Kirjoittaja Aihe: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?  (Luettu 45632 kertaa)

Frank Zappa

  • Käyttäjä
  • Viestejä: 282
    • Profiili
Firestarter muodosti seuraavan listan, heti välittömästi kun random-IPllä menin verkkoon. Hacker oli näköjään oksalla kytiksellä niinkuin korppikotka ! Liekkö kiinalainen tai usalainen, kun noita porttitiedusteluja tulee
jokapäivä useita !


Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:90.200.148.100 Length:99 TOS:0x00 rot:UDP Service:Unknown
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203   Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:05 Unknown In:ppp0 Out: Port:41840 Source:84.203.64.50   Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:06 Unknown In:ppp0 Out: Port:41840 Source:70.121.19.132  Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:201.42.151.202 Length:70 TOS:0x00 rot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:74.56.219.172  Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:83.24.23.47    Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203   Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:07 Unknown In:ppp0 Out: Port:41840 Source:89.231.69.228  Length:99 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:84.251.223.235 Length:93 OS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:78.131.56.112  Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:66.31.142.19   Length:70 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:08 Unknown In:ppp0 Out: Port:41840 Source:24.199.69.125  Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:10 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203   Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:10 Unknown In:ppp0 Out: Port:41840 Source:95.21.61.94    Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:11 Unknown In:ppp0 Out: Port:41840Source:217.126.219.124Length:93TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:12 Unknown In:ppp0 Out: Port:41840 Source:71.48.36.74    Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:12 Unknown In:ppp0 Out: Port:41840 Source:196.205.193.6  Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:13 Unknown In:ppp0 Out: Port:41840 Source:70.104.100.73  Length:70 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:13 Unknown In:ppp0 Out: Port:41840 Source:85.211.67.229  Length:93 TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:14 Unknown In:ppp0 Out: Port:41840 Source:87.60.177.83   Length:99 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:14 Unknown In:ppp0 Out: Port:41840 Source:82.113.106.146 Length:99TOS:0x00Prot:UDP Service:Unknown
Time:May18 14:48:15 Unknown In:ppp0 Out: Port:41840 Source:174.3.242.31   Length:93 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:48:16 Unknown In:ppp0 Out: Port:41840 Source:64.9.158.203   Length:58 TOS:0x00 Prot:UDP Service:Unknown
Time:May18 14:50:16 Unknown In:ppp0 Out: Port:1434  Source:60.161.78.155  Length:404 TOS:0x00 Prot:UDP Service:Ms-sql-m

Ei oo näköjään vaaratonta liikkua netissä, edes Firefoxilla pelkästään: heti portti 80 auki.
T: Frank Zappa  8)


Storck

  • Vieras
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #1 : 18.05.10 - klo:15.38 »
Tuleehan niitä melkein joka koneeseen...   nykypäivää.

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #2 : 18.05.10 - klo:16.27 »
mitä muita systeemejä kuin firestarter on olemassa noiden tarkkailuun
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #3 : 18.05.10 - klo:23.43 »

Ei oo näköjään vaaratonta liikkua netissä, edes Firefoxilla pelkästään: heti portti 80 auki.
T: Frank Zappa  8)


Jäi tämä hieman vaivaamaan. Ei kai Firefox mitään portteja auo, ainakaan sisäänpäin? Yleensä 80-porttia miehittävät www-palvelinohjelmistot, kuten Apache. Ja Ubuntussahan on oletuksena portit auki joka suuntaan, siellä ei vain ole mitään kuuntelemassa niitä portteja.

crope

  • Käyttäjä
  • Viestejä: 817
  • Fedora 12
    • Profiili
    • http://palosaari.fi/
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #4 : 19.05.10 - klo:02.10 »
Tuo logitus kyllä näyttää äkkiseltään P2P-ohjelman aikaansaannokselta, ei hakkerin tekosilta. Oisko sitä IP:tä käyttänyt edellinen käyttäjä hetkeä aikaisemmin...

sniveri

  • Käyttäjä
  • Viestejä: 322
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #5 : 20.05.10 - klo:08.40 »
Jaa.. Mitä tossa oon hommia seuraillut niin seuraavanlainen lista porteista joita käydään koputtelemassa tauotta kiinasta, intiasta, japanista, latviasta, turkista tai  jostain iran, irak tjsp suunnilta:

Koodia: [Valitse]
TCP Port 22 SSH
TCP Port 23 Telnet protocol
TCP Port 80 HTTP
TCP Port 83 DNS Service
TCP Port 135 Microsoft Remote Procedure Call (RPC) service.
TCP Port 443 HTTPS
TCP Port 445 Microsoft-DS Active Directory, Windows shares
TCP Port 1080 Socks proxy server
TCP Port 1433 Microsoft SQL Server
TCP Port 1863 MSNP (Microsoft Notification Protocol), .NET Messenger Service
TCP Port 2113 hsl-storm
TCP Port 2967 Symantec Antivirus
TCP Port 3389 Terminal Server
TCP Port 4899 Windows Radmin tool
TCP Port 5656 IBM Sametime p2p file transfer
TCP Port 6891 BitTorrent, Windows Live Messenger, MSN Messenger
TCP Port 8443 PCSync
TCP Port 16000 ???
TCP Port 18180 DART Reporting server
TCP Port 56964 ???

