2013 8:33 pm
Hacker
В общем, прошлый раз была фигня.
Сейчас поставил внешний IP, запустил детектор сканирования портов APS. Классная штука, скажу я вам.
Hacker gay attack.PNG


То, что детектор этот эмулирует работу сервисов и привлекает ботов, я в курсе. Кстати он ещё предназначен для тестирования файрвола, который я до сих пор не установил :biggrin: