Więcej prób włamań ?

IP: *.matarnia.pl / *.matarnia.pl 18.12.03, 21:57
Dawniej, gdy robiłem podgląd pracy firewall-a, wymienionych było najwyżej
kilka blokad w ciągu godziny. Pokazane były przy tym numery podobne do mojego
(różnica była tylko w ostatniej pozycji), sądziłem więc że to może jakieś
dzieciaki z mojego osiedla się bawią. Ostatnio jednak natężenie się
zwiększyło. Przed paroma tygodniami miałem kilkadziesiąt blokad na tydzień, a
dziś miałem 60 w ciągu dwóch godzin. Pokazał się przy tym obco wyglądający
numer (127.0.0.1) i występuje znacznie częściej niż pozostałe razem wzięte
(na wspomiane 60 ponad 30 było z tym jednym numerem).
Przy blokadzie pokazuje mi się napis:
"The firewall has blocked Internet access to your computer (TCP Port ...)
from 127.0.0.1 (HTTP)"
Przy innych numerach jest podobnie tylko za numerem jest pokazany nie napis
HTTP lecz numer portu TCP.
Czy takie objawy to coś normalnego? Jak często macie takie blokady robione
przez firewall-a u siebie?
Mam stałe łącze osiedlowe (sieć LAN) i korzystam z Windows98SE.
    • Gość: Facet Re: Więcej prób włamań ? IP: *.matarnia.pl / *.matarnia.pl 19.12.03, 10:57
      Czy nikt nie ma problemu podobnego do mojego?
      Wczoraj po południu i wieczorem spędziłem przy komputerze około 6 godzin i Zone
      Alarm pokazał mi 120 blokad, a z samego numeru 127.0.0.1 (HTTP) było ich ponad
      60. Pozostałe miały mumery bardzo podobne do mojego.
      • Gość: dief Re: Więcej prób włamań ? IP: *.internetdsl.tpnet.pl 19.12.03, 11:10
        127.0.0.1 to pętla zwrotna localhost, w tym wypadku adres twojego komputera nie
        widoczny z zewnątrz
    • Gość: Facet Re: Więcej prób włamań ? IP: *.matarnia.pl / *.matarnia.pl 19.12.03, 11:23
      Co oznacza localhost? Czy to nic niebezpiecznego? Dlaczego ten numer zaczął być
      pokazywany dopiero od tygodnia i to w tak dużym natężeniu? Wcześniej robiłem na
      komputerze dokładnie to samo co teraz i na tych samych programach i
      konfiguracjach, a miałem tylko lokalne numery blokowane przez firewall (i w
      mniejszym natężeniu).
      • Gość: dief Re: Więcej prób włamań ? IP: *.internetdsl.tpnet.pl 19.12.03, 11:33
        Definicja z slownik.kargul.net/entry/21259.html

        Specjalny identyfikator używanyprzez komputer do lokalnej komunikacji. Adres IP
        127.0.0.1 (localhost) jest zarezerwowanym adresem używanym przez każdy komputer
        do tego celu. Identyfikuje on tak zwane urządzenie pętli zwrotnej (loopback).

        Przyjęto konwencję, że adres 127.0.0.1 jest to adres przypisany "sztucznemu"
        interfejsowi sieciowemu. Istnieje on niezależnie od podłączenia komputera do
        sieci. Umożliwia lokalną pracę oprogramowania sieciowego nawet na komputerach
        nie podłączonych do sieci fizycznie. Z tego samego względu zastrzeżona nazwa
        localhost jest na każdym komputerze nazwą symboliczną tego interfejsu.

        Sprawdź logi na firewallu, konfigurację. Co ostatnio było instalowane.
    • Gość: Facet Re: Więcej prób włamań ? IP: *.matarnia.pl / *.matarnia.pl 19.12.03, 12:53
      Ostatnio instalowałem program do angielskiego przed miesiącem. Nie wprowadzałem
      też żadnych zmian w firewall-u od jego instalacji przed dwoma miesiącami.
      Dlaczego więc numer 127.0.0.1 zaczął mi się pokazywać od tygodnia, a nie od
      razu. Czy numery różniące się od mojego tylko liczbą na ostatniej pozycji to
      rzecz normalna w sieci? W firewall-u zabezpieczenia pozycji "local" mam na
      poziomie średnim, a pozycji "internet" na poziomie wysokim.
      • Gość: dief Re: Więcej prób włamań ? IP: *.internetdsl.tpnet.pl 19.12.03, 13:39
        Podaj numery portów TCp
    • Gość: Facet Re: Więcej prób włamań ? IP: *.matarnia.pl / *.matarnia.pl 19.12.03, 15:25
      Gdy robię podgląd ostatnich blokad, to obok adresu jest podany numer TCP (np.
      1027, 3753), który przy każdej blokadzie jest inny nawet dla tego samego
      adresu. Natomiast przy adresie 127.0.0.1 nie ma żadnego adresu tylko taki
      nawias: (HTTP).W pliku tekstowym opisującym blokady jest natomiast np. taka
      linia: "FWIN,2003/12/19,12:44:00 +1:00 GMT,127.0.0.1:80,dalej tylko moje dane".
      Dla tego adresu jest zawsze 80, a dla innych często się zmieniają.
      • Gość: dief Re: Więcej prób włamań ? IP: *.internetdsl.tpnet.pl 19.12.03, 15:47
        Te logi z jakiej karty sieciowej, w sieci są XP albo 2000?
    • Gość: Facet Re: Więcej prób włamań ? IP: *.matarnia.pl / *.matarnia.pl 19.12.03, 16:17
      A dlaczego mam podawać takie rzeczy jak jakieś logi do kart sieciowych. Nie
      znam się na tym i nie wiem czy przez takie rzeczy bym sobie więcej nie
      zaszkodził niż pomógł. Może mam jeszcze podać wszystkim swój numer IP albo
      login do systemu?
      Chodziło mi tylko o proste zdiagnozowanie opisanej przeze mnie sytuacji. Ze
      szczegółami i rozwiązaniem ewentualnego problemu zwrócę się do serwisu albo
      administratora sieci.
      Chciałem jedynie wiedzieć czy mam powód do niepokoju, czy może jest to sytuacja
      normalna.
      • Gość: dief Re: Więcej prób włamań ? IP: *.internetdsl.tpnet.pl 19.12.03, 16:35
        Sorry ale bez takich informacji (ip nieistotne) można sobie gdybać, ważne jest
        czy pakiety o których wspominałeś przychodzą z localhosta , czy z karty sieciowej.
        Może Ci sieje po logach jakaś gierka, program, szaleje w twojej sieci robak
        internetowy, wirus, masz trojana itp... I tu jest ważne skąd idą pakiety z
        karty sieciowej czy nie (poczytaj też coś o IP spoofingu).

