Włamanie na kompa - cz.2

[Matt10]

Pisałem już wcześniej ale mam jeszcze jedno pytanie odnośnie tych logów. a mianowicie:

(Internet idzie do mojego sąsiada a dopiero później jest rodzielony od niego na 2 czy tam 3 inne mieszkania w tym do mnie )

Czy ktoś uprzejmy wytłumaczy o co chodzi z tymi pakietami. Czasami nie wysyła lub nie odbiera nic aż tu nagle - nie będe kopiował wszystkiego bo dużo tego ale np:

09:07:40 Blokuj IN UDP 192.168.2.6 138 192.168.2.255 138 Blokuj ruch NetBIOS
09:07:40 Blokuj IN UDP 192.168.2.5 138 192.168.2.255 138 Blokuj ruch NetBIOS
09:07:06 Blokuj IN UDP 192.168.2.3 138 192.168.2.255 138 Blokuj ruch NetBIOS
09:05:42 Blokuj IN UDP 192.168.2.6 138 192.168.2.255 138 Blokuj ruch NetBIOS
09:05:40 Blokuj IN UDP 192.168.2.5 138 192.168.2.255 138 Blokuj ruch NetBIOS
09:05:30 Blokuj IN UDP 192.168.2.5 137 192.168.2.255 137 Blokuj ruch NetBIOS


09:03:39 Blokuj IN UDP 192.168.2.3 68 255.255.255.255 67 Packet to closed port
09:03:38 Blokuj IN UDP 192.168.2.5 68 255.255.255.255 67 Packet to closed port


09:03:39 Blokuj IN UDP 192.168.2.3 68 255.255.255.255 67 Packet to closed port
09:03:38 Blokuj IN UDP 192.168.2.5 68 255.255.255.255 67 Packet to closed port


Tutaj już różne porty :

2011-03-08 22:03:10 Blokuj IN UDP 192.168.2.4 49930 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.4 49930 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50031 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50031 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 137 192.168.2.255 137 Blokuj ruch NetBIOS
2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:09 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 137 192.168.2.255 137 Blokuj ruch NetBIOS
2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50031 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50029 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.4 49930 239.255.255.250 3702 Packet to closed port
2011-03-08 22:03:08 Blokuj IN UDP 192.168.2.8 50027 239.255.255.250 3702 Packet to closed port

I jeszcze jedno pytanie czy jeżeli w swoim firewallu np obserwuje zakładke "ruch sieciowy" i nic sie tam nie dzieje tzn nic nie wysyła ani nie odbiera
a np wysyła lub odbiera pakiety to oznacza że ktoś mógł mi się włamać na kompa i np obserwować co robie?

Z góry dzięki za pomoć!

[Piatkosia2010]

Jak jesteś z nim w sieci lokalnej, może nasłuchiwać "na kablu" czy nawet "na switchu". I to bez generowania jakiegokolwiek dodatkowego ruchu (karta w trybie promisc i chwila zabawy).
Co do twojego logu, netbiosowy serwer nazw się rozgłasza. Nie widzę w tym nic szkodliwego. 67-68 to bodajże DHCP. Również niegroźne. Hehe pamiętam kiedyś jak pomyliłam atak z puknięciem z neostrady. WIna nortona, a że zwykle nie używam neo....
Dalej log wydaje się ciekawszy.
49930-- jakiś egzotyczny port. Sprawdź co na nim siedzi. Jeżeli u ciebie nic, możliwe że ktoś w twojej sieci lokalnej ma malware, który puka wszędzie pod podany port z nadzieją, że gdzieś jest on otwarty i...
Nie strasząc horrorami: wyszukuje zombie.
Koledzy, jeśli znacie ten port, powiedzcie co "normalnego" może na nim siedzieć. Komunikator jakiś? Gra? Klient p2p?
Co do portu 50031, niektórzy stawiają na nim serwer CSa. Ale nie strać czujności, sprawdź netstatem co tam siedzi dodając przełącznik odpowiadający za wyświetlenie nazwy programu z nim powiązanego (odwołuję do mana). EventTracker KB --Port No 50031 Service Name client-port on Red Hat Linux 9.0 RFC Doc 0 Protocol UDP -- jeszcze coś takiego o tym porcie znalazłam'

50027 EventTracker KB --Port No 50027 Service Name client-port on Red Hat Linux 9.0 RFC Doc 0 Protocol UDP
Kolejny egzotyczny port. Potraktować podobnie

137 - znana bajka. Niby netbios-ns , ale często się słyszało o niegrzecznym sofcie co się pod ten port podpinał.
Port 137 Information - TCP & UDP Port 137
3702 WS-discovery . Więcej http://docs.oasis-open.org/ws-dd/dis....1-spec-os.pdf Używasz tego? Port 3702 Information - TCP & UDP Port 3702

Tak czy inaczej, najbardziej mnie te piątki intrygują. Ktoś do ciebie puka?
Na wszelki wypadek przeskanuj dysk systemowy pod względem występowania malware. Użyj opcji dokładnej. Zapuść na noc. I jeszcze powiedz osobom z sieci lokalnej by się przeskanowali. Bardzo możliwe, że ktoś ma u siebie szkodliwe oprogramowanie (załapał syfa) i teraz próbuje się ono rozprzestrzenić po localu. Jako że masz firewalla, wyciąłeś niechciany ruch. I dobrze. Tak to ma działać. Jednak ostrożności nigdy nie za wiele. To Ty masz się czuć pewnie na swojej maszynie. Jeżeli coś przykuło twoją uwagę i cię zaniepokoiło, check it
Tyle ode mnie

[Matt10]

A co to znaczy że może nasłuchwać? że widzi wszystko co robie w necie?
Jesli tak to da sie to jakos zablokowac?

a co do sprawdzenia tych portów to prosiłbym o wytłumaczenia na prostu język gdyż zupełnie nie kumam tego, jestem zielony w tych sprawach

[Piatkosia2010]

Nasłuchiwanie to jeszcze nie "widzenie tego co robisz w necie". Obadaj czy nie masz jakichś połączeń jako LISTEN (w netstacie). Nasłuchiwanie, oznacza wystawienie "aplikacji serwerowej" na dany otwarty port. Jeżeli coś spróbuje się z nim połączyć (np. klient trojana z pakietami instrukcji), aplikacja zareaguje tak, jak klient od niej chce a serwer to umożliwia. Jak się zabezpieczyć? Firewall i pozamykanie niepotrzebnych usług w systemie.

a co do sprawdzenia tych portów to prosiłbym o wytłumaczenia na prostu język gdyż zupełnie nie kumam tego, jestem zielony w tych sprawach

Kod:

netstat /?

--jeżeli na windows

Kod:

netstat --help

--jeżeli na linux
Przerzuć sobie do pliku (dopisz na końcu

Kod:

>plik.txt

) w celu późniejszej analizy. Pod linuxem by ci się przydał grep. Jednak pominę. Nie znam odpowiednika windows.
A przeskanowałeś normalnym antywirem?