Προς το περιεχόμενο

Attack από IP 10.80.xx.x ... Μπορώ να βρώ περισσότερες πληροφορίες?

euoukos

Από τον euoukos
στο Powerlines, Access Points και Δίκτυα

Προτεινόμενες αναρτήσεις

euoukos Proficient

euoukos

Δημοσ.
Δημοσ.

Καλησπέρα σας,

 

συνδέομαι καθημερινά σε ένα τοπικό δίκτυο και έχω παρατηρήσεις μια συγκεκριμένη IP, που κάνει "attack" στο δικό μου pc.

Μπορώ να βρω περισσότερες πληροφορίες για την εν' λόγω IP???

 

Eυχαριστώ.

naiv_dim Proficient

naiv_dim

Δημοσ.
Δημοσ.

ερωτηση. το τοπικο δικτυο ειναι της ετερειας που δουλευεις?

αυτη η Ip που λες δ μπορει να ειναι απο καποιο αγνωστο δικτυο γιατι ειναι απο το δικο σου δικτυο. αρα μη φοβασαι οτι σε κλεβουν. αυτο που μαλλον γινετε ειναι οτι εχεις προφανως καποιο κοινοχρηστο φακελο κ μπαινουν κ βλεπουν τα αρχεια. τωρα, ολοι οσοι μπαινουν κ τους βλεπεις εσυ ειναι με την καταληξη 10,80,χχ,ψψ οπου χχ ειναι ιδιο κ με το δικο σου κ με ολους μεσα στο τοπικο δικτυο. μονο το ψψ αλλαζει.. για μενα τσαμπα ανησυχεις..

euoukos Proficient

euoukos

Δημοσ.
  • Μέλος
Δημοσ.
δλδ? οχι ακριβως? δωσε να καταλαβουμε..

 

Σε ευχαριστώ για το ενδιαφέρον αλλά λυπάμαι, δεν μπορώ να δώσω περισσότερες πληροφορίες.

 

Είναι όμως ένα τοπικό δίκτυο με περισσότερους από 10 Η/Υ και το γεγονός ότι δέχτηκα επίθεση από κάποιο άτομο του ίδιου δικτύου με απασχολεί ιδιαίτερα και θέλω να ξέρω αν μπορώ να βρω περισσότερες πληροφορίες σχετικά.

Κάτι ανάλογο δηλαδή με το DNS Resolving...

 

Και επίσης, αν γνωρίζει κάποιος πως μπορώ να προστευτώ από τέτοιου είδους επιθέσεις (ίσως να κλείσω κάποιες πόρτες???), θα ήταν πολύ χρήσιμο. ;-)

 

Ευχαριστώ ;-)

Ardov Experienced

Ardov

Δημοσ.
Δημοσ.

Τα attack είναι μυστήρια υπόθεση. Μπορεί να σου έκανε απανωτά ping requests και το firewall σου να ανέφερε την ενέργεια αυτή σαν attack. Ωστόσο η απάντηση έχει ήδη δωθεί απο τον naiv_dim . Τσάμπα ανησυχείς. Για να μη μπορείς να δώσεις περισσότερες πληροφορίες για το δίκτυο που ανήκεις, σημαίνει οτι το θέμα είναι αρκετά λεπτό και εαν έχεις υποψίες οτι σου υποκλέπτουν δεδομένα, πρέπει να βρείς τον υπολογιστή που έχει τη συγκεκριμένη IP απο όπου θεωρείς οτι σου έγινε η επίθεση. Αυτό δεν γίνεται με DNS resolving γιατί απλα δεν υπάρχει DNS server στο δίκτυο σας.

 

Περιπτώσεις:

 

Α) ΚΑΠΟΙΟΣ ΣΙΓΟΥΡΑ ΣΕ ΚΛΕΒΕΙ

έχει στηθεί DHCP server για το μοίρασμα IP διευθύνσεων στους υπολογιστές του δικτύου

α) dynamic ip : δεν πρόκειται να βρείς ποιός σου κάνει τις επιθέσεις

γιατί η ip αλλάζει διαρκώς και οι επιθέσεις γίνονται απο διαφορετικές IP κάθε φορά.

β) static ip: μπορείς να βρείς τον υπολογιστή απο τον οποίο γίνονται οι επιθέσεις,

πηγαίνοντας στις "Ρυθμίσεις δικτύου" --> "Τοπική σύνδεση" και βλέποντας την IP του καθε ενός.

