co to znaczy?

IP: 81.15.212.* 30.04.04, 19:01
zainstalowalem sobie firewalla i od razu wyskocylo mi takie cos:
The firrewallhas blocked internet acces to your computer[TCP port 135] from
82.177.72.40[TCP port 1518][TCP flags:s] dosc czesto mi to wyskakuje (znaczy
sie narazie 3 razy :P) Pozdrawiam
    • netsec Re: co to znaczy? 30.04.04, 19:04
      Gość portalu: misiek napisał(a):

      > zainstalowalem sobie firewalla i od razu wyskocylo mi takie cos:
      > The firrewallhas blocked internet acces to your computer[TCP port 135] from
      > 82.177.72.40[TCP port 1518][TCP flags:s] dosc czesto mi to wyskakuje (znaczy
      > sie narazie 3 razy :P) Pozdrawiam

      Wyłącz udostępnianie plików i drukarek w Twoim połączeniu sieciowym do
      Internetu. Jaki masz firewall?
      • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 30.04.04, 22:05
        zonealarm jak to wylaczyc bo za bardzo sie nie orientuje
        • netsec Re: co to znaczy? 30.04.04, 22:21
          Gość portalu: misiek napisał(a):

          > zonealarm jak to wylaczyc bo za bardzo sie nie orientuje

          Jaki Windows?
          • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 30.04.04, 22:21
            millenium :)
            • netsec Re: co to znaczy? 30.04.04, 23:19
              Gość portalu: misiek napisał(a):

              > millenium :)

              Odinstalować "Udostępnianie plików i drukarek w sieciach Microsoft Networks",
              przejdź do "Panel Sterowania" >> "Sieć" i usuń je.
              • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 01.05.04, 00:48
                no tak tylko ze ja tam nie mam nic zaznaczone.Pozdrawiam
                • netsec Re: co to znaczy? 01.05.04, 08:28
                  Gość portalu: misiek napisał(a):

                  > no tak tylko ze ja tam nie mam nic zaznaczone.Pozdrawiam

                  W takim razie zmień powiadamianie w ZoneAlarm. Poszukaj w Alert Settings i
                  ustaw na Don’t alert me at all. Będziesz miał więcej spokoju a Zone i tak
                  swoje zrobi ;)
    • broch Re: co to znaczy? 01.05.04, 03:06
      Gość portalu: misiek napisał(a):

      > zainstalowalem sobie firewalla i od razu wyskocylo mi takie cos:
      > The firrewallhas blocked internet acces to your computer[TCP port 135] from
      > 82.177.72.40[TCP port 1518][TCP flags:s] dosc czesto mi to wyskakuje (znaczy
      > sie narazie 3 razy :P) Pozdrawiam

      tcp 135 - portmapper (lub RPC) to "pomysl" MS. Czesto mylony z serwisem SMB
      (tcp139, udp137, udp138) WinME poczatkowao nie uzywaly tcp135 ale potem na fali
      modyfikacji (winTN SP6, win2k, winxp) rowniez nieszczesnym ME sie dostalo. W
      Wypadku Me, o ile sie nie myle to port otwieraja pewne aplikacje.
      np winpopup. Znajdz winpopup.exe i przemianuj na winpopup.old nie przejmuj sie
      komunikatem ostrzegajacym ze program nie bedzie dzialal. Albo restartuj
      komputer, albo wcisnij (RAZ!) Ctrl-Alt-Del wyskoczy okno z ktorego wybierz
      winpopup i wcisnij przycisk zakoncz (albo cos takiego, polskiej wersji nie znam)
      Nie mniej wyglada na to ze ktos skanuje Ciebie sadzac z informacji:
      "The firewall has blocked internet acces TO your computer[TCP port 135] FROM
      > 82.177.72.40"
      , Widac w Polsce ISP nie nauczyli sie jeszcze ze ten port trzeba blokowac. W
      zwiazku z tym, aby nie widziec ciagle nuzacych komunikatow, wylacz popup w
      zonealarm.
      Jakie porty masz otwarte mozesz sprawdzic w DOS prompt:
      wpisz
      netstat -a
      Najlepiej zrobic to po swiezym starcie komputera (bez otwierania IE!), naczej
      zobaczysz cala mase portow otwartych przy laczeniu sie IE (co jest normalne),
      albo zamknij IE odczekaj ~15 min i "odpal" netstat -a
      • broch Re: co to znaczy? 01.05.04, 05:27
        jeszcze dwa slowa bo przypomnialem sobie:
        Outlook laczy sie z Exchange (MS mail server) orzystajac z serwisow RPC/DOM
        (tcp135). O ile sie nie myle to MS Office tez ma taka opcje. Ale w tym wypadku
        ktos skanowal Ciebie.

