Freesco, NND, CDN, EOS

od niedawna jestem z kolegami właścicielem dsl 2000 odeszlismy od pewnego operatora który za 50 zł dawał nam net bez dostepu do p2p , postawilismy własnie serwer na nnd z pomoca tego forum i działa idealnie ale na kompy które sa bezpośrednio wpięte do dsl z zewnętrznym ip przyznanym przez tp pojawiły sie do 10 prób właman na 1 min coprawda są blokowane przez ZA ale czasami się udaje : ip kompów sa tak różne że jusz głupiejemy, czy serwer się opsze tym włamą ,,
Ip kompów co próbuja się włamać zaczynają sie od 83. a potem to już wszelkie kombinacje ale najwięcej 83.19....
Podejrzewam że to wina tego operatora przeciesz odeszło od niego 10 osób więc sie wkurzył i pewnie podał nasze ip na jakiś forum żeby kto chce się włamywał.
Czy da się coś z tym zrobić ??

W zasadzei na każdy komputer mający bezpośredni dostęp do internetu są ciągle próby włamać (a przynajmniej skanowanie portów). Samo nnd pod warunkiem stosowania mocnych haseł jest raczej odpornym systemem. Natomiast jeżeli wystawiasz na atak kompy klientów z windowsem to na pewno należy zastosować dodatkowe firewalle programowe.

Raczej to nie próby włamania tylko wirusiska działające na portach 445 i 135. Tylko dobry firewall pod wingrozami uchroni Cię od takich incydentów.

Serwer tak, gorzej z wingrozami.

_________________

http://stats.opskozienice.pl

zainstalowałem aller zone niby wykrywa ale dlaczego teraz zaczoł wykrywać dopiero włamania wczesniej był spokuj i na tym kompie nie ma wirusa

Ale w internecie są A wcześniej komp miał publiczne IP czy był za NATem ? Zapora na połączeniu sieciowym w Windows jest wyłączona ?

_________________

http://stats.opskozienice.pl

był cały czas z publicznym ip i miał zapore za
a teraz od wczoraj to tak jak ktoś uruchomił by program który sie dobija do tego kompa i zmienia swoje ip szukając dziury

bo komp jest na 98
inne chodzą dobrze bo zą za ruterem który ma sprzętowy fireball

Jak możesz to sprawdź naj akich portach się dobija ? tu jedynie pomoże dobry firewall programowy, choc jeśli atak jest na porcie 135 to win98 nie powinien ucierpieć. Ale raczej napewno są to wiry z netu bo sam kiedyś na próbę włączyłem DMZ w routerze sprzętowym dla kompa z linuxem NND to snplog podobnie rejestrował kupę logów głównie z adresami 83.x.x.x czyli użytkownicy podłączeni do neozdrady. Zablokuj jak możesz wysyłanie od siebie w firewallu danych na portach 135 i 445

_________________

http://stats.opskozienice.pl

jak sprawdzić na jakich portach atakuje ????????

a w logach firewalla nie ma ? nie znam tego którego ty używasz. Ale możesz w wierszu polecenia wpisać netstat -n 1 to będzie pokazywał nawiązane połączenia bądź próby nawiązania połączeń co sekundę

_________________

http://stats.opskozienice.pl

mam tak przy moim adresie ip :1126 ipod spodem 1160 a tam gdzie pisze obcy adres 193.219.28.119:80 i 217.17.45.138:8074
i odziwo za za kazdym razem inne ip a tu w tym netstat jest cały czas to samo

pierwszy to jakiś akamaitechnologies.com, ten drugi to serwer gg. spróbuj powtarzać netstat -n bez wpisywania interwału bo nieraz długo się czeka na zmiany.
Pozdrawiam.

_________________

http://stats.opskozienice.pl

teraz widze jak działa ten netstat to są połączeni9a do tej strony

No tak, ale jak ktoś do ciebie się dobija to też pokazuje, u Ciebie powinny być porty 135 lub 445 a na obcym adresie jakieś spoza gorących portów. Na końcu linijek może pisać "wysłano SYN" lub coś podobnego.

_________________

http://stats.opskozienice.pl

Wydaje mi się, że pawlo2555 odpalił sobie dla zabawy netstata i cały ruch internet<->serwer<->użytkownicy traktuje jako próby włamania
Po pierwsze, powiedz nam, co udostępniasz do internetu? (ssh,ftp,www cokolwiek?). Jak nie wiesz, zrób netstat -lp lub nmap 127.0.0.1 i pokaż wyniki. Jeżeli będziesz miał coś otwarte, będziemy grepować logi.

Pozdrawiam.
TMH.

ale pawlo2555 uruchamia netstat na win98 bezpośrednio podłączonego do netu

_________________

http://stats.opskozienice.pl

znowu ktos zaczyna program ZA netbios from 83.19.191.161 port 4593

a na netstat nie wykazało zadnego połączenia
AZ pokazuje za każdym razem inne IP i inny wysoki port np:
83.19.191.162 3942

No to jeśli netbios to ktoś prubuje nawiązać sesję netbios na portach 137,138,139 twojego kompa. Normalne jest to dla mnie bo jakbyś nie miał firewalla to by twoje pakiety netbiosowe leciały w eter. Win98 standardowo nie ma żadnego wbudowanego firewala dlatego ZA się odzywa. NetBIOS jest protokołem dosyć gadatliwym i może być tak że jeśli twój komp wysyła ramki rozgłoszeniowe to inne kompy z netu tobie odpowiadają. W końcu masz publiczne IP. Zmień 98 na XP, włącz zaporę a jeszcze lepiej zablokuj porty 135,137,138,139,445 na wypuszczanie na zewnątrz i wtedy i ZA nie będzie się odzywał

_________________

http://stats.opskozienice.pl

tylko ze nie mam kasy zeby kupic xp a na tym kompie musi być legalny windows

to jedyne co Ci pozostało to albo poblokować na lokalnym firewallu wszystko co się da a dopuścić jedynie dostęp np. do www, gg itp, ablo postawić kompa za innym firewalem sprzętowym lub programowym. Innego wyjścia nie widzę. A po co Ci publiczne IP na tym kompie ?

_________________

http://stats.opskozienice.pl