Hakkeri yritti ovelasti, vai mitä sanotte tästä ?

[Immo]

Jos tuolla muuttaa MACcia, niin jokohan vaihtuu ulosnäkyvä IP:kin?

Kyllä se IP varmaankin muuttuu. En vaan tiedä miten muutan reititinmodeemin MAC-osoitteen. Tai voiko sitä edes muuttaa.

[valtsu68]

Tutkin tuota vähän enemmän

Tänään, sikäli kun käsitän, näyttää NAT ja TeleWellin rautasofta murretun. UFW lokissa oli noin 8 eri IP-osoitetta, vaikka se pysyy normaalisti täysin tyhjänä huolimatta TeleWellin lokiin kirjautuneitten koputteluiden määrästä ja laadusta.

Muistin kirjautuneeni Eniron numeropalveluun... ja tarina menee näin...

Menin Eniron sivulle, jossa ohjeena on "Lähetä tekstiviesti ENIRO  7352 numeroon 16233 (0.25 euroa)".

Laitoin viestin menemään. (Ja tässä vaiheessa en ollut tehnyt vielä mitään Eniron sivulla.) Sain paluuviestin joka näkyy kännykässä kelloajalla 08:20:51. Tämän jälkeen selain kirjautui automaagisesti palveluun.

Palomuurin lokissa toiminta alkoi seuraaavan mukaan:

Koodia: [Valitse]

heinä  02 08:20:36 [UFW BLOCK] tcp 80.69.234.12 searchfi.prod.eniro.net
80.69.224.0/20 Eniro network in Scandinavia (DK, FI, NO, SE) AS20888 Scandinavia Online AB 80
www 192.168.0
Ja tällaisia torppauksia tuli 22 kpl kolmessa eri purskeessa 8 minuutin aikana, jonka jälkeen torjuttava vaihtui:

Koodia: [Valitse]

heinä  02 08:38:49 [UFW BLOCK] tcp 217.30.180.49 virtual23.nebula.fi
217.30.176.0/20 FI-NBLNETWORKS AS29422 Nebula Oy Autonomous System 80 www 192.16

heinä  02 08:39:56 [UFW BLOCK] tcp 83.145.229.6 adv2.nebula.fi 83.145.192.0/18
FI-NBLNETWORKS-20040202 AS29422 Nebula Oy Autonomous System 80 www 192.16
Nuo rivit mukaan lukien 13 torjuntaa.

Myöhemmin tuli uusi yrittäjä kehiin: (eikä mitään hajua missä surffailin tuohon aikaan)

Koodia: [Valitse]

heinä  02 09:15:18 [UFW BLOCK] tcp 74.125.79.136 ey-in-f136.1e100.net
74.125.79.0/24 Google AS15169 Google, Inc 80 www 192.16
90 sekunnin aikana 16 torjuntaa. Nuo tiedot sai nätisti html-tiedostoon käskyllä:

Koodia: [Valitse]

fwlogwatch -tsNndypWwo FWLloki
Kaikki torjutut tulivat portista 80 palvelulla www ja tähtäsivät koneeni portteihin n. 39 000 - 60 000.

Mitä minä tästä opin? En kai mitään. Ehkä sen, että normikäyttäjän koneelle Eniro olisi päässyt helpommalla, kun ei palomuuria olisi aktivoitu eikä sinne sääntöjä laitettu. (Oletussäännöistä on ollut niin montaa juttua, että en ota niihin kantaa; varsinkaan kun en ole niitä tutkinut itse).

Olivatko kaikki torjutut mainostajan asialla. Ehkä?

[Immo]

No huh huh. Tulekoo nuo koputukset automagiikalla vai miten on yksityisellä(?) ihmisellä niin paljon aikaa ja intoa alkaa koputtelemaan randomina muitten ihmisten modeemeja.

Jos mailmasta löytyy ihmisiä, jotka pääsevät Pentagoniin murtautumaan (tosin jäi kiinni), niin eiköhän joku 50 eskon modeemin läpi joillain keinoin pääse. Tosin minun koneeni sisältö ei välttämättä ole niin mielenkiintoinen kuin Pentagonin palvelimien.