        Informacja o bloku adresow skad Cie skanowano:
        inetnum: 82.177.64.0 - 82.177.95.0
        netname: ASTRA-PILA-NET
        descr: Connected by Tel-Energo S.A.
        country: PL

        Jesli chcesz sie dowiedziec wiecej to musisz uzyc "whois".
        jesli ich nie znasz to zadzwon i powiedz zeby odlaczyli gagatka bawiacego sie w
        cracking. Niezaleznie od tego co Tobie powiedza, sa w stanie sprawdzic komu
        adres 82.177.72.40 byl "leasowany" w okreslonym terminie.
        Powyzszy adres nie pochodzi od serwera, bo serwery nie inicjalizuja polaczen.
        Pamietaj jednak ze moze to byc falszywy alarm. Radzilbym sprawdzic czy scan
        dotyczy jednego portu czy bloku. Odpowiedzi na to pytanie udzieli zonealarm log
        • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 01.05.04, 13:14
          zrobile whoisa z innego alerta i wyszlo takie cos:

          % This is the RIPE Whois server.
          % The objects are in RPSL format.
          %
          % Rights restricted by copyright.
          % See www.ripe.net/ripencc/pub-services/db/copyright.html

          inetnum: 82.177.64.0 - 82.177.95.0
          netname: ASTRA-PILA-NET
          descr: Connected by Tel-Energo S.A.
          country: PL
          admin-c: WO24-RIPE
          tech-c: WO24-RIPE
          status: ASSIGNED PA
          mnt-by: TELENERGO-MNT
          changed: igrzechnik@telenergo.pl 20031114
          source: RIPE

          route: 82.177.0.0/16
          descr: TEL-ENERGO S.A.
          origin: AS20804
          notify: mkrzysztofowicz@telenergo.pl
          mnt-by: TELENERGO-MNT
          changed: mkrzysztofowicz@telenergo.pl 20030826
          source: RIPE

          person: Wojciech Osos
          address: Astra Pila s.c.
          address: Al.Piastow 15
          address: 64-920 Pila
          address: Poland
          phone: +48 605 888993
          fax-no: +48 67 2151102
          e-mail: bokpila@tvastra.com.pl
          nic-hdl: WO24-RIPE
          mnt-by: TPNET
          changed: tkielb@cst.tpsa.pl 20011024
          source: RIPE


          co moge z tego sie dowiedziec???????????????
          • Gość: broch Re: co to znaczy? IP: *.knology.net 01.05.04, 14:47
            Ja specjalnie nie wklejalem calej informacji w "whois"... no ale.
            Masz informacje providera, gagatka ktory Cie skanuje: numer telefonu i email:

            person: Wojciech Osos
            > address: Astra Pila s.c.
            > address: Al.Piastow 15
            > address: 64-920 Pila
            > address: Poland
            > phone: +48 605 888993
            > fax-no: +48 67 2151102
            > e-mail: bokpila@tvastra.com.pl

            ktory jest podnajemca (takie slowo?) firmy:
            TEL-ENERGO S.A.
            > origin: AS20804
            > notify: mkrzysztofowicz@telenergo.pl
            > mnt-by: TELENERGO-MNT
            > changed: mkrzysztofowicz@telenergo.pl 20030826
            Daj temu ze dwa dni. W tej chwili Twoj adres jest i tak blokowany przez
            zonealarm. Jesli scanning sie powtorzy to napisz email (na adres Astry) i wklej
            czesc logu z firewall pokazujacy adres ktory probowal Cie skanowac. Mozesz
            napisac ze prosisz o wyjasnienie dlaczego ktos chce sie polaczyc z Twoim portem
            tcp135 i tyle.


            WYJASNIENIA (dlaczego nie nalezy byc bardzo niespokojnym):
            Normalnie, przytomny cracker, nie skanuje jednego portu, chyba ze zainstalowal
            juz na Twoim komputerze backdoor. Aby to sprawdzic otworz okienko DOS i uruchom
            netstat -a
            Pamietaj ze Ty tez sie laczysz najlepiej wiec, jak pisalem, zrobic to powinienes
            po restarcie komputera bez uruchamiania IE
            patrz na porty z opisem "LISTEN"
            jesli masz "uwspolnione" (zle slowo pewnie) foldery lub drukarke (bo masz drugi
            komputer ktory korzysta z zasobow na pierwszym) to bedziesz mial otwarte porty:
            tcp139 Twoj adres LISTEN
            udp138 j.w
            udp137 j.w.