Ehdoton suosikki tuntuu olevan tuo portti 18180 jota taotaan aikavälillä 00:00-7:30 n. puolen minuutin välein mitä ihmeellisemmistä osotteista. Sen jälkeen tulee yhdistetyn kakkossijan jakavat portit 1433 ja 2967.
Ubuntu 10.04 64-bit Desktop
Ubuntu 10.04 32-bit Desktop x 2
Ubuntu 10.04 32-bit Server

sniveri@diasp.eu

Timo Virtanen

  • Käyttäjä
  • Viestejä: 2083
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #6 : 20.05.10 - klo:08.57 »
Sniveri, millä komennoilla saat tulostettua noin komean listauksen koputtelijoista? Kiinnostaisi itseäni listata kuka täällä päin yrittää tulla kuokkimaan  :D terveisin Timo
"Linux, made in Finland"

sniveri

  • Käyttäjä
  • Viestejä: 322
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #7 : 20.05.10 - klo:09.12 »
Sniveri, millä komennoilla saat tulostettua noin komean listauksen koputtelijoista? Kiinnostaisi itseäni listata kuka täällä päin yrittää tulla kuokkimaan  :D terveisin Timo

Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Ubuntu 10.04 64-bit Desktop
Ubuntu 10.04 32-bit Desktop x 2
Ubuntu 10.04 32-bit Server

sniveri@diasp.eu

Timo Virtanen

  • Käyttäjä
  • Viestejä: 2083
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #8 : 20.05.10 - klo:09.46 »
Lainaus
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo
"Linux, made in Finland"

sniveri

  • Käyttäjä
  • Viestejä: 322
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #9 : 20.05.10 - klo:12.50 »
Lainaus
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo

Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista :D



[ylläpito on poistanut liitteen]
Ubuntu 10.04 64-bit Desktop
Ubuntu 10.04 32-bit Desktop x 2
Ubuntu 10.04 32-bit Server

sniveri@diasp.eu

Frank Zappa

  • Käyttäjä
  • Viestejä: 282
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #10 : 04.06.10 - klo:22.38 »
Ja taas:  Mitähän tämä tarkoittaa ?  (niinku suomeks)


21:55:26 Port:28342 Source:220.239.235.179 Dest:84.231.0.121 Length:64 TOS:0x00 Protcl:TCP  Service:Unknwn
21:55:39 Port:      Source:94.245.115.178  Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:41 Port:      Source:94.245.115.176  Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:43 Port:      Source:94.245.115.175  Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:45 Port:28342 Source:220.239.235.179 Dest:84.231.0.121 Length:48 TOS:0x00 Protcl:TCP  Service:Unknwn
21:55:49 Port:      Source:94.245.115.176  Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:51 Port:      Source:94.245.115.175  Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:53 Port:      Source:94.245.115.174  Dest:84.231.0.121 Length:72 TOS:0x00 Protcl:IPV6 Service:Unknwn
21:55:54 Port:28342 Source:69.208.6.31     Dest:84.231.0.121 Length:60 TOS:0x00 Protcl:TCP  Service:Unknwn
21:56:01 Port:28342

Poju ei osaa porttia määrittää? Vai? Entä pystyykö hakkeroimaan ?
T: Frank Zappa  8)

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #11 : 04.06.10 - klo:23.34 »
http://www.virustorjunta.net/modules.php?name=News&file=article&sid=699
Höh... Miksi tuolla on lista päivityksistä?
Muokkaus: Korjaan: Miksi tuolla on UNIX/Linux-kohdassa lista päivityksistä (pääasiassa) ja muissa haavoittuvuuksista? :D
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

Kullervo

  • Käyttäjä
  • Viestejä: 876
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #13 : 05.06.10 - klo:12.07 »
Höh... Miksi tuolla on lista päivityksistä?
Muokkaus: Korjaan: Miksi tuolla on UNIX/Linux-kohdassa lista päivityksistä (pääasiassa) ja muissa haavoittuvuuksista? :D

Eiköhän tuo ole selvää mikä tuollaisen windows-orientoituneen sivuston näkökulma haavoittuvuuksiin ja niiden korjaamisen aikatauluun on.  8)

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #14 : 05.06.10 - klo:12.08 »
Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista :D

Minulla keskimääräinen päivä TeleWellin lokista tuottaa 5-10 koputusta. Liitteessä 3 päivän saldo.

Joskus on todella hiljaisia päiviä, voi olla että lista on tyhjä; ...vai onko niin, että krakkeri on pyyhkinyt listan tyhjäksi sitten kun on tullut NAT:in sisälle.

OT:
Tuo listan hakeminen modeemin lokista ja varsinkin sen automatisointi on ollut projektien listalla jonkin aikaa. Salasanan kanssa tulee varmaan ongelmia?? Pitää varmaa anoa apuja tuolla edistyneessä käytössä...