Σίγουρα θα είναι ενας απο τους 10+ υπολογιστές που υπάρχουν στο δίκτυο.

Β) ΔΕΝ ΣΕ ΚΛΕΒΕΙ ΚΑΝΕΙΣ

α) είτε κάποιο πρόγραμμα που έχει περάσει ο χρήστης του Η/Υ με τη συγκεκριμένη IP σου στέλνει πολλά

ICMP πακέτα (ping για παράδειγμα) και τo firewall σου τα βλέπει σαν attack

β) Έχει κολλήσει ιό, spyware, worm ή trojan και δεν έχει κάνει τα απαραίτητα updates στα Windows,

συνεπώς, το κακόβουλο πρόγραμμα προσπαθεί να επεκταθεί και σε άλλους υπολογιστές και το

firewall σου να τα εμποδίζει.

 

Λύσεις:

 

Α) Βρίσκεις αυτόν που σου υποκλέπτει πληροφορίες

 

Β) Ηρεμείς και βάζεις και ενα καλό antivirus π.χ. NOD32 και ενα καλό antispyware π.χ. Spybot (δωρεάν) , Ad-Aware (με κόστος)

euoukos Proficient

euoukos

Δημοσ.
  • Μέλος
Δημοσ.
Τα attack είναι μυστήρια υπόθεση...

Οκ,

σε ευχαριστώ πολύ για το χρόνο σου!

H ανάλυσή σου είναι πολύ καλή! ;)

 

Λοιπόν, βρήκα το εξής link:

DCOM Exploit attack , στο οποίο υπάρχει παρόμοια περίπτωση με τη δική μου...

 

Και μάλλον οφείλεται στο γεγονός του ότι έχω κάνει disable το windows update :wink:, γιατί θέλει να μου κατεβάσει το genious authentication των winxp και παρότι έχω τα γνήσια όταν το είχα κατεβάσει σε καθε restart μου έβγαζε error messages!!!!

 

 

Επισης, το μήνυμα που είχα πάρει από το Avast Network Shield log είναι:

"12.04.2007 12:02:59 DCOM Exploit attack from 10.80.xx.xx:135

"

 

κατεβασε εδω ενα free προγραμματακι για scan ip κ δες ποιο ονομα ειναι κ πηγαινε χωστου τα μετα..

 

ΕΙΣΑΙ ΘΕΟΣ! :D ;-)

Melissa_virus Veteran

Melissa_virus

Δημοσ.
Δημοσ.

Ποιο firewall χρησιμοποιείς? Αν θες μας λες να σου προτείνουμε κανένα setting για καλύτερη ασφάλεια, αν το έχει δουλέψει κάποιος.

Συνήθως τα ποιο πολλά firewall κρατάνε Log με το ποια ip επιτίθεται και με τον τρόπο και το Port και άλλα Infos. Και φυσικά καταγράφουν και εσύ τι στέλνεις και που. Από τον τρόπο τις επίθεσης μπορείς να δεις περίπου για το τι πρόκειται. Αν είναι απλό Ping όπως είπε κάποιος πριν ή αν γενικά προσπαθεί να μπει σε συγκεκριμένη port. Να δεις ανά ποια συχνότητα γίνετε η επίθεση. Κάτι θα καταλάβεις άμα δεις το log. Κάνε και ένα search στο google για τον τύπο πακέτων που στέλνονται να δεις τι παίζει. Έχω αντιμετωπίσει τέτοιο πρόβλημα σε μεγάλο δίκτυο και ήταν θέμα worm.

 

Αν έχετε server ένας πολύ απλός τρόπος χωρίς να περάσεις κάποιον port scanner είναι να κάνεις Ping –a και την Ip του επιτιθέμενου και από εκεί μπορείς να δεις το name του στο δίκτυο. Μπορεί να μην σε βοηθήσει καν αυτό βέβαια. Λογικά static ip θα έχετε. Οπότε ίσως να καταλάβεις κάτι από το name του. Η γενικά αν δεν είναι και τα 10 Pc on κάθε μέρα την ίδια ώρα, να αποκλείσεις άτομα από υπόπτους.