[valtsu68]

No huh huh. Tulekoo nuo koputukset automagiikalla vai miten...

  Minultako tuollaista kysyt? (haistanko vedätyksen)   Minä tuollaisia tiedä; ja ne jotka tietää, eivät jostain syystä kerro sitä tähän ketjuun. Onko tällaisia ketjuja liikaa? Onko tämä sopimaton aihe tälle forumille?

..vai miten on yksityisellä(?) ihmisellä niin paljon aikaa ja intoa alkaa koputtelemaan randomina muitten ihmisten modeemeja.

Ajattelepas esim. ilman omaa syytään kenkää saanutta IT-gurua, jolla ei ole kavereita työn ulkopuolelta, ei akkaa tms. Sitä kun alkaa ajan kuluessa ottamaan kupoliin ja lisäksi vielä naksahtaa sopivasti, niin motiiveja alkaa löytyä randomisti. Naapurin kissasta auringon liikkeisiin... Em. tapauksessa taito on valmiiksi kohdallaan, mutta voihan koputtaja olla vaikka työssä oleva "keksi tähän sopiva ammatti" joka harrastaa tietokoneita.

Jos mailmasta löytyy ihmisiä, jotka pääsevät Pentagoniin murtautumaan (tosin jäi kiinni), niin eiköhän joku 50 eskon modeemin läpi joillain keinoin pääse.

Juuri näin.

Tosin minun koneeni sisältö ei välttämättä ole niin mielenkiintoinen kuin Pentagonin palvelimien.

Sisältö ei ehkä, mutta onhan siinä hyvä harjoitella. Kun jossain vaiheessa keksii miten läpi pääsee, niin siirrytään vaikeampaan kohteeseen, tai huomataan ettei sen 50 eskon modeemin takana ollutkaan Windows 7 xp 98 nt 8 9 tms., jota olisi voinut käyttää rutiininomaisesti bottikoneena seuraavaan koputteluun.

Siinä putoaa jokin(?) osa nakuttajista, kun havaitsevat olevansa tekemisissä Linuksin kanssa. Ei tulekaan tuttua kansiorakennetta vastaan minne voisi haittaohjelman laittaa. (Eikä tietenkään ole sitä toimivaa haittaohjelmaakaan minkä laittaisi...)


Tämä viikonlopppu on aika aktiivista; nyt aamulla klo 8:50 jälkeen tullut 140 koputusta, eilen 220 ja tämän kuukauden puolella yhteensä 610 kpl.

[ylläpito on poistanut liitteen]

[Immo]

  Minultako tuollaista kysyt? (haistanko vedätyksen)   Minä tuollaisia tiedä; ja ne jotka tietää, eivät jostain syystä kerro sitä tähän ketjuun. Onko tällaisia ketjuja liikaa? Onko tämä sopimaton aihe tälle forumille?

No lähinnä äänen mietin. Luulisi jonkun krakkerin pistäneen jonkun koneen automaattisesti koputtulemeen IP kerrallaan modeemeja, jos jostain löytyisi joku vanha rotisko, jonka läpi pääsee helposti istuttamaan jotain roskaposti ohjelmia jne. Niin minä arvelen.
Ei tämä minusta mitenkään sopimaton aihe ole. Välillä on hyvä ajatellakin mitä internetissä tapahtuu, kun kaikki ovat tottuneet automaattisesti klikkailemaan kaikki Terms of Agreement -laatikot ja huoletta antamaan pankkikorttitunnuksensa, että saa juuri voitetun iPad:n huomiseksi kotiin.

Ajattelepas esim. ilman omaa syytään kenkää saanutta IT-gurua, jolla ei ole kavereita työn ulkopuolelta, ei akkaa tms. Sitä kun alkaa ajan kuluessa ottamaan kupoliin ja lisäksi vielä naksahtaa sopivasti, niin motiiveja alkaa löytyä randomisti. Naapurin kissasta auringon liikkeisiin... Em. tapauksessa taito on valmiiksi kohdallaan, mutta voihan koputtaja olla vaikka työssä oleva "keksi tähän sopiva ammatti" joka harrastaa tietokoneita.

No eiköhän kuuden miljradin ihmisen joukosta muutama(tuhatta) sellaista löydy.

