[Gump]

Последнее время резко участилось сканирование портов моего компьютера во время игры, по 3-4 раза за вечер игры. Сканирование идет с 2х IPшников 221.203... 221.208... Порты в основном сканируются одни и те же: 2, 1030-1033, 4081 (если это имеет какое-то значение). Что и кто это может быть - Патя (вообще Патя у меня стоит в доверенных в фаерволе, и не факт что фаер стал бы меня уведомлять об их действиях)или кто-то усиленно хочет увдеть мои карты и возможно ли это сделать таким образом?

[Healbot]

Обычное сканирование портов, осуществляется как правило детьми дорвавшимися до порт-сканеров, ничего особенного. Отключи в файрволе оповещение при атаках и живи спокойно, не забывая обновлять софт.

Если же ты подозреваешь, что ломают именно тебя, для какой-то конкретной цели (посмотреть твои карты, украсть пасы ко всем твоим покерным акам и т.д.) с одних и тех же адресов, то можешь пожаловаться своему прову, что тебя постоянно сканируют с одних и тех же ip, предоставив им логи твоего файрвола. Само сканирование не является преступлением и не попадает ни под какую статью, но почти у каждого провайдера в договоре есть правило, о запрете сканирования портов, так что в конечном итоге могут и разобраться с нарушителем(связавшись с его провайдером).

Карты твои конечно можно смотреть онлайн, если у тебя на каком либо порте висит троян, способный считывать инфу с десктопа, но с файрволом тебе волноваться не стоит (если у тебя он конечно не криво настроен)

Если интересно, можешь почтитаь эту статью -
"Сканирование портов: За и Против", старая, но вроде ещё актуальная
[Зарегистрироваться?]

Вот цитата из статьи - "Риск попасть под сканирование портов - в настоящее время равен 100%. Порты в Интернете сканируются постоянно. Любой пользователь файрвола знает, что если включить вывод уведомлений о каждом случае обращения извне - работать на компьютере станет просто невозможно."

[eddyku]

1. Отправь это описание в службу техподдержки фаервола. Пусть дадут рекомнедации.
2. Сразу после обнаружения факта сканирования уходи из сети минут на 20. Злоумышленник просечет, что ты вычисляешь его и либо оболомится охотиться за тобой, либо испугается, что он из охотника может стать жертвой.
3. Через службу WhoIs узнай, какой провайдер выдает эти IP. Свяжись с провайдером, опиши ситуевину и попроси посодействовать в выявлении злоумышленников. Вполне возможно, что эти IP окажутся с прокси сервера, но и в этом случае есть возможность вычислить первичные IP.
4. Вполне возможно (исходя из ранее описанных тобой ситуаций) на твоем компе кто-то шарится уже давно. В этом случае, наиболее вероятно, что эти сканы делает не человек в реале, а робот, написанный им и поставленный на комп совершенно постороннего чела. При этом чел даже не в курсе, что его комп работает хакером. В этом случае выявить такой комп будет очень просто. Ты обращаешся к провайдеру, провайдер радует этого постороннего чела, помогает ему очистить комп от нечисти и все довольны кроме злоумышленника.
Когда я только начинал юзать сеть и был абослютным нулем в вопросах безопасности, то мне подгрузили робота на 1,5 Гига.

[Healbot]

eddyku, не наводи на человека панику, от сканирования ничего страшного не случается

[eddyku]

Цитата:

Сообщение от Healbot писал сб, 22 апреля 2006 11:20

eddyku, не наводи на человека панику, от сканирования ничего страшного не случается

Я панику не навожу. Gump знает о чем и почему я говорю. Данная его тема является продолжением предыдущей и очень велика вероятность того, что скан его портов - это не веселье мальчиков - начинающих хакеров. По всем признакам он был объектом атак. Он и сам уже это вычислил.

Теперь он закрыл свой комп фаером. При желании вычислит доброжелателя (воплне возможно, что им окажется его очень хороший знакомый). Поменяет акки в румах и будет чувствовать себя уютно и комфортно как в памперсах (в хорошем смысле этого слова). Самое страшное у Gump'a уже позади, когда он был в полном неведении, что происходит на его компе.

[Healbot]

Цитата:

Сообщение от eddyku писал сб, 22 апреля 2006 11:34

Цитата:

Я панику не навожу. Gump знает о чем и почему я говорю. Данная его тема является продолжением предыдущей и очень велика вероятность того, что скан его портов - это не веселье мальчиков - начинающих хакеров. По всем признакам он был объектом атак. Он и сам уже это вычислил.