            WAZNE:
            Poniewaz skanowales komputer Nortonem i mks, wiec pewnie komputer jest czysty.

            Lista rojanow i portow jest tutaj:
            popularne:
            www.jlathamsite.com/dslr/suspectports.htm
            mniej popularne:
            www.jlathamsite.com/DSLR/LessSuspectPorts.htm
            To wszystko jest po angielsku, mysle ze domyslisz sie o co chodzi.
            Wazne elementy zabezpieczenia windows Me to:
            firewall
            program antywirusowy
            aktualizacja systemu
            ZABEZPIECZENIE IE.
            Przez zmiany w Tools -> Internet options: zakladka Security i Advanced. Ani
            firewall ani antywirus nie pomoze przy zle zabezpieczonym IE.
            Generalnie wazne jest ze przy polaczeniu typu dialup, Twoj komputer jest dosc
            bezpieczny, przyczyna jest niestabilnosc linii oraz czesta zmiana adresu IP
            Twojego komputera ale tylko na to bym nie liczyl

            No dobra to na razie wystarczy. Jesli bedziesz potrzebowal dalszej pomocy daj znac.
            • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 01.05.04, 16:00
              "Daj temu ze dwa dni. W tej chwili Twoj adres jest i tak blokowany przez
              zonealarm. Jesli scanning sie powtorzy to napisz email (na adres Astry) i wklej
              czesc logu z firewall pokazujacy adres ktory probowal Cie skanowac. Mozesz
              napisac ze prosisz o wyjasnienie dlaczego ktos chce sie polaczyc z Twoim portem
              tcp135 i tyle."

              scaning sie powtarza co jakis czas(5 razy w ciagu 30 minut) w tym ktos z Chin :(

              nie wiem czy mam sie niepokoic czy nie bo po prostu sie nie znam na tym.Nie
              wiem czy to ma cos wspolnego ale wczoraj po wylaczeniu zonealarm komputer
              samoistnie mi sie zresetowal bez mojej inwencji.Mam pytanie co taki "gagatek"
              moze zdzialac na moim komputerze?Pozdrawiam
              • Gość: broch Re: co to znaczy? IP: *.ded.swbell.net 01.05.04, 16:30
                W Polsce slij maile do administratora. Na scanning z innych krajow nic nie
                poradzisz, szczegolnie Chiny.

                Co mozna zrobic? Zainstalowac backdoors, uzywac twojego komputera do DDOS. Razem
                z tysiacami innych osob nie wiedzac o tym atakujesz jakis server w dowolnym
                miejscu na swiecie. Polega to na wysylaniu zadania potwierdzenia ze Twoj
                komputer jest polaczony z atakowanym serwerem. Jesli takich zadan jest bardzo
                duzo, to w koncu serwer pada.
                Mozna tez zorientowac sie w transakcjach dokonywanych przez internet. Po
                wlamaniu, mozna zrobic dokladnie to co Ty mozesz.
                Wyzszosc WindowsXP (professional, nie home) polega na tym ze jesli nauczysz sie
                logowac jako zwykly user (nie administrator, to to tyle warte co pelmne
                uprawnienia na windows 9x lub Me)i zabezpieczysz komputer, to bedzie trudniej
                (100% pewnosci nikt Ci nie da) wlamac sie. Wlamywacz chce miec prawa
                administratora. na windows 9x i Me to jedyna opcja, na windowsxp lub NT lub
                2000, zrobic to jest trudniej.

                W tej chwii Twoj komputer jest bezpieczny chyba ze ktos zalozyl backdoors
                (wykorzystujac trojans) przed zainstalowaniem firewall, w tej sytuacji firewall
                nie pomoze, poniewaz firewall puszcza wszystkie polaczenia inicjalizowane przez
                Twoj komputer wlaczajac backdoors.
                Rozumiem jednak ze Ty komputer skanowales i wiesz ze komputer jest czysty.
                uzyj tez netstat (jest na Twoim komputerze) jak pisalem wyzej.

