Kirjoittaja Aihe: Hakkeri yritti ovelasti, vai mitä sanotte tästä ? (Luettu 42454 kertaa)

Frank Zappa · « : 18.05.10 - klo:15.36 »

Firestarter muodosti seuraavan listan, heti välittömästi kun random-IPllä menin verkkoon. Hacker oli näköjään oksalla kytiksellä niinkuin korppikotka ! Liekkö kiinalainen tai usalainen, kun noita porttitiedusteluja tulee
jokapäivä useita !

Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:90.200.148.100 Length:99 TOS:0x00 rot:UDP Service:Unknown
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:84.203.64.50 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:06 Unknown In:ppp0 Out: Port:41840 Source:70.121.19.132 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:201.42.151.202 Length:70 TOS:0x00 rot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:74.56.219.172 Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:83.24.23.47 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:89.231.69.228 Length:99 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:84.251.223.235 Length:93 OS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:78.131.56.112 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:66.31.142.19 Length:70 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:24.199.69.125 Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:10 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:10 Unknown In:ppp0 Out: Port:41840 Source:95.21.61.94 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:11 Unknown In:ppp0 Out: Port:41840Source:217.126.219.124Length:93TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:12 Unknown In:ppp0 Out: Port:41840 Source:71.48.36.74 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:12 Unknown In:ppp0 Out: Port:41840 Source:196.205.193.6 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:13 Unknown In:ppp0 Out: Port:41840 Source:70.104.100.73 Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:13 Unknown In:ppp0 Out: Port:41840 Source:85.211.67.229 Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:14 Unknown In:ppp0 Out: Port:41840 Source:87.60.177.83 Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:14 Unknown In:ppp0 Out: Port:41840 Source:82.113.106.146 Length:99TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:15 Unknown In:ppp0 Out: Port:41840 Source:174.3.242.31 Length:93 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:16 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203 Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:50:16 Unknown In:ppp0 Out: Port:1434 Source:60.161.78.155 Length:404 TOS:0x00 Prot:UDP Service:Ms-sql-m

Ei oo näköjään vaaratonta liikkua netissä, edes Firefoxilla pelkästään: heti portti 80 auki.
T: Frank Zappa

Storck · « **Vastaus #1 :** 18.05.10 - klo:15.38 »

Tuleehan niitä melkein joka koneeseen... nykypäivää.

Jakke77 · « **Vastaus #2 :** 18.05.10 - klo:16.27 »

mitä muita systeemejä kuin firestarter on olemassa noiden tarkkailuun

Tha-Fox · « **Vastaus #3 :** 18.05.10 - klo:23.43 »

Lainaus käyttäjältä: Frank Zappa - 18.05.10 - klo:15.36

Ei oo näköjään vaaratonta liikkua netissä, edes Firefoxilla pelkästään: heti portti 80 auki.
T: Frank Zappa

Jäi tämä hieman vaivaamaan. Ei kai Firefox mitään portteja auo, ainakaan sisäänpäin? Yleensä 80-porttia miehittävät www-palvelinohjelmistot, kuten Apache. Ja Ubuntussahan on oletuksena portit auki joka suuntaan, siellä ei vain ole mitään kuuntelemassa niitä portteja.

crope · « **Vastaus #4 :** 19.05.10 - klo:02.10 »

Tuo logitus kyllä näyttää äkkiseltään P2P-ohjelman aikaansaannokselta, ei hakkerin tekosilta. Oisko sitä IP:tä käyttänyt edellinen käyttäjä hetkeä aikaisemmin...

sniveri · « **Vastaus #5 :** 20.05.10 - klo:08.40 »

Jaa.. Mitä tossa oon hommia seuraillut niin seuraavanlainen lista porteista joita käydään koputtelemassa tauotta kiinasta, intiasta, japanista, latviasta, turkista tai jostain iran, irak tjsp suunnilta:

Koodia: [Valitse]

TCP Port 22 SSH
TCP Port 23 Telnet protocol
TCP Port 80 HTTP
TCP Port 83 DNS Service
TCP Port 135 Microsoft Remote Procedure Call (RPC) service.
TCP Port 443 HTTPS
TCP Port 445 Microsoft-DS Active Directory, Windows shares
TCP Port 1080 Socks proxy server
TCP Port 1433 Microsoft SQL Server
TCP Port 1863 MSNP (Microsoft Notification Protocol), .NET Messenger Service
TCP Port 2113 hsl-storm
TCP Port 2967 Symantec Antivirus
TCP Port 3389 Terminal Server
TCP Port 4899 Windows Radmin tool
TCP Port 5656 IBM Sametime p2p file transfer
TCP Port 6891 BitTorrent, Windows Live Messenger, MSN Messenger
TCP Port 8443 PCSync 
TCP Port 16000 ???
TCP Port 18180 DART Reporting server
TCP Port 56964 ???

