Włamanie na mojego kompa

[Matt10]

Witam Posiadam Firewalla Outpost Pro, zauważyłem ostatnio w zakładkach ciągłe skanowanie portów. Cały czas skanowany jest port 55533

2011-02-14 13:10:40 178.203.233.253 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)
2011-02-14 13:10:40 123.184.58.30 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)
2011-02-14 13:10:40 183.176.7.245 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)
2011-02-14 13:10:39 74.138.175.56 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)

i tak dalej. Od czasu do czasu pojawiają się skany na innych portach np.

2011-02-14 12:41:00 77.45.56.50 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (25349)
2011-02-14 12:37:28 62.141.242.91 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (22032)
2011-02-14 12:19:15 74.125.79.190 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (47878)
2011-02-14 12:06:28 62.141.242.91 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (14)
2011-02-14 11:54:40 77.45.56.50 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (22532)
2011-02-14 11:47:28 62.141.242.91 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (22022)

A tutaj Atak DOS

2011-02-14 13:11:30 121.230.188.192 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:30 180.222.14.178 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 79.50.237.231 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 2.123.110.90 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 119.243.228.245 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 109.165.177.113 Podsieć zablokowana na 60 min DOS


Nie jestem specem ale takie skanowania nie wzdaj mi sie normalne....tym bardziej że czasami przez dłuższy okres czasu żadnych skanów w dzienniku nie widze po czym znowu to samo

Proszę o pomoc. co Wy o Tym sądzicie.

[TQM]

te pojedyncze mozesz olac calkowicie - praktycznie kazdy przypadek wlamani ajaki analizowalem sprowadzal sie najpierw do uzycia maszyny jako skaner (skanowanie calych sieci N1.x.x.x, N2.x.x.x, itd) a pozniej dopiero byc moze szukania danych ktore mozna ukrasc. Takie cos wlasnie pokazuje sie jako pojedyncze trafienia z nikad, czasami jaki kilka trafien ale bez przesady.

Te oznaczone jako DoS - musialbys wyczytac w dokumentacji co to oznacza, tzn jakie sa kryteria oznaczenia ataku jako DoS. To moze byc np 5 przeskanowanych portow w ciagu 10 sekund, moze byc 150 pakietow wyslanych na zamkniete porty, itd. Jesli nie znasz kryteriow kwalifikacji atakow w firewallu ktorego uzywasz to tak na prawde nie wiesz nic...

Ja mam u siebie non-stop takie rzeczy i to jest po prostu szum ktory sie ignoruje... ale zbiera sie logi najczesciej i analizuje. Jak jakis IP/podsiec wraca w miare regularnie skanujac kolejne porty to dla mnie jest to sygnal ze moze cos kombinowac.

[Mark2k]

Witam.
121.230.188.192 --- IP w Chinach
180.222.14.178 -- IP Australia 178.14.222.180.cable.dyn.bal.ncable.com.au
79.50.237.231 -- IP Italia host231-237-dynamic.50-79-r.retail.telecomitalia.it
2.123.110.90 -- IP Wielka Brytania 027b6e5a.bb.sky.com
119.243.228.245 -- IP Japonia FL1-119-243-228-245.chb.mesh.ad.jp
109.165.177.113 -- IP Bośnia i Hercegowina adsl-165-177-113.teol.net

Namiary mają z torrenta, ciągniesz pliki i komuś się nudzi
Poz. Mark2k

[Matt10]

A o co chodzi z tymi pakietami?

17:58:28 Zezwól OUT UDP 192.168.2.2 60888 94.249.46.165 54081 Allow All UDP
17:58:28 Zezwól IN UDP 94.249.46.165 54081 192.168.2.2 60888 Allow All UDP
17:58:26 Zezwól IN UDP 120.61.34.27 10023 192.168.2.2 60888 Allow All UDP
17:58:26 Zezwól OUT UDP 192.168.2.2 60888 83.26.50.8 34816 Allow All UDP
17:58:26 Zezwól OUT UDP 192.168.2.2 60888 87.204.78.6 9660 Allow All UDP
17:58:26 Zezwól OUT UDP 192.168.2.2 60888 91.207.126.2 10047 Allow All UDP

18:54:35 Blokuj IN UDP 172.130.107.72 26667 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:54:34 Blokuj IN UDP 89.218.18.236 6881 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:54:30 Blokuj IN UDP 88.213.234.53 41936 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:54:01 Blokuj IN UDP 75.69.59.146 23473 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:53:57 Blokuj IN UDP 113.203.149.180 60221 192.168.2.2 60888 Zablokowano przez Attack Detecton

17:58:20 Zezwól IN UDP 173.192.105.217 53 192.168.2.2 1025 Generic Host Process DNS UDP connection
17:58:20 Zezwól OUT UDP 192.168.2.2 1025 173.192.105.217 53 Generic Host Process DNS UDP connection
17:58:20 Zezwól IN UDP 173.192.105.217 53 192.168.2.2 1025 Generic Host Process DNS UDP connection
17:58:20 Zezwól OUT UDP 192.168.2.2 1025 173.192.105.217 53 Generic Host Process DNS UDP connection
17:58:20 Zezwól IN UDP 173.192.105.217 53 192.168.2.2 1025 Generic Host Process DNS UDP connection


Dlaczego niektóre sa blokowane przez "Attack Detecton" a nie które nie? mógłby ktoś wytłumaczyć o co biega?
Oraz jak wzmocnic dodatkowo ochrone kompa

[linux_aa]

wysylasz pakiety udp. czekasz na odpowiedz. odpowiedz przychodzi za pozno. os mysli ze to nie odpowiedz tylko atak. udp nie ma stanow.

[Mark2k]

Witam
Jak wzmocnić to aktualne poprawki systemowe, aktualizacje dziurawych wtyczek, popularnych programów, winamp, adobe x, flashplayer, adobe air itd, polecam program secunia PSI dla leniwych --> PSI - Consumer - Products
i to:
Download details: Microsoft Baseline Security Analyzer 2.2 (for IT Professionals)

Poz. Mark2k