| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| haker w sieci jak znalesc za pomoca nnd http://forum.freesco.pl/viewtopic.php?f=22&t=16869 |
Strona 1 z 2 |
| Autor: | monter [ poniedziałek, 5 maja 2008, 19:13 ] |
| Tytuł: | haker w sieci jak znalesc za pomoca nnd |
Ktos mi sie podszywa pod adresy mac sieciownikow i probuje sie wlamac na jednego kompa takie mam komunikaty w avascie : DCOM Exploit attackfrom 10.0.0.31:135 koles bardzo krotko uzywa danego maca i zmienia na inny albo sie wylacza .Jak wykryc kto to jest probowlem tcpdumpem ale nic nie dalo.tak szybko probuje atakowac ze nie mam czasu isc po kablach szukac odlaczajac swiche . Co robic w takich wypadkach? moze nasluchiwac na porcie 135? |
|
| Autor: | rikardo7 [ poniedziałek, 5 maja 2008, 23:03 ] |
| Tytuł: | |
haker na 135 porcie? raczej wirus Cytuj: koles bardzo krotko uzywa danego maca i zmienia na inny albo sie wylacza
135 port jest standartowo blokowany przez firewall |
|
| Autor: | kamxp125 [ poniedziałek, 5 maja 2008, 23:36 ] |
| Tytuł: | |
# Saser i Blaster iptables -A INPUT -p tcp --dport 135 -j DROP iptables -A OUTPUT -p tcp --dport 135 -j DROP iptables -A FORWARD -p tcp --dport 135 -j DROP iptables -A INPUT -p udp --dport 135 -j DROP iptables -A OUTPUT -p udp --dport 135 -j DROP iptables -A FORWARD -p udp --dport 135 -j DROP iptables -A INPUT -p tcp --dport 445 -j DROP iptables -A OUTPUT -p tcp --dport 445 -j DROP iptables -A FORWARD -p tcp --dport 445 -j DROP iptables -A INPUT -p udp --dport 445 -j DROP iptables -A OUTPUT -p udp --dport 445 -j DROP iptables -A FORWARD -p udp --dport 445 -j DROP to tak jak by nie blokował. |
|
| Autor: | tasiorek [ wtorek, 6 maja 2008, 00:21 ] |
| Tytuł: | |
Tez obstawiam, ze jest to dzialanie wirusa. Jednak blokowanie INPUTu na linuxie zbyt potrzebne nie jest. Nic mi nie wiadomo o tym zeby jakiemus saseropodobnemu udalo sie zaszkodzic linuxowi. Tworcy watku chodzi raczej o komputer kliencki w sieci. Jesli tak, to o ile komp nie zmienia macka to tcpdump -e pomoze. Jesli zmienia, to niestety bez dobrych switchy raczej nic nie zdzialasz. |
|
| Autor: | rikardo7 [ wtorek, 6 maja 2008, 01:03 ] |
| Tytuł: | |
kamxp125 pisze: # Saser i Blaster iptables -A INPUT -p tcp --dport 135 -j DROP iptables -A OUTPUT -p tcp --dport 135 -j DROP iptables -A FORWARD -p tcp --dport 135 -j DROP iptables -A INPUT -p udp --dport 135 -j DROP iptables -A OUTPUT -p udp --dport 135 -j DROP iptables -A FORWARD -p udp --dport 135 -j DROP iptables -A INPUT -p tcp --dport 445 -j DROP iptables -A OUTPUT -p tcp --dport 445 -j DROP iptables -A FORWARD -p tcp --dport 445 -j DROP iptables -A INPUT -p udp --dport 445 -j DROP iptables -A OUTPUT -p udp --dport 445 -j DROP iptables -A FORWARD -p udp --dport 445 -j DROP to tak jak by nie blokował. a czy Ty mie masz za bardzo "ulepszonego" firewala? ja mam w tylko tyle Cytuj: # Blaster i Saser
$i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP $i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP |
|
| Autor: | monter [ wtorek, 6 maja 2008, 01:11 ] |
| Tytuł: | |