 

Άποψη μου είναι ότι το ποιο πιθανό είναι να μην τρέχει τίποτα. Αλλά βέβαια δεν ξέρω και τι πως που οπότε πάω πάσο. Ίσως ο τύπος που σου κάνει επιθέσεις απλά να έχει φάει κανένα worm - Trojan και να στέλνει πακέτα για να κάνει ζημιά στους πόρους(να τιγκάρει το server στις αιτήσεις) του δικτύου – προσπαθεί να εξαπλωθεί όπως είπε και κάποιος πριν.

euoukos Proficient

euoukos

Δημοσ.
  • Μέλος
Δημοσ.
Ποιο firewall χρησιμοποιείς? Αν θες μας λες να σου προτείνουμε κανένα setting για καλύτερη ασφάλεια, αν το έχει δουλέψει κάποιος.

.....

 

Καλησπέρα!

Από ότι βλέπω έχεις εντιφίσει στο θέμα!;-)

Λοιπόν, χρησιμοποιώ μόνον το firewall των windows, καθώς κατάκαιρούς που έχω χρησιμοποήσει άλλα, αντιμετώπιζα πάρα πολλά προβλήματα! (e.x. Zone Alarm):X

 

Αλλά μπορεί να παίζει και η περίπτωση του worm ... ή και να ήταν τυχαίο.... αλλά επειδή ποτέ δεν ξέρεις καλό είναι να εξετάζεις όλες τις περιπτώσεις! ;-)

 

Ευχαριστώ πολύ!

Dklearhos Mentor

Dklearhos

Δημοσ.
Δημοσ.
Επισης, το μήνυμα που είχα πάρει από το Avast Network Shield log είναι:

12.04.2007 12:02:59 DCOM Exploit attack from 10.80.xx.xx:135

 

Αντιγράφω από ιστοσελίδα:

 

"My firewall keeps reporting intrusion attempts described as "DCE endpoint resolution." What's going on? The intrusion even seems to be coming from my own ISP on TCP port 135!"

 

"Port 135 is registered as "epmap - DCE endpoint resolution" and can be enumerated by connecting on port 135 and doing the appropriate queries. Mostly used by Microsoft for RPC locator service, it can be used to lookup what ports other services are running on Distributed Computing Environment (DCE) services on the remote host. An attacker may use this fact to gain more knowledge about the remote host. Trojans are a common example that exploits this vulnerability."

 

Οπότε αν οι ip είναι στατικές ψάχνεις να βρεις το μηχάνημα με αυτή την ip και του κάνεις ένα καλό scan με κάποιο antivirus.Αν οι ip είναι δυναμικές κάνεις scan όλα τα μηχανήματα. Το ανησυχητικό θα ήταν να γινόταν η επίθεση από "εξωτερική" ip. Στην περίπτωσή σου πρέπει κάποιος να είναι αρκετά χαζός ώστε να σου κάνει attack στο εσωτερικό δίκτυο.

Αυτά και από μενα.

 

edit:Επίσης μπορείς να κλείσεις αυτήν την υπηρεσία αν δεν τη χρειάζεσαι.

euoukos Proficient

euoukos

Δημοσ.
  • Μέλος
Δημοσ.
Αντιγράφω από ιστοσελίδα:

 

"My firewall keeps reporting intrusion attempts described as "DCE endpoint resolution." What's going on? The intrusion even seems to be coming from my own ISP on TCP port 135!"

 

"Port 135 is registered as "epmap - DCE endpoint resolution" and can be enumerated by connecting on port 135 and doing the appropriate queries. Mostly used by Microsoft for RPC locator service, it can be used to lookup what ports other services are running on Distributed Computing Environment (DCE) services on the remote host. An attacker may use this fact to gain more knowledge about the remote host. Trojans are a common example that exploits this vulnerability."

 

Οπότε αν οι ip είναι στατικές ψάχνεις να βρεις το μηχάνημα με αυτή την ip και του κάνεις ένα καλό scan με κάποιο antivirus.Αν οι ip είναι δυναμικές κάνεις scan όλα τα μηχανήματα. Το ανησυχητικό θα ήταν να γινόταν η επίθεση από "εξωτερική" ip. Στην περίπτωσή σου πρέπει κάποιος να είναι αρκετά χαζός ώστε να σου κάνει attack στο εσωτερικό δίκτυο.

Αυτά και από μενα.

 

Αυτό αρχίζω να πιστεύω και εγώ .... και μάλλον το συγκεκριμένο pc πρέπει να έχει μολυνθεί από κάποιο virus!

Ακόμα όμως δεν έχω καταφέρει να βρω περισσότερα με το ip scan, γιατί δεν ξέρω να χρησιμοποιώ και φοβάμαι μήπως κάνω κάποια χαζομάρα! :lol:

Αρχειοθετημένο

Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.

Προς την λίστα θεμάτων
  • Δημιουργία νέου...