Ehdoton suosikki tuntuu olevan tuo portti 18180 jota taotaan aikavälillä 00:00-7:30 n. puolen minuutin välein mitä ihmeellisemmistä osotteista. Sen jälkeen tulee yhdistetyn kakkossijan jakavat portit 1433 ja 2967.

Timo Virtanen · « **Vastaus #6 :** 20.05.10 - klo:08.57 »

Sniveri, millä komennoilla saat tulostettua noin komean listauksen koputtelijoista? Kiinnostaisi itseäni listata kuka täällä päin yrittää tulla kuokkimaan

terveisin Timo

sniveri · « **Vastaus #7 :** 20.05.10 - klo:09.12 »

Lainaus käyttäjältä: Timo Virtanen - 20.05.10 - klo:08.57

Sniveri, millä komennoilla saat tulostettua noin komean listauksen koputtelijoista? Kiinnostaisi itseäni listata kuka täällä päin yrittää tulla kuokkimaan terveisin Timo

Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.

Timo Virtanen · « **Vastaus #8 :** 20.05.10 - klo:09.46 »

Lainaus

Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.

Siisti juttu! Ilo silmälle, terveisin Timo

sniveri · « **Vastaus #9 :** 20.05.10 - klo:12.50 »

Lainaus käyttäjältä: Timo Virtanen - 20.05.10 - klo:09.46

Lainaus
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo

Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista

[ylläpito on poistanut liitteen]

Frank Zappa · « **Vastaus #10 :** 04.06.10 - klo:22.38 »

Ja taas: Mitähän tämä tarkoittaa ? (niinku suomeks)

21:55:26 Port:28342 Source:220.239.235.179 Dest:84.231.0.121 Length:64 TOS:0x00 Protcl:TCP Service:Unknwn
21:55:39 Port: Source:94.245.115.178 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:41 Port: Source:94.245.115.176 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:43 Port: Source:94.245.115.175 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:45 Port:28342 Source:220.239.235.179 Dest:84.231.0.121 Length:48 TOS:0x00 Protcl:TCP Service:Unknwn
21:55:49 Port: Source:94.245.115.176 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:51 Port: Source:94.245.115.175 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:53 Port: Source:94.245.115.174 Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:54 Port:28342 Source:69.208.6.31 Dest:84.231.0.121 Length:60 TOS:0x00 Protcl:TCP Service:Unknwn
21:56:01 Port:28342

Poju ei osaa porttia määrittää? Vai? Entä pystyykö hakkeroimaan ?
T: Frank Zappa

Tomin · « **Vastaus #11 :** 04.06.10 - klo:23.34 »

Lainaus käyttäjältä: Taro Turtiainen - 04.06.10 - klo:23.25

http://www.virustorjunta.net/modules.php?name=News&file=article&sid=699

Höh... ~~Miksi tuolla on lista päivityksistä?~~
Muokkaus: Korjaan: Miksi tuolla on UNIX/Linux-kohdassa lista päivityksistä (pääasiassa) ja muissa haavoittuvuuksista?

Jakke77 · « **Vastaus #12 :** 05.06.10 - klo:09.48 »

Lainaus käyttäjältä: Taro Turtiainen - 04.06.10 - klo:23.25

http://www.virustorjunta.net/modules.php?name=News&file=article&sid=699

Julkaistu: Tiistai, tammikuu 15 2008 @ 09:00:00 EEST

Kullervo · « **Vastaus #13 :** 05.06.10 - klo:12.07 »

Lainaus käyttäjältä: Tomppeli - 04.06.10 - klo:23.34

Höh... ~~Miksi tuolla on lista päivityksistä?~~
Muokkaus: Korjaan: Miksi tuolla on UNIX/Linux-kohdassa lista päivityksistä (pääasiassa) ja muissa haavoittuvuuksista?

Eiköhän tuo ole selvää mikä tuollaisen windows-orientoituneen sivuston näkökulma haavoittuvuuksiin ja niiden korjaamisen aikatauluun on.

valtsu68 · « **Vastaus #14 :** 05.06.10 - klo:12.08 »

Lainaus käyttäjältä: sniveri - 20.05.10 - klo:12.50

Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista

Minulla keskimääräinen päivä TeleWellin lokista tuottaa 5-10 koputusta. Liitteessä 3 päivän saldo.