Теперь он закрыл свой комп фаером. При желании вычислит доброжелателя (воплне возможно, что им окажется его очень хороший знакомый). Поменяет акки в румах и будет чувствовать себя уютно и комфортно как в памперсах (в хорошем смысле этого слова). Самое страшное у Gump'a уже позади, когда он был в полном неведении, что происходит на его компе.

Понятно, не был в курсе про прошлую тему.
Ну если есть подозрения и желание разобраться, то надо связываться с провайдером и просить/требовать найти хацкера, можно даже сказать что после сканирования что-нибудь сломалось, были удалены важные документы, украдены пароли и т.д. и единственная зацепка - логи файрвола о сканировании . Прову будет всяко легче найти общий язык с провом сканившего для получения информации, а если сам станешь запросы писать, то могут просто послать/заигнорить.

Хотя если ничего плохого на самом деле не случилось (ничего не украдено, все работает, троянов на компе не обнаружено), то смысла суетиться по этому поводу не вижу.

[Gump]

Спасибо обоим за мнения. Попытаюсь что-нибудь выяснить. И еще хотелось бы поподробнее узнать, что сделать чтоб "фаервол не был криво настроен".

Цитата:

Сообщение от eddyku писал сб, 22 апреля 2006 11:34

Я панику не навожу. Gump знает о чем и почему я говорю.

Как бы я был благодарен человеку, который бы навел на меня панику до ноября 2005, когда после нормальной ровной игры в течении месяца на 30/60-50/100, потом дней за 5 я оставил на Евробете что-то типа Camry-Avensis'а . Может это действительно был нереальный стрик, но если была бы нормальная защита на тот момент, сейчас бы я не мучал себя этими сомнениями.

[eddyku]

Цитата:

Сообщение от Gump писал сб, 22 апреля 2006 12:27

И еще хотелось бы поподробнее узнать, что сделать чтоб "фаервол не был криво настроен".

ИМХО. Для начала, прочитать доки по фаеру. Потом выставить все настройки на максимальную защиту (где требуется максимум подтверждающих действий от человека). Со временем поймешь какие функции можно перебросить на автомат.

[Healbot]

Ну под "криво настроить" я имел в виду разрешать любым программам любые действия, а так даже на дефолтных параметрах файровол (кстати каким пользуешься?) должен работать нормально, блокировать\спрашивать о попытках соединения.

Для более продвинутой настройки существует куча статей, любая поисковая система выдаст тебе тысячи линков

[mikx]

Насколько я понимаю если ломают именно тебя и фаервол стоит на томже компе где запущен троян то трояну фаервол не помешает, Но это если тобой занялись серьезно. А сканирование портов это не страшно.

[Healbot]

Цитата:

Сообщение от mikx писал сб, 22 апреля 2006 13:06

Насколько я понимаю если ломают именно тебя и фаервол стоит на томже компе где запущен троян то трояну фаервол не помешает.

Как это не помешает? Файрвол должен сразу сообщить, что такой-то файл на твоем компе запрашивает соединение с тем-то, если троян сам попытается что-то отправить. Так же файрвол не даст присоединиться к порту на котором троян висит и тоже должен о такой попытке сообщить. В том-то и смысл файрвола, что он контролирует не только входящие, но и исходящие соединения.

[Gump]

Цитата:

Сообщение от Healbot писал сб, 22 апреля 2006 12:55

(кстати каким пользуешься?) должен работать нормально, блокировать\спрашивать о попытках соединения.

Outpost Firewall Pro 3.0.557... последним, лицензионным (как учил Профи )

[mikx]

"
Как это не помешает? Файрвол должен сразу сообщить, что такой-то файл на твоем компе запрашивает соединение с тем-то, если троян сам попытается что-то отправить. Так же файрвол не даст присоединиться к порту на котором троян висит и тоже должен о такой попытке сообщить. В том-то и смысл файрвола, что он контролирует не только входящие, но и исходящие соединения.
"

Все дело в том, что трояну не кто не мешает подпатчить сам фаервол,
для хакера в инете в открытом виде лежат исходники как обойти тот или иной фаервол. ВОТ ТАК.
Мое мнение, что реально защититься можно если поставить файервол на отдельный комп(на линуксе) который будет шлюзом в инет, забить там разрешенные IP типа пати, букерсы, епассы, и жить спокойно. А эти Виндовские фаерволы
это все очень условно как их не настраивай.