Edit: OT jatkuu... tuli vaan tietoturvasta mieleen, että jokin yhtenäinen turvaratkaisu ei ole välttämättä hyvä, koska se on tavallaan julkinen. Itse tehdyn ratkaisun hakkerointi on yksittäistapaus ja siksi hankalampi. (Edellyttää tietysti, että asia hallitaan ja sehän on kokonaan toinen juttu...).

[ylläpito on poistanut liitteen]
« Viimeksi muokattu: 05.06.10 - klo:12.21 kirjoittanut valtsu68 »

sniveri

  • Käyttäjä
  • Viestejä: 322
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #15 : 05.06.10 - klo:12.45 »

OT:
Tuo listan hakeminen modeemin lokista ja varsinkin sen automatisointi on ollut projektien listalla jonkin aikaa. Salasanan kanssa tulee varmaan ongelmia?? Pitää varmaa anoa apuja tuolla edistyneessä käytössä...


modeemeissa saattaa olla syslog/rsyslog-ominaisuus jossa määritetaan vain ip-johon syslogia pukataan.

Ubuntu 10.04 64-bit Desktop
Ubuntu 10.04 32-bit Desktop x 2
Ubuntu 10.04 32-bit Server

sniveri@diasp.eu

eraggo

  • Käyttäjä
  • Viestejä: 63
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #16 : 06.06.10 - klo:11.46 »
Yksi tapa (jota käytän joskus) on tutkia pakettien kulkua koneellani nast:lla.

Joskus niitä yrityksiä on tullut ja ne ovat menneet hosts filuun ;)

Juniku

  • Käyttäjä
  • Viestejä: 16
  • Näprääjä.
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #17 : 06.06.10 - klo:20.06 »
Lainaus
Siis tommonen modeemi/reititin systeemi jonka palomuurista otan logia jota sitten voi omilla näpertely ohjelmilla sortata kivasti vaikka openofficen spreadsheetille niin että tunnettujen palvelujen nimetkin tulee mukaan portin numeron perusteella.
Siisti juttu! Ilo silmälle, terveisin Timo

Täytyis muutenki viritellä vähän siistimpiä juttuja kun meinas jo pyrkiä kiinalainen SSH:n kautta kylään kun testailin noita avaimia. Ohessa liite auth.logista :D



Eiköhän fail2ban ole ihan riittävä ainakin tuohon SSH suojaukseen, asettaa rajaksi vaikka  4 niin kummasti loppuu turhat yritykset. Aikana ennen fail2ban softaa, debian servuni sai 2007 koputteluja 1500kpl päivässä! Nyt 2009 oli jossain vaiheessa kone ilman fail2ban:ia, ja koputtelut nousivat parhaillaan 3000kpl / päivä.

Vuze torrent liikenteineen aiheuttaaa  kanssa kauhean määrän roskaa 80 porttiin, jotka näkyvät logwatch lokitiedostoissa, logwatch lähettää rootin sähköpostiin joka aamu raportin päivän tapahtumista.
Debian.

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #18 : 09.06.10 - klo:20.12 »
Johtuukohan tästä ketjusta?  ;D

Tämän päivän saldo:

Jun  9 13:51:05 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 14:21:50 Hack Attack: DROP ICMP packet from [nas0] 95.168.183.126 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 14:21:53 Hack Attack: DROP ICMP packet from [nas0] 95.168.183.126 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 15:18:13 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 16:29:23 Block Wan: DROP ICMP packet from [nas0] 200.102.69.189 to xx.xx.xx.xx
Jun  9 16:29:25 Block Wan: DROP ICMP packet from [nas0] 200.102.69.189 to xx.xx.xx.xx
Jun  9 17:00:48 Block Wan: DROP ICMP packet from [nas0] 218.150.116.141 to xx.xx.xx.xx
Jun  9 17:00:50 Block Wan: DROP ICMP packet from [nas0] 218.150.116.141 to xx.xx.xx.xx
Jun  9 17:06:58 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 18:36:05 Hack Attack: DROP ICMP packet from [nas0] 208.43.224.60 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 18:57:59 Block Wan: DROP ICMP packet from [nas0] 66.215.22.230 to xx.xx.xx.xx
Jun  9 18:58:01 Block Wan: DROP ICMP packet from [nas0] 66.215.22.230 to xx.xx.xx.xx
Jun  9 19:36:58 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 19:42:53 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 19:50:15 Hack Attack: DROP ICMP packet from [nas0] 208.109.126.80 to xx.xx.xx.xx <SPI:Illegal connection state attack>
Jun  9 19:55:40 Hack Attack: DROP ICMP packet from [nas0] 208.43.174.26 to xx.xx.xx.xx <SPI:Illegal connection state attack>

valtsu68

  • Käyttäjä
  • Viestejä: 454
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: Hakkeri yritti ovelasti, vai mitä sanotte tästä ?
« Vastaus #19 : 09.06.10 - klo:22.13 »
http://www.f-secure.com/fi_FI/security/worldmap/

Näyttää pohjoismaat olevan ristitulessa...