Linux, Samba - antywirus

[Gość: Mire]

mam cos takiego jak AirLive a w nim kieszeń z dyskiem 1 TB
Oczywiście klienta Bittorent, itd

od pewnego czasu net się muli - podejżałem w logach na ruterze, że cos tam jest - ciagle jest jakis "SPOM atack" czy coś podobnego
znaczy się, cos sie próbuje dostac, albo cos wychodzi z dysku na swiat.
widocznie cos sciągnałem przy okazji jakiegos filmu


w związku z tym chciałem przeskanowac ten 1 TB jakimś antiwirusem 0 jak to zrobić i czym ?

[smutas]

<"SPOM atack" czy coś podobnego>

Pojecie "cos podobnego" jest niewystarczajace ;-) Sprawdz logi jeszcze raz i zapisz DOKLADNIE. Najlepiej cala linijke z takim wpisem lacznie z adresami IP (ostatni oktet twojego IP mozesz zaiksowac np. 124.65.30.xxx).
cheers

[gmx3]

Oct/24/2010 20:48:14 Target IP(192.168.0.1), Target Port(67) Packet Dropped
Oct/24/2010 20:48:14 Spoof IP(192.168.0.101), Spoof Port(68)
Oct/24/2010 20:48:14 Spoof Attack fromd MAC(00-4F-67-03-D5-DF) Detect,

[gmx3]

a teraz;
18:21 Target IP(195.143.106.164), Target Port(80) Packet Dropped
Oct/24/2010 21:18:21 Spoof IP(192.168.0.105), Spoof Port(61568)
Oct/24/2010 21:18:21 Spoof Attack fromd MAC(00-4F-67-03-D5-DF) Detect,
Oct/24/2010 21:18:20 Target IP(195.143.106.164), Target Port(80) Packet Dropped
Oct/24/2010 21:18:20 Spoof IP(192.168.0.105), Spoof Port(61568)
Oct/24/2010 21:18:20 Spoof Attack fromd MAC(00-4F-67-03-D5-DF) Detect,
Oct/24/2010 21:18:20 Target IP(195.143.106.164), Target Port(80) Packet Dropped
Oct/24/2010 21:18:20 Spoof IP(192.168.0.105), Spoof Port(61568)

gdzie:
- 192.168.0.105 to wew IP dysku/AC Airlive
- 00-4F-67-03-D5-DF Mac adres

Nie mam pojęcia co to jest : 195.143.106.164

a może to IP skad ciągnę?

[smutas]

195.143.106.164 jest w zakresie:
inetnum: 195.143.106.160 - 195.143.106.191
netname: TVTV0-NETS
descr: tvtv services, Zweigniederlassung von Sony UK Ltd.
country: DE
admin-c: INTR1-RIPE
tech-c: INTR1-RIPE
status: ASSIGNED PA
remarks: TVTV0/HSTG/21866 - abuse@interoute.com for complaints
mnt-by: INTEROUTE-MNTNR
mnt-lower: INTEROUTE-MNTNR
source: RIPE # Filtered

Spoof attack to ogolnie ujmujac atak polegajacy na udawaniu kogos innego niz sie jest w rzeczywistosci. Czyli adres 195.143.106.164 moze byc tylko posrednikiem w ataku na twoj system. Ktos moze probowac udawac Sony DE by zainfekowac twoj system. Jesli masz dobrze dzialajacy firewall to mozesz czuc sie w miare bezpiecznie. Dla pewnosci zablokuj ten adres.

Poczytaj wiki i pogoogloj "spoof attack". Z www.suite101.com/article.cfm/internet_security/35298

"Spoofing attacks differ from random scanning and other techniques used to ascertain holes in the system. Spoofing attacks occur only after a particular machine has been identified as vulnerable. By the time the cracker is ready to conduct a spoofing attack, he or she knows the target network is vulnerable and which machine is to be attacked.

Nearly all forms of spoofing (and there are types other than IP spoofing) rely on trust relationships within the target network. By trust, I don't mean human or application-layer trust. Instead, I refer to trust between machines."

W skrocie: Ktos namierzyl twoj system jako podatny i probuje dalej go wykorzystac.
cheers

[gmx3]

jak zablokowa c adres - tak łopatologicznie

[gmx3]

a k wazne
jak wyłącze airlive - ten dysk z AC to na logach w routerze czysto :)
dlaczego ?

[smutas]

A to najprawdopodobniej d;atego, ze to wlasnie ten dysk zostal "z-haczony".

[smutas]

W Linuksie jako root wydaj polecenie:
iptables -I INPUT -s 10.12.12.12 -j DROP
gdzie 10.12.12.12 to adres ktory chcesz zablokowac. Nastepnie zrestaruj firewall.

Jesli laczysz sie przez router to tam powinienies szukac ustawien firewall'a. Z pamieci ci nie powiem jak, bo na rynku jest kilka setek domowych routerkow i kazdy konfiguruje sie troche inaczej. Generalnie sprawdzasz od strony PC jaki jest adres default gateway / domyslnej bramy. Nasetpnie ten adres wpisujesz w przegladarce i logujesz sie do routera. Wybierasz opcje "firewall" jesli taka istnieje i ... blokujesz IP :-)

[m.gregor]

pl.wikipedia.org/wiki/Spoofing