Włamanie na mojego kompa

[Matt10]

Witam Posiadam Firewalla Outpost Pro, zauważyłem ostatnio w zakładkach ciągłe skanowanie portów. Cały czas skanowany jest port 55533

2011-02-14 13:10:40 178.203.233.253 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)
2011-02-14 13:10:40 123.184.58.30 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)
2011-02-14 13:10:40 183.176.7.245 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)
2011-02-14 13:10:39 74.138.175.56 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (55533)

i tak dalej. Od czasu do czasu pojawiają się skany na innych portach np.

2011-02-14 12:41:00 77.45.56.50 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (25349)
2011-02-14 12:37:28 62.141.242.91 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (22032)
2011-02-14 12:19:15 74.125.79.190 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (47878)
2011-02-14 12:06:28 62.141.242.91 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (14)
2011-02-14 11:54:40 77.45.56.50 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (22532)
2011-02-14 11:47:28 62.141.242.91 Wykryty atak, host nie został zablokowany SINGLE_SCAN_PORT (22022)

A tutaj Atak DOS

2011-02-14 13:11:30 121.230.188.192 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:30 180.222.14.178 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 79.50.237.231 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 2.123.110.90 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 119.243.228.245 Podsieć zablokowana na 60 min DOS
2011-02-14 13:11:29 109.165.177.113 Podsieć zablokowana na 60 min DOS


Nie jestem specem ale takie skanowania nie wzdaj mi sie normalne....tym bardziej że czasami przez dłuższy okres czasu żadnych skanów w dzienniku nie widze po czym znowu to samo

Proszę o pomoc. co Wy o Tym sądzicie.

[TQM]

te pojedyncze mozesz olac calkowicie - praktycznie kazdy przypadek wlamani ajaki analizowalem sprowadzal sie najpierw do uzycia maszyny jako skaner (skanowanie calych sieci N1.x.x.x, N2.x.x.x, itd) a pozniej dopiero byc moze szukania danych ktore mozna ukrasc. Takie cos wlasnie pokazuje sie jako pojedyncze trafienia z nikad, czasami jaki kilka trafien ale bez przesady.

Te oznaczone jako DoS - musialbys wyczytac w dokumentacji co to oznacza, tzn jakie sa kryteria oznaczenia ataku jako DoS. To moze byc np 5 przeskanowanych portow w ciagu 10 sekund, moze byc 150 pakietow wyslanych na zamkniete porty, itd. Jesli nie znasz kryteriow kwalifikacji atakow w firewallu ktorego uzywasz to tak na prawde nie wiesz nic...

Ja mam u siebie non-stop takie rzeczy i to jest po prostu szum ktory sie ignoruje... ale zbiera sie logi najczesciej i analizuje. Jak jakis IP/podsiec wraca w miare regularnie skanujac kolejne porty to dla mnie jest to sygnal ze moze cos kombinowac.

[Mark2k]

Witam.
121.230.188.192 --- IP w Chinach
180.222.14.178 -- IP Australia 178.14.222.180.cable.dyn.bal.ncable.com.au
79.50.237.231 -- IP Italia host231-237-dynamic.50-79-r.retail.telecomitalia.it
2.123.110.90 -- IP Wielka Brytania 027b6e5a.bb.sky.com
119.243.228.245 -- IP Japonia FL1-119-243-228-245.chb.mesh.ad.jp
109.165.177.113 -- IP Bośnia i Hercegowina adsl-165-177-113.teol.net

Namiary mają z torrenta, ciągniesz pliki i komuś się nudzi
Poz. Mark2k

[Matt10]

A o co chodzi z tymi pakietami?

17:58:28 Zezwól OUT UDP 192.168.2.2 60888 94.249.46.165 54081 Allow All UDP
17:58:28 Zezwól IN UDP 94.249.46.165 54081 192.168.2.2 60888 Allow All UDP
17:58:26 Zezwól IN UDP 120.61.34.27 10023 192.168.2.2 60888 Allow All UDP
17:58:26 Zezwól OUT UDP 192.168.2.2 60888 83.26.50.8 34816 Allow All UDP
17:58:26 Zezwól OUT UDP 192.168.2.2 60888 87.204.78.6 9660 Allow All UDP
17:58:26 Zezwól OUT UDP 192.168.2.2 60888 91.207.126.2 10047 Allow All UDP

18:54:35 Blokuj IN UDP 172.130.107.72 26667 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:54:34 Blokuj IN UDP 89.218.18.236 6881 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:54:30 Blokuj IN UDP 88.213.234.53 41936 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:54:01 Blokuj IN UDP 75.69.59.146 23473 192.168.2.2 60888 Zablokowano przez Attack Detecton
18:53:57 Blokuj IN UDP 113.203.149.180 60221 192.168.2.2 60888 Zablokowano przez Attack Detecton

17:58:20 Zezwól IN UDP 173.192.105.217 53 192.168.2.2 1025 Generic Host Process DNS UDP connection
17:58:20 Zezwól OUT UDP 192.168.2.2 1025 173.192.105.217 53 Generic Host Process DNS UDP connection
17:58:20 Zezwól IN UDP 173.192.105.217 53 192.168.2.2 1025 Generic Host Process DNS UDP connection
17:58:20 Zezwól OUT UDP 192.168.2.2 1025 173.192.105.217 53 Generic Host Process DNS UDP connection
17:58:20 Zezwól IN UDP 173.192.105.217 53 192.168.2.2 1025 Generic Host Process DNS UDP connection


Dlaczego niektóre sa blokowane przez "Attack Detecton" a nie które nie? mógłby ktoś wytłumaczyć o co biega?
Oraz jak wzmocnic dodatkowo ochrone kompa

[linux_aa]

wysylasz pakiety udp. czekasz na odpowiedz. odpowiedz przychodzi za pozno. os mysli ze to nie odpowiedz tylko atak. udp nie ma stanow.

[Mark2k]

Witam
Jak wzmocnić to aktualne poprawki systemowe, aktualizacje dziurawych wtyczek, popularnych programów, winamp, adobe x, flashplayer, adobe air itd, polecam program secunia PSI dla leniwych --> PSI - Consumer - Products
i to:
Download details: Microsoft Baseline Security Analyzer 2.2 (for IT Professionals)

Poz. Mark2k

[Matt10]

Ok dzięki a te programy nie będą gryźć się z firewallem?

[Mark2k]

Nie ma takiej opcji, ale jak coś nie tak, to pomogę

Pozdrawiam

[Matt10]

Jeżeli net idzie od mojego sąsiada a potem u niego rozdzielany jest na 3 mieszkania w tym do mnie. Czy on jako administrator sieci ma możliwość wglądu w to co ja robie na kompie? jeżeli tak to czy jest jakiś sposób żeby temu zapobiec? np jakoś szyfrować wszystkie dane czy coś w tym stylu

[lojciecdyrektor]

A skąd podejrzenie, że administruje tą siecią? Najczęściej po prostu robi to router...

Jesteś bezpośrednio do niego podłączony czy masz router? Dodatkowy router po drodze to dobre zabezpieczenie (NAT)...

Czy on jako administrator sieci ma możliwość wglądu w to co ja robie na kompie?

Musiałby włamać się do Ciebie, a to nie takie proste! Chyba, że masz nieaktualny system operacyjny i brak solidnego AV...

Widzieć to on może Twoją aktywność w internecie, ale to też nie takie znowu proste...

Szyfrowanie? Pewnie, że można... Najprościej używać TOR-a, ale przepustowość kiepska, albo VPN, korzystanie ze stron z SSL(w miarę możliwości)...możliwości jest kilka...

Pozdrawiam