                Jesli znasz angielski, to tu jest ladne wyjasnienie problemu backdoors/trojans:
                www.windowsecurity.com/articles/Hidden_Backdoors_Trojan_Horses_and_Rootkit_Tools_in_a_Windows_Environment.html
                To jest fragment:
                "A backdoor is a program or a set of related programs that a hacker installs on
                the victim computer to allow access to the system at a later time. A backdoor’s
                goal is to remove the evidence of initial entry from the systems log. But a
                “nice” backdoor will allow a hacker to retain access to a machine it has
                penetrated even if the intrusion factor has in the meantime been detected by the
                system administrator. Resetting passwords, changing disk access permissions or
                fixing original security holes in the hope of remedying the problem may not help."

    • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 01.05.04, 17:06
      C:\WINDOWS>netstat

      Aktywne połączenia

      Protokół Adres lokalny Obcy adres Stan
      TCP jaraset:1061 81.15.212.3:8080 CLOSE_WAIT
      TCP jaraset:2691 host-92.gadugadu.pl:8074 TIME_WAIT
      TCP jaraset:2796 81.15.212.3:8080 TIME_WAIT
      TCP jaraset:2797 81.15.212.3:8080 TIME_WAIT
      TCP jaraset:2798 81.15.212.3:8080 TIME_WAIT
      TCP jaraset:2799 81.15.212.3:8080 ESTABLISHED

      to jest "raporcik" z netstata bardzo intryguje(moze niepotrzebnie) mnie ten
      jaraset bo mialem kiedys taki folder z.........gra
      jest taki plik u mnie na komputerze i jest to -->Microsoft Access Record-
      Locking Information.

      Pozdrawiam i dziekuje za zaintersowanie sie tematem
      • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 01.05.04, 17:48
        jaraset jest nazwa komputera bo to komputer brata :)
      • Gość: broch Re: co to znaczy? IP: *.knology.net 01.05.04, 18:13
        Twoj komputer nazywa sie jaraset. Jestes polaczony "wysokimi" portami (czyli
        jako klient) do webserwera lub proxy serwera Twojego ISP. Jesli to strona domowa
        to sadzac z Twojego adresu i adresu webservera, sadze ze wlasnie uruchomiles IE
        i jestes gdzies na stronie domowej. Twoje polaczenie jest nieuzywane od dobrych
        kilkunastu minut. Nastepnie odswierzyles strone lub zmieniles ja na tym samym
        serwerze. Inna mozliwosc to laczysz sie przez proxy Twojego ISP i wlasnie
        dokonales kolejnego polaczenia.
        Masz tez wlaczonego gadu-gadu, ale rowniez nie uzywasz go od jakiegos czasu.

        Jesli idzie o MS Office to sugeruje wylaczenie opcji sieciowych (np wylacz
        Active scripting). Access locking info dotyczy otwartej db
        • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 02.05.04, 12:18
          witam no niestety sprawdzam sobie co jakis czas zonealarm i widze info ze
          ktos/cos mnie ciagle skanuje.Tym gorzej ze pojawiaja sie one co chwile.Nawet 1
          na minute.Nie wiem co o tym myslec.Moze sie niepokoje na wyrost.Czy jest jakis
          sposob aby sie tego pozbyc na zawsze? Pozdrawiam
          • Gość: broch Re: co to znaczy? IP: *.knology.net 02.05.04, 14:20
            Moze zrob tak:
            1. jesli ktos skanuje Twoj komputer z Polski wielokrotnie z tego samego adresu
            IP wyslij email do ISP (whois)
            2. Jesli skanner jest z innego kraju nic nie zrobisz
            3. jesli jeden adres trafia Cie tylko raz wowczs, NIE JEST TO SKANOWANIE!
            4. Firewall chroni Cie przed proba dostania sie na Twoj komputer w stopniu
            wystarczajacym
            5. Jedynym sposobem aby dostac sie na Twoje windowsy jest przez IE i OE i
            firewall temu nie zapobiegnie.
            6. odpowiednia konfiguracja IE oraz OE moze to bardzo utrudnic
            7. Mozesz rowniez zainstalowac alternatywe dla obu programow np Netscape ktory
            ma rowniez mail client

            Czy rozwialem Twoje watpliwosci?
            Moje wszystkie domowe komputery sa on line 24/7 przez wieksza czesc roku.
            • Gość: misiek Re: co to znaczy? IP: 81.15.212.* 02.05.04, 18:07
              przede wszystkim najpierw napisalem do administratora mojej sieci aby mi
              wyjasnil sytuacje,pozniej zobaczymy.90%tych alarmow jest z tego whoisa ktory
              podalem,reszta z innych krajow.Pozdrawiam i dziekuje za zainteresownanie moim
              problemem :)
Inne wątki na temat:
Pełna wersja