Tämä viikonlopppu on aika aktiivista; nyt aamulla klo 8:50 jälkeen tullut 140 koputusta, eilen 220 ja tämän kuukauden puolella yhteensä 610 kpl.

Hmmm. Koputtelijat eivät varmaan pyri sisään asiakkaina (client), joten tunkeutujan tunnistaminen on varmaan aika mahdotonta.

[Pehtoori]

Kyllä kai noita koputtajia onaina ollut kun on kone verkossa..

Minä ainakaan en edes jaksa tutkia/päätä vaivata tuollaisen vuoksi.

[cabaro]

pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:

Koodia: [Valitse]

sudo netstat -plntu

Koodia: [Valitse]

sudo lsof -i
jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..

[valtsu68]

jos lsof -l komennolla näkyy jotain mitä ei pitäisi, niin PID kertoo mitä killata tarvittaessa..

Tuohan on aika mahtavaa loitsua. Pitäisiköhän näpertää vastaava skriptinpoikanen mitä noille koputtajillekin tein.

lsof -l komennolla näkyy

Koodia: [Valitse]

firefox-b..... ...... ey-in-f118.1e100.net:www (ESTABLISHED)
firefox-b..... ...... privet.canonical.com:www (ESTABLISHED)
firefox-b..... ...... blogit.kauppalehti.fi:www (ESTABLISHED)
firefox-b..... ...... 217-212-252-195.customer.teliacarrier.com:www (ESTABLISHED)
firefox-b..... ...... s3.amazonaws.com:www (ESTABLISHED)

Mutta tämä on kai normaalia? Joskus kokeillut EtherApe:a ja sekin näyttää uskomattomia määriä yhteyksiä johonkin ihan minne sattuu, vaikka on avannut vain selaimen. Siitä ne sitten kuolevat vuorollaan pois. Live-kirjanmerkit päivittyvät, jotkin RSS-syötteet, Google hakupalkki aktivoituu ja mitä lienee muuta.?

Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..

Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.

Luulisi jonkun krakkerin pistäneen jonkun koneen automaattisesti koputtelemaan IP kerrallaan modeemeja, jos jostain löytyisi joku vanha rotisko, jonka läpi pääsee helposti istuttamaan jotain roskaposti ohjelmia jne. Niin minä arvelen.

Näin se varmaan käy. Murretut/saastutetut koneet toimivat taas koputtajina... jne.

OT: Ilmaus "vanha rotisko".  Tiedän mitä tarkoitit, mutta kielikuva ja totuus voivat mennä täysin ristiin: Vanhassa koneessa on jokin Linux, uudessa koneessa jokin Windows. Vanhan koneen käyttäjä on valveutunut harrastaja, uuden koneen käyttäjä napsuttelee iloisesti "OK" joka paikkaan, sallii sitä sun tätä, sille sun tälle...

Hmmm. Koputtelijat eivät varmaan pyri sisään asiakkaina (client), joten tunkeutujan tunnistaminen on varmaan aika mahdotonta.

Pitäisi opiskella jonkin IDS-ohjelman käyttö, kunhan ensin olisi jaksanut opiskella "verkon salat" 

[cabaro]

Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..

Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.

[/quote]

Täältä näkee authentikointiyritykset

Koodia: [Valitse]

tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:

Koodia: [Valitse]

grep Failed /var/log/auth.log*
Onnistuneet:

Koodia: [Valitse]

grep Accepted /var/log/auth.log*

[Tha-Fox]

Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..

Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.

[/quote]

Eiköhän se riipu siitä, miten ip-osoitteesi osuu minäkin päivänä krakkereiden skannaamiin osoiteavaruuksiin.

[Immo]

Kyllä kai noita koputtajia onaina ollut kun on kone verkossa..

Minä ainakaan en edes jaksa tutkia/päätä vaivata tuollaisen vuoksi.

En minäkään ole yöuniani menettämässä, mutta asia luonnollisesti kiinnostaa, kun huomasin, että koputtelijoita tämänkin kotitalouksen koneet niin kiinnostavat 

OT: Ilmaus "vanha rotisko".  Smiley Tiedän mitä tarkoitit, mutta kielikuva ja totuus voivat mennä täysin ristiin: Vanhassa koneessa on jokin Linux, uudessa koneessa jokin Windows. Vanhan koneen käyttäjä on valveutunut harrastaja, uuden koneen käyttäjä napsuttelee iloisesti "OK" joka paikkaan, sallii sitä sun tätä, sille sun tälle...