Joskus on todella hiljaisia päiviä, voi olla että lista on tyhjä; ...vai onko niin, että krakkeri on pyyhkinyt listan tyhjäksi sitten kun on tullut NAT:in sisälle.

OT:
Tuo listan hakeminen modeemin lokista ja varsinkin sen automatisointi on ollut projektien listalla jonkin aikaa. Salasanan kanssa tulee varmaan ongelmia?? Pitää varmaa anoa apuja tuolla edistyneessä käytössä...

Edit: OT jatkuu... tuli vaan tietoturvasta mieleen, että jokin yhtenäinen turvaratkaisu ei ole välttämättä hyvä, koska se on tavallaan julkinen. Itse tehdyn ratkaisun hakkerointi on yksittäistapaus ja siksi hankalampi. (Edellyttää tietysti, että asia hallitaan ja sehän on kokonaan toinen juttu...).

[ylläpito on poistanut liitteen]

sniveri · « **Vastaus #15 :** 05.06.10 - klo:12.45 »

Lainaus käyttäjältä: valtsu68 - 05.06.10 - klo:12.08

OT:
Tuo listan hakeminen modeemin lokista ja varsinkin sen automatisointi on ollut projektien listalla jonkin aikaa. Salasanan kanssa tulee varmaan ongelmia?? Pitää varmaa anoa apuja tuolla edistyneessä käytössä...

modeemeissa saattaa olla syslog/rsyslog-ominaisuus jossa määritetaan vain ip-johon syslogia pukataan.

eraggo · « **Vastaus #16 :** 06.06.10 - klo:11.46 »

Yksi tapa (jota käytän joskus) on tutkia pakettien kulkua koneellani nast:lla.

Joskus niitä yrityksiä on tullut ja ne ovat menneet hosts filuun

Juniku · « **Vastaus #17 :** 06.06.10 - klo:20.06 »

Lainaus käyttäjältä: sniveri - 20.05.10 - klo:12.50

Lainaus käyttäjältä: Timo Virtanen - 20.05.10 - klo:09.46
Lainaus
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo

Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista

Eiköhän fail2ban ole ihan riittävä ainakin tuohon SSH suojaukseen, asettaa rajaksi vaikka 4 niin kummasti loppuu turhat yritykset. Aikana ennen fail2ban softaa, debian servuni sai 2007 koputteluja 1500kpl päivässä! Nyt 2009 oli jossain vaiheessa kone ilman fail2ban:ia, ja koputtelut nousivat parhaillaan 3000kpl / päivä.

Vuze torrent liikenteineen aiheuttaaa kanssa kauhean määrän roskaa 80 porttiin, jotka näkyvät logwatch lokitiedostoissa, logwatch lähettää rootin sähköpostiin joka aamu raportin päivän tapahtumista.

valtsu68 · « **Vastaus #18 :** 09.06.10 - klo:20.12 »

Johtuukohan tästä ketjusta?

Tämän päivän saldo:

Jun 9 13:51:05 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 14:21:50 Hack Attack: DROP ICMP packet from [nas0] 95.168.183.126 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 14:21:53 Hack Attack: DROP ICMP packet from [nas0] 95.168.183.126 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 15:18:13 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 16:29:23 Block Wan: DROP ICMP packet from [nas0] 200.102.69.189 to xx.xx.xx.xx
Jun 9 16:29:25 Block Wan: DROP ICMP packet from [nas0] 200.102.69.189 to xx.xx.xx.xx
Jun 9 17:00:48 Block Wan: DROP ICMP packet from [nas0] 218.150.116.141 to xx.xx.xx.xx
Jun 9 17:00:50 Block Wan: DROP ICMP packet from [nas0] 218.150.116.141 to xx.xx.xx.xx
Jun 9 17:06:58 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 18:36:05 Hack Attack: DROP ICMP packet from [nas0] 208.43.224.60 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 18:57:59 Block Wan: DROP ICMP packet from [nas0] 66.215.22.230 to xx.xx.xx.xx
Jun 9 18:58:01 Block Wan: DROP ICMP packet from [nas0] 66.215.22.230 to xx.xx.xx.xx
Jun 9 19:36:58 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 19:42:53 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 19:50:15 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun 9 19:55:40 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>

valtsu68 · « **Vastaus #19 :** 09.06.10 - klo:22.13 »

http://www.f-secure.com/fi_FI/security/worldmap/

Näyttää pohjoismaat olevan ristitulessa...

Ubuntu Suomen keskustelualueet

Uutiset:

Kirjoittaja Aihe: Hakkeri yritti ovelasti, vai mitä sanotte tästä ? (Luettu 42454 kertaa)

Storck