        Sorry ale jak nie wiesz co to localhost i bierzesz się za konfigurację firewalla
        i nie masz podstaw na temat funkcjonowania sieci to słabo. Nie każdy komunikat
        oznacza krytyczną sytuację, firewall nie posiada sztucznej inteligencji i robi
        to co mu każesz,
        jeśli uruchomiłeś zbyt restrykcyjne reguły, popełniłeś błąd to się nie dziw że
        krzyczy.


      • stilgar Re: Więcej prób włamań ? 19.12.03, 17:36
        127.0.0.1 to jest twój własny komputer - widziałeś żeby ktoś się włamywał ze
        swojego kompa na swój własny? :-) a że te "włamania" są na porcie 80 (czyli na
        tym samym na którym się ogląda strony internetowe, to może oznaczać, że twoja
        przeglądarka albo inny program (np. Explorer) sie odwołuje do twojego kompa w
        dziwny sposób. Najlepiej zrobisz ignorując to.
    • Gość: Facet Re: Więcej prób włamań ? IP: *.matarnia.pl / *.matarnia.pl 19.12.03, 17:39
      W zasadzie wszystko działa mi OK. System mi się nie resetuje samoczynnie, nie
      giną mi żadne dane itp. Nic nie wskazuje, że ktoś się do mnie włamuje.
      Denerwujące dla mnie było tylko to, że tak znacznie wzrosła ilość blokad
      robionych przez firewall-a. Gdybym jednak regularnie nie zaglądał do niego, to
      pewnie bym nawet tego nie zauważył. Może powinienem to sobie darować i jeśli
      wszystko mi działa dobrze, to nawet nie sprawdzać ilości blokad, tak jak z
      reguły nie notuje się ile czasu spędzamy przy komputerze.
      • Gość: Argh Re: Więcej prób włamań ? IP: *.neoplus.adsl.tpnet.pl 19.12.03, 17:46
        Człowieku, ja mam neostradę i kilkadziesiąt bloków to mam na minutę. Zlej to,
        ciekawe kto by ci się do kompa chciał włamywać i po co ? Żeby troche pornosów
        ściągnąć sobie ??? Poza tym ze 127.0.0.1 (czy jak wolisz tego strasznego
        localhost-a) to tylko duchy mogą się włamywać. Lepiej poczytaj trochę o TCP.
    • Gość: bastille_storm Re: Więcej prób włamań ? IP: *.krzeszowice.sdi.tpnet.pl 20.12.03, 06:44
      -popatrz co zianstalowales i co sie uruchowamia po stacie, na jakich portach,
      czy laczy sie ze zdalnymi hostami
      - wylacz obszar trusted network na firewallu( poza brama dostepowa)
      - pakiety tcp nie musza byc zle (pingi, regulowanie ruchu sieciowego)
      - to z tym http...albo masz server zainstalowany i o tym nie wiesz (tak, to
      mozliwe, znam takich geekow;-) albo zle ustawiles firewalla (za kazdym razem
      przy uruchomieniu przegladarka wymanewrowuje sie przez 127.0.0.1, albo twoj
      admin tak naustawial, ze macie internal err
      -moze jakas aplikacja dziala w tle na tym porcie
      -o wszystko pytaj admina
      -nie pękaj
      -pij mleko
    • Gość: noname Re: Więcej prób włamań ? IP: 213.199.197.* 20.12.03, 08:48
      Jeśli masz ZoneAlarma na zakładce Alert&logs zaznacz off i niebedą Ci się
      pokazywały komunikaty o próbach włamań. Zaoszczedzisz na zdrowiu. Według mnie
      ok. 80% ostrzeżeń generowanych przez ZoneAlarma jest nieistotne.
Pełna wersja