Sanos muuta. Pelaajana minulta löytyy "pakollinen" Windows kovalevyltä ja ihana UAC-aiheuttaa zombimaisia oireita klikata kaikkia näkyvissä olevia OK-, Kyllä- ja Salli-nappeja.

pari komentoa, joilla näkee kuuntelevat portit ja muodostetut yhteydet:

Kiitos muuten noista.

[Immo]

Pistin muuten D-Linkille kyselyä, miten tulkita modeemireitittimen viestilokia. Pistin myös samaisen entryn, mikä ylempää löytyy. Vastaus oli tyhjentävä:

Ilmoitus tarkoitta että olet saanut Internet yhteiden. No problemos.

[sniveri]

Pistin muuten D-Linkille kyselyä, miten tulkita modeemireitittimen viestilokia. Pistin myös samaisen entryn, mikä ylempää löytyy. Vastaus oli tyhjentävä:

Ilmoitus tarkoitta että olet saanut Internet yhteiden. No problemos.

Repesin

kernel: Intrusion -> IN=atm0 OUT=
MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
SRC=88.191.77.26 DST=88.192.107.149 LEN=48 TOS=0x00
PREC=0x00 TTL=114 ID=48785 PROTO=TCP SPT=11199
DPT=22 WINDOW=65535 RES=0x00 SYN URG

Siis eikö tuo nyt ole ihan niin että:

SRC = Source / mistä ollaan tulossa kyläilemään
DST = Destination / mihin osoitteeseen pyritään kylään
PROTO = Protokolla
SPT = Source port
DPT = Destination port / mihin porttiin koitetaan tulla

Joku fiksumpi voi korjata jos meni ihan pieleen.

EDIT: Taisi olla vastattukkin jo tähän..

[Immo]

^ En todellakaan tiedä, mutta internet-yhteyttä vakavammasta asiasta ei ole kyse 

[valtsu68]

Kyllä kai noita koputtajia onaina ollut kun on kone verkossa..

Minä ainakaan en edes jaksa tutkia/päätä vaivata tuollaisen vuoksi.

En minäkään ole yöuniani menettämässä, mutta asia luonnollisesti kiinnostaa, kun huomasin, että koputtelijoita tämänkin kotitalouksen koneet niin kiinnostavat  

Näinpä. Nyt on ollut hiljaista; 5., 6. ja 7.7 yhteensä vain 24 pientä napautusta.

Kyllä kai noita koputtajia on aina ollut kun on kone verkossa..

Varmaan, mutta mistä johtuu älyttömät vaihtelut niiden määrässä? Eilen tuli 380 modeemin mielestä vakavampaa kopautusta, tänään ei vielä yhtään; vain 3 kevyttä naksausta.

Eiköhän se riipu siitä, miten ip-osoitteesi osuu minäkin päivänä krakkereiden skannaamiin osoiteavaruuksiin.

Näin se voi hyvinkin olla, ei kai kukaan voi koko verkkoa pieksää.

Täältä näkee authentikointiyritykset

Koodia: [Valitse]

tail -1000 /var/log/auth.log
Epäonnistuneet yritykset:

Koodia: [Valitse]

grep Failed /var/log/auth.log*
Onnistuneet:

Koodia: [Valitse]

grep Accepted /var/log/auth.log*

Eipä tainnut täällä olla kumpiakaan, muuta kuin omia kirjautumisia.

Tietoturva on kohdallaan. "Uhkaajat" löytyvät palomuurien lokeista; eli mikään ei ole päässyt läpi.

Joko tämä uutinen oli täällä jossain mainittuna?: http://www.hs.fi/kotimaa/artikkeli/Verkon+kostohy%C3%B6kk%C3%A4ykset+uhkaavat+uteliasta/1135258379799?ref=rss

Edit:   edellisen linkin keskustelusta kaapattu kommentti. Tuokin näyttäisi Windows-maailmalta...