[Gump]

Цитата:

Сообщение от mikx писал сб, 22 апреля 2006 13:29

"


Все дело в том, что трояну не кто не мешает подпатчить сам фаервол,
для хакера в инете в открытом виде лежат исходники как обойти тот или иной фаервол. ВОТ ТАК.

Т.е Healbot меня для этого спросил, каким я пользуюсь?

[Healbot]

Цитата:

Сообщение от mikx писал сб, 22 апреля 2006 13:29

Все дело в том, что трояну не кто не мешает подпатчить сам фаервол

Как это никто не мешает? А антивирус у меня тогда зачем стоит? Или мы говорим о клиничиских случаях выхода в сеть на 95-й винде с демо-версией старого файрвола скаченной с какого-нибудь левого сайта? Ну тогда ОК

Да, есть продвинутые трояны и вирусы которые способны отключать защиту, но на то и нужен постоянный апдейт програмного обеспечения, чтобы такого не подцепить.

А вообще взламываются даже сервера пентагона, так что естественно, что 100% защиты никто вам дать не сможет. Но все равно надо постараться максимально защитить свой компьютер, тем более если вы его используете для заработка денег.

Gump, Outpost и наш выбор

[Mirel]

Цитата:

Сообщение от mikx писал сб, 22 апреля 2006 13:29

"
Мое мнение, что реально защититься можно если поставить файервол на отдельный комп(на линуксе) который будет шлюзом в инет, забить там разрешенные IP типа пати, букерсы, епассы, и жить спокойно.

Факт. Отключаются все сервисы и настраиваются iptables, особо мощная машина не нужна, проц от сотни мегагерц да памяти мегабайт от 8ми. Если не хочется заморачиваться - за полтинник-сотню и полтора часа времени это сможет сделать любой, понимающий линукс человек.

[Профи]

Есть 2 способа установки соединения с участием твоего компа:
а) когда соединение по своей/твоей инициативе устанавливает программа, запущенная на твом компьютере (соединяется с чужим компьютером, расположенным в Интернет), например, ты отправляешь-получаешь почту, смотришь интернет-страницу, играешь в покер и т.п.
б) когда чужой компьютер устанавливает соединение с программой запущенной на твоем компьютере (т.е. программой запущенной в режиме "сервера").

Пункт "б" используется только теми, кто предоставляет в интернет какие-то сервисы - держит свой веб-сайт, дает интернет-пользователям доступ к своим дискам и т.п. В случае "б" обязательно есть запущенная программа, которая "слушает" какой-то конкретный порт, т.е. ждет пока к ней обратятся для установки соединения. Часть портов слушает операционная система Windows.

Файрволл можно настроить заниматься и фильтрацией попыток исходящих соединений (по пункту "а"), и попыток программ встать в режим "б" (ждать входящие вызовы).

Еще файрволл может оповещать, что кто-то извне пытается соединиться с портом на твоем компьютере. Однако, если на этом порте никто не ждет внешнего соединения (нет "слушающей" локальной программы), то это безопасно и такие уведомления можно смело игнорировать, а лучше просто отключить: в интернете и локальных сетях идет огромное количество трафика, обращаться к портам твоего компьютера могут ежеминутно, как в законных целях, например, DNS-серверы твоего провайдера, так и хакеры/вирусы в попытке найти на твоем компьютере троян или возможность как-то воздействовать на твой комп, но пока на твоем компьютере нет слушающей этот порт программы, то это не создаст проблему, только занимает немного входящего трафика.

Гораздо хуже, если этот порт кто-то слушает. Это могут быть либо системные программы, либо имеющийся на твоем компьютере вирус/троян, ждущий на каком-то порте подключения своего хозяина.
Чтобы сократить число слушающих порты интернет-соединения системных программ на нем должен быть запущен минимум сервисов и должен быть отключен "Клиент сетей Microsoft". Поверх этого нужно наложить firewall, чтобы он закрыл порты, которые даже система с минимумом сервисов держит открытыми.

Если же на компьютере есть вирус/троян, то сначала возникает естественный вопрос как он туда попал. В-основном вирусы/трояны или закачиваются через незакрытые порты, которые "слушала" незащищенная система, или они скачиваются самим пользователем - проникают в режиме автозапуска с интернет-страниц, приходят с письмами, со скачиваемыми из интернет программами и т.д.

Такой троян/вирус может действовать на компьютере двумя путями: активно - сам устанавливать соединение и что-то отправлять; или пассивно - открыть порт и ждать, пока к нему придет вызов.

