[Gnome]

вот такое вот что означает? и что делать я вообще никогда антивирусами не пользовался раньше за ненадобностью, но в свете последних событий купил касперского этого.



ps: не сочтите за наглую рекламу, но тут у меня 1 лишний лицензионный ключ до конца года есть, могу продать со скидкой, если кому надо, не хочется тему отдельную создавать по этому поводу просто

[Профи]

Если есть файрволл, который заблокировал эти пакеты, то ничего не означает. В интернете присутствует колоссальное кол-во компьютеров, зараженных вирусами, которые постоянно предпринимают попытку куда-то перебраться или установить связь со своими родственниками. IP-адрес для попытки связи они выбирают по каким-то своим соображениям — то ли случайно, то ли перебирают постепенно увеличивая.

[Gnome]

Цитата:

Сообщение от Профи писал чт, 17 января 2008 14:28

Если есть файрволл, который заблокировал эти пакеты, то ничего не означает. В интернете присутствует колоссальное кол-во компьютеров, зараженных вирусами, которые постоянно предпринимают попытку куда-то перебраться или установить связь со своими родственниками. IP-адрес для попытки связи они выбирают по каким-то своим соображениям — то ли случайно, то ли перебирают постепенно увеличивая.

просто именно на фоне последних историй про кражи вебманей итд настораживает, у меня у друга, который был в списке клиентов у тех, про кого пишут в этой теме
http://forum.cgm.ru/msg?th=21315&start=640
ip адреса, с которых эти пакеты посылались у меня те же самые, что и у него

[Профи]

Не знаю, Gnome. Мой файрволл блокирует 5-10 "атак" в минуту. Я так думаю, что большая часть из них — не адресная, а наугад (не конкретно в меня). Сейчас сделаю поиск этих IP-шников в логах отброшенных пакетов, но честно говоря не ожидаю их там найти — в интернет не 5 компьютеров, а 500 миллионов и точно миллион из них — с вирусами.

P.S. Хотя, если ты прав, то писать это нужно было не здесь, а в личку bull. Но сейчас уже поздновато удалять — просто напиши ему, чтобы сюда заглянул.

[SunnyRay]

Helkern - это старинная атака на уязвимость в MS SQL Server. KIS её выдаёт, кажется, абсолютно у всех. Атака не адресная, просто сидят на разных машинах эти черви и атакуют всех подряд. Если MS SQL Server у тебя не стоит, то атака абсолютно безопасная. Да еще и заблокированная KISом.
Отключи нотификации об атаках этого Helkern'a, если надоедают, и живи спокойно.

[eRaiserAK]

у меня тоже такое стало появлятся
postgresql от этой заразы ниче не будет? я до установки psql не замечал таких атак

[Профи]

Если вы хотите сделать этот текст понятнее: пишите здесь или в личку вопросы по непонятным для вас местам — я отвечу и переработаю/добавлю текст.

Каждый IP-пакет, приходящий на ваш компьютер из интернет, имеет параметр-порт, на который он адресован. Порты для входящих пакетов это как отдельные радиоволны, если провести аналогию с радио. Номера портов идут от 1 до 65535. На вход из интернет порты открываются в нормальном случае только на серверах: компьютерах, которые предлагают что-то скачать пользователям в интернет. Каждый порт слушает не больше 1 программы, запущенной на вашем компьютере. Большинство портов свободны и на них нет слушающей программы.

Номер порта, на котором программа-сервер ждет входящих соединений, обычно устанавливаете ей вы сами при ее установке и настройке. Если на компьютере находится вирус, то им скорее всего будет открыт какой-то постоянный для него порт, выбранный его создателем. Вирусы открывают порты, чтобы отвечать на запросы "я уже здесь", а также принимать команды от своих хозяев.

Цитата:

Сообщение от Цитата:

у меня тоже такое стало появлятся
postgresql от этой заразы ниче не будет? я до установки psql не замечал таких атак

Если для MSSQL в порт X ("на волне X") передают атаку, то примет ли ее PGSQL, который ждет передачу на волне Y? Ответ — нет. Если на вашем компьютере никто не слушает порт X, то эту информацию примет только ваш файрволл. После приема он сообщил вам, что не ответил отправителю — на этом все заканчивается. Поэтому, такие предупреждения можно просто выключить. А вот обращения к портам, которые у вас открыты (т.е. там ждет посылок какая-то программа, это бывает либо по незнанию, либо зачем-то) — это уже серьезно, т.к. может что-нибудь забраться. Я не вижу для обычного пользователя причин открывать со стороны интернет НИКАКИЕ порты. "Открыть" значит разрешить файрволлу пропускать посылки для программы на вашем компьютере, которая ждет их по этому порту. Никаких предупреждений файрволл после этого выдавать уже не будет.

Так-вот, про PostgreSQL: если вы открыли для доступа из интернет порт, который слушает ваш PGSQL, то он примет пакеты. Так-что все зависит от того, как вы настроили ваш PGSQL. При желании его можно настроить, чтобы он принимал входящие соединения из интернет.

Чтобы однозначно ответить на вопрос, что из атак вам угрожает, надо узнать, какие порты сейчас открыты программами вашего компьютера для приема IP-пакетов. Вполне возможно, что поверх слушаемых программами портов вами "надвинут" файрволл, и он все же закрывает эти порты, но это не обязательно будет так — стоит убедиться.

Скачайте программу TCPView:
[Зарегистрироваться?] View.mspx
и подумайте над списком, который она показывает.
Затем проверьте свой компьютер на открытые порты здесь:
[Зарегистрироваться?]
при этом ваш файрволл может выдавать сообщения о сканировании портов или атаках, но это только их имитация неопасными посылками на разные порты. Там же есть проверка на присутствие на вашем компьютере наиболее распространенных троянов, их наличие тестируется по ответу с соответствующего порта вашего компьютера.

Если что-то вызовет вопросы, то спрашивайте. Т.к. информация об открытых у вас портах может помочь тем, кто захочет взломать ваш компьютер, то сначала поищите информацию сами через поисковые системы, а потом спрашивайте здесь.

Номера портов до 1024 обычно открываются сервисами Windows и уязвимы к атакам, поэтому не должны быть открыты на вход из интернет. При этом 99% служб Windows, которые открывают эти порты, можно выключить для повышения безопасности и ускорения работы компьютера.

Трояны-кейлоггеры скорее всего не будут ждать входящих соединений и вы не увидите их в списке открытых портов, если они отправляют информацию по мере накопления и не ждут внешних команд.

P.S. Это текст частично из будущей статьи, поэтому он немного вырван из контекста. В этой ветке он вполне в тему и отвечает на вопрос eRaiserAK. Если эта информация вам ничем не помогла, то создавайте темы и задавайте конкретные вопросы — форум для этого и существует.