Vakoiluohjelma koneen käyttäjänä.
Weberman  |  6.7.2010 4:16
   
No. Tuota jos minä moderoin jotakin palstaa, tai vastaavaa, niin enköhän minä pysty bannaamaan epämieluisan käyttäjän halutessani.

Sitten voin järjestää hänelle syötiksi tiedoston, vaikkapa jonkin hänen koneeltaan löytyvän ohjelman nimissä, jonka hän varmasti avaa, tai mikä parempi hänen koneensa tekee sen henkilön huomaamatta koko asiaa, koska on asettanut koneensa automaattisen päivityksen tekemään sen.

Tietysti verkossa voi olla asennettuna skannaus loputtoman määrän sisältöjä varten, mutta veikkaan ettei tätä löydy näiltä nörteiltäkään.

Itsellä oli juuri tänä keväänä vieras, joka aktivoitui vain internetyhteyden auettua ja lähetti tiedostoja erään ulkomaisen forumin ylläpitäjälle. Tuotti hieman töitä saada kutsumaton vieras häivytettyä bittiavaruuteen. Kuitenkin itseäni hieman huvittaa se, kun ja jos saa ne auki, niin on sielläpäinkin hieman puuhaa.

[FAIL]

Mitäs muute mun modeemin turvallisuuslogissa olevat jutut tarkoittaa?

Koodia: [Valitse]

Jul  8 07:04:28 Block Wan: DROP ICMP packet from [brwan] xx.x.xx.xxx to xx.xxx.xxx.xxxOnks noi vakaviaki ku toi turvallisuuslogi on täynnä tota samaa. Onko joku USAsta yrittänyt tulla koneelle tai jotain kun tuo lyhyempi IP-osoite on USAsta.. Ja joku MONTENEGRO maasta peräisin on yrittänyt tänään

[Tha-Fox]

Mitäs muute mun modeemin turvallisuuslogissa olevat jutut tarkoittaa?

Koodia: [Valitse]

Jul  8 07:04:28 Block Wan: DROP ICMP packet from [brwan] xx.x.xx.xxx to xx.xxx.xxx.xxxOnks noi vakaviaki ku toi turvallisuuslogi on täynnä tota samaa.

Joku on yrittänyt lähettää ICMP-pakettia (luultavasti yrittänyt selvittää, onko osoitteessa konetta vastaamassa) ja modeemisi on pudottanut paketin. Eli eipä mitään vakavaa, jos ei nyt joku ala tunkemaan noita niin massoittain, että modeemi kaatuu.

[FAIL]

Logi on kyllä aika täynnä tota samaa. Eilenkin joku on yrittänyt monta kertaa samasta IP-osoitteesta tuota lähetellä. Eli onko oikeen syytä huolestua vai ei jos logi on täynnä tuota?

[valtsu68]

Koodia: [Valitse]

Jul  8 07:04:28 Block Wan: DROP ICMP packet from [brwan] xx.x.xx.xxx to xx.xxx.xxx.xxx

Uskon, ihan niin kuin Tha-Fox, että tuo tulee pingauksesta ja ..

Koodia: [Valitse]

Jul  4 22:55:51 Hack Attack: DROP ICMP packet from [nas0] xx.x.xx.xxx  to xx.xxx.xxx.xxx <SPI:Illegal connection state attack>
...tuo on vähän kovempi, todennäköisesti porttiskannaus.

Ja kun tuollainen löytyy modeemista, niin se ei ole päässyt pitemmälle. Tässä ketjussa on noita muita tarkastuspaikkoja tullut hyvin esille.

[Immo]

Logi on kyllä aika täynnä tota samaa. Eilenkin joku on yrittänyt monta kertaa samasta IP-osoitteesta tuota lähetellä. Eli onko oikeen syytä huolestua vai ei jos logi on täynnä tuota?

Minä olisin huolissani, jos aktiivisen surffauksen seurauksena lokissa ei olisi yhtään tuollaista viestiä. Sehän tarkottaisi, että kaikki moska on tullut suoraan rytinällä sisään. Jos nettiä käyttää 1.67 miljardia ihmistä, ei koputtelujen luulisi olevan harvinaisia.