Outline · [ Standard ] · Linear+ Pentru informaticieni: un sfat varog.

Mi-am pus si eu internet prin cablu (Astral). Si mi-am pus si un firewall. Cam la fiecare 30 minute acesta imi da urmatorul mesaj: Port Scan attack is logged iar in fereastra de informatii apare ceva de genul: Somebody is scanning your computer. Your computer's TCP ports: 80, 2745, 1025, 3127 and 6129 have been scanned from 83.103.227.159. Inainte de a ma pune pe discutii cu cei de la Astral va intreb daca imi puteti spune ce inseamna asta si ce ar trebui sa fac.

Mi-am pus si eu internet prin cablu (Astral). Si mi-am pus si un firewall. Cam la fiecare 30 minute acesta imi da urmatorul mesaj: Port Scan attack is logged iar in fereastra de informatii apare ceva de genul:
Somebody is scanning your computer.
Your computer's TCP ports:
80, 2745, 1025, 3127 and 6129 have been scanned from 83.103.227.159.
Inainte de a ma pune pe discutii cu cei de la Astral va intreb daca imi puteti spune ce inseamna asta si ce ar trebui sa fac.

Pai asta inseamna ca cineva rau intentionat iti scaneaza sistemul ca sa gaseasca eventualele "security holes".

Se uita daca rulezi:
80 - server de web (http) - apache, sau orice altceva
2745 - urbisnet
1025 - blackjack (adica se uita daca nu cumva computerul tau are instalat un program stealth care sa permita atacatorului sa se foloseasca de el si sa-ti controleze sistemul)
3127 - mydoom - cam tot asa ceva (remote backdoor)
6129 - dameware - e un program valid de administrare la distanta a computerelor (gen winvnc) dar care are o bresa de securitate si permite access direct al atacatorului.

Posibil ca aceste scanuri sa fie facute de un worm (virus) sau de catre un atacator. Daca stii sigur ca nu ai asa ceva instalat - verifici mergand aici : http://www.emsisoft.com/en/software/download/ si downloadand a2 personal scanner - atunci poti sa pui firewallul sa ignore acele porturi si sa nu te mai avertizeze.

Sfaturi supl.:
1. Ar fi bine - daca stai pe windows - sa ai mereu update-urile la zi. Nu se stie niciodata ce apare..
2. Nu lua orice port scan ca un atac la adresa ta, caci iti faci nervi degeaba.. Eu nici nu-mi pun firewall cand intru pe dial up.. Oricum ma scaneaza f. multi cred, si n-am chef sa stiu de asta - caci m-ar enerva la culme.

3. ce ai putea face, daca mereu esti scanat de la acelasi IP - este sa informezi pe gigeii de la Astral de acest lucru, si sa ii presezi sa ia masuri.

Dar inca odata zic, multi te vor scana si de cele mai multe ori daca ai grija de computer si ce situri vizitezi si cui dai accesul pe el - scanurile nu iti fac absolut nimic.

http://www.ripe.net/db/whois/whois.html
83.103.227.159 - adresa apartine Astral-ului (prbabil data unui client), deci ar fi bine sa-i anunti. Respectivul este probabil infectat cu un virus/vierme.

6129 e portul default pentru dameware remote control agent:
http://isc.sans.org/port_details.php?port=6129

3127 e folosit de MyDoom, Novarg si variantele lor

Toate porturile scrise de tine sunt folosite de Phatbot

Deci mai mult ca sigur e un virus, si foarte probabil unul dintre astia..

Informeaza Astral-ul despre adresele care le apartin. Insa nu te stresa extrem de tare cu toate atacurile pe care le vei vedea in log-ul firewall-ului. Eu nu am timp aici sa fac traceroute la toate adresele care fac scanari de porturi, incearca telnet pe portul de mail, trimit pachete malformate. Asta e noul sport. Cred ca depasesc nivelul de 500 de mailuri infectate sau aiurea de eroare pe care le primesc in 24 de ore. Tine firewall-ul activat permanent, actualizeaza-l, actualizeaza si windows-ul in permanenta. Iar daca te pasioneaza, fa un traceroute si vezi cine sunt gigeii aia de te scaneaza.

Multumesc!

Vezi ca asa patesc si eu, insa e din cauza DC-ului. Mai precis, cand ia cineva file list-ul meu.

Ca firewall eu folosesc Black Ice-ul in combinatie cu Sygate. Dureaza ceva mai mult pana se incarca sistemul si trebuie sa vad unele mesaje de doua ori, dar merita.

Am o intrebare, relativ stupida, recunosc, dar nah...Cind firewallul iti zice ca sunt atacuri pe anumite porturi el le si blocheaza sau e doar asa, iti zice ce se intimpla, dar el nu le poate opri de fapt?!...

Pai in mod normal, un firewall blocheaza by-default unele porturi periculoase. In general se aplica filosofia "totul este blocat - spune tu ce vrei sa lasi". Unele firewall-uri sunt interactive, de genul ca imediat dupa instalare incep sa "invete" ce aplicatii si ce porturi sunt permise. Adica la prima chestie suspecta te intreaba ce vrei: sa permiti, sa blochezi, sa permiti/blochezi temporar. Dupa un timp, mesajele de genul asta vor fi tot mai rare.

De exemplu Kerio Personal Firewall, ca e si free pt home/personal use. Se gaseste pe net, daca dai o cautare pe google. Mie imi este lene.

In principiu poti sa-l configurezi f rapid. Lasi tot ce pleaca de pe compu tau, si tai tot ce vine la tine, mai putin ce sti ca iti trebe. Dar daca e vorba de dial-up nu se pune problema sa ai Webserver, mail server, etc. Poate doar un File sharing program sau ceva asemanator.

PS: daca a-ti sti cati ne scaneaza nou serverele? Mai ales ca avem IPuri statice. Blochez tot ce nu trebe si ii las in pace.

In functie de statari firewall-ul iti poate bloca e la inceput toate porturi, numai unele dintre ele sau nici unul. De exemplu in Black Ice ai setarile paranoid, nervous, cautious si trusting, unde paranoid blocheaza tot si iti da mesaj chiar si daca vrei sa dai copy-paste la un text e pe net.
Mesajele vor fi mai rare cu conditia sa il setezi in asa fel incat un mesaj odata aparut si la care i-ai dat un raspuns (blocheaza sau permite) sa nu apara iar firewall-ul sa faca actiunea pe care i-ai spus-o la inceput. hestia asta se face in Seagate prin bifarea casutei "Always perform this action" din fereastra de prompt ce iti indica o "agresiune". In Black Ice nu prea poti face asta. Ce mult poti sa ii spui programele care folosesc porturile comp-ului (internet explorer, update la antivirus, file share-uri etc). Dar atacurile ti le va raporta de fiecare data printr-o clipire a inconitei din system tray.