В первом варианте его не так просто детектировать: он может притворяться другой программой. Вирус/троян может цепляться к процессу, который не вызовет у тебя подозрений, например, к самому Internet Explorer и выходить в интернет в тот момент, когда ты сам смотришь какие-то страницы.

Поэтому проблему безопасности нужно решать по всем фронтам:

1. Поставить firewall в режиме оповещения о том, что какая-то программа хочет в интернет - часть проникших троянов может быть все же удастся поймать этим способом + включить режим закрытия всех портов на вход. Однако оповещать о том, что кто-то извне предпринял попытку соединения - напрасный труд, это стоит выключить. Мой лог-файл сброшенных (не пропущенных) файрволлом IP-пакетов растет на сотни строк за сутки и видеть все эти обращения еще и в виде оповещений - крыша съедет.
2. Убрать все лишние сервисы с интернет-соединений.
3. Поставить последние обновления Windows и Internet Explorer и включить AutoUpdate.
4. Время от времени посматривать в автозагрузку компьютера + смотреть какие программы сейчас слушают интернет-порты. Для этого есть программы на сайте SysInternals.com
[Зарегистрироваться?]
[Зарегистрироваться?]
Однако, т.к. вирус/троян может капитально прятаться под видом чего-то другого и маскировать свои проявления (например, его соединение может быть не видно в списке TcpView или не моргать лампочкой отправляемых данных в правом нижнем углу), то на п.4 сильно надеяться не стоит. Хотя вирусы/трояны, написанные школьниками этот способ покажет.
5. Самое главное: настроить Internet Explorer по зоне Internet в режим максимальной безопасности - поднять слайдер до положения High, чтобы минимизировать для страниц возможность к тебе что-то закачать. Потом добавлять важные сайты по одному в раздел Доверенных узлов.
Однако этот способ очень трудоемкий и с некоторыми румами иногда фиг поймешь, какой сайт нужно добавить в Доверенные, поэтому этот способ можно еще немного улучшить: у меня на компьютере есть обычный пользователь, у которого все как я написал выше, еще у него сильно урезаны права по записи куда-либо на компьютере, чтобы даже, если вирус проникнет, то он исчез после перезагрузки. Еще дополнительно есть отдельный пользователь, у которого к любым сайтам установлены доступ без ограничений - разрешены скрипты, ActiveX, Java и т.п., но под этим пользователем я никогда не хожу по обычным сайтам - только играю в покер и хожу на сайты румов/финансовых систем. Ему тоже можно на компьютере не все, т.к. я не хочу пускать покер-румы в некоторые папки. Этим двум пользователям закрыт доступ к записи в системные папки, они не могут добавлять программы в автозагрузку, менять Главное меню, реестр и т.п. Ну и еще есть пользователь Администратор, под которым я вхожу в систему только когда нужно делать какие-то настройки или устанавливать программы. Из под него тоже нельзя ходить по обычным интернет сайтам, только сайты типа microsoft.com.
6. Не ловить вирусы по почте - пользоваться TheBat вместо OutlookExpress.
7. Не запускать программы, скачанные из интернет.
Можно еще поставить антивирус в режиме мониторинга.
Это пункты на случай, когда на компьютере нет уже проникшего вредоносного софта, иначе он может найти проход и в пассивном режиме что-либо отправлять, невидимо для пользователя.

[Gnome]

а ещё можно просто закрыть порты 1030-1033, 4081 и пусть себе сканируют дальше

ps: не в том разделе тема

[NL_only]

В старые, очень старые времена, когда я работал админом была мной написана примочка которая из логов вытаскивала все сканы портов, сканы дыр в серверах и т.п. Благо что обычно все идет в куче и если какой-то загадочный посыл на вебсервак тебе неизвестен, а рядом посыл експлоита, то загадка сразу решается.
Раз в неделю я смотрел в примочку, и все адреса имеющие dns закладывал владельцам доменов - мол токого-то числа, во столько-то была такая-то попытка взлома и грозно обещал прислать службу безопасности, если сканер местный. На робкие попытки отмазаться "мол детки балуются" я спрашивал "как Вы отнесетесь к деткам которые стоят у Вашей двери и подбирают к ней отмычки?". Примерно в 50% случаев пионеры получали по ушам.

Блокировать безымянные диапазоны уличенные в скане навечно и не париться.

[Gnome]

Цитата:

Сообщение от NL_only писал сб, 22 апреля 2006 19:32

я спрашивал "как Вы отнесетесь к деткам которые стоят у Вашей двери и подбирают к ней отмычки?".

да уж