Wlasnie o to chodzi ze zauwazylem ze to ten sam komp na podstawie uslug jakie ma powlaczane i wiem jak narazie ze siedzi tak kolo 5 minut a potem sie wylancza calkiem na pare godzin zmienia macka i znowu. a co do nnd to mam 135 poblokowany a za pomoca nnd chcialbym wysledzic kto to . niestety nie mam swichy zarzadzalnych bo bym wtedy szybko zlokalizowal hultaja 
|
|
| Autor: | rikardo7 [ wtorek, 6 maja 2008, 11:53 ] |
| Tytuł: | |
a niby w jakim celu mialby sam zmieniac MAC? idz do gostka z IP 10.0.0.31 napewno on sieje,a jak juz ci tak bardzo zalezy na szukaniu, to poczytaj ARPALERT lub IP-SENTINEL moze ci sie przydadza. |
|
| Autor: | monter [ wtorek, 6 maja 2008, 15:12 ] |
| Tytuł: | |
heh a no w takim celu zmienia macki zebym go nie zlapal to sie nazywa podszywanie na poczatku myslalem ze to wirus ale potem po skanowaniu kolesia wyszlo mi ze on to specjalnie robi i ze osoby ktore podejrzewalem sa niewinne a ich macki sa wykorzystywane do atakow. |
|
| Autor: | Maciek [ wtorek, 6 maja 2008, 15:45 ] |
| Tytuł: | |
Zaraz.. albo masz super perfidnego i to dość oblatanego "chakiera w sieci", albo jakiś idiota ma wirusa. Jeśli zmienia MAC a nie zmienia IP - to nie ma żadnego sensu. Poza tym napisałeś, ze alarmuje cię AVAST - czyli twój komputer a nie serwer. Jest to na 99% blaster na jakimś komputerze w sieci. Jak nie masz zarządzalnego switcha, to nie zablokujesz tego w sieci. |
|
| Autor: | monter [ wtorek, 6 maja 2008, 15:59 ] |
| Tytuł: | |
Jesli nie wyrazilem sie dokladnie to koles nie tylko zmienia macka ale tez ip na taka kombinacje jak ma osoba pod ktora sie podszywa z tym ze poznaje go po nazwie netbios windowsa charakterystycznej ktora po tych 5 minutach tez z sieci ginie razem z jego obecnoscia. Co do nnd to sie zastanawialem jak nasluchiwac ruch na 135 porcie i logowac go np tcpdumpem . Obawiam sie ze jak nie znajde tego gnojka to zacznie atakowac zewnetrzne jakies serwery i beda klopoty jak ktos zglosi na policje np. |
|
| Autor: | Maciek [ wtorek, 6 maja 2008, 16:13 ] |
| Tytuł: | |
Jak masz wyciety port na serwerze to poszaleje tylko w lanie. Jeśli tak się upierasz, ze to nie wirus tylko żywy "ludź" to zastosuj ipsentinela i po krzyku (no chyba że masz radówkę z apekami co maskują MAC). |
|
| Autor: | viater [ wtorek, 6 maja 2008, 16:30 ] |
| Tytuł: | |
Słynne szczypce z bocznym cięciem załatwią sprawę: odcinasz jeden kabelek i patrzysz co się dzieje - jeśli dalej to samo - odcinasz następny. Czynność powtarzasz, aż problem zniknie. Kabelek, po którego odcięciu to się stanie, należy do winowajcy
|
|
| Autor: | monter [ wtorek, 6 maja 2008, 20:04 ] |
| Tytuł: | |
tego sentinela sprobuje . jak narazie dzis nie bylo zadnego ataku wiec moze sie uspokoil . |
|
| Autor: | GaaD [ wtorek, 6 maja 2008, 22:34 ] |
| Tytuł: | |
albo przeczytał ten wątek 
|
|
| Autor: | jaba [ sobota, 10 maja 2008, 23:34 ] |
| Tytuł: | |
Przyłączę się do wątku, ponieważ mam taki sam problem. A więc podszywacz podmienia sobie MAC na krótki czas (1-2h). Zmienia MAC na mój, a to z tego względu, iż nie mam ograniczonego transferu. Pociągnie sobie co trzeba i zmienia na swój. Chociaż jednej nocy przyssał się na kilka godzin (wtedy go wypatrzyłem - nie mam zwyczajów zostawiać kompa na noc). Ciężko siedzieć nad mrtg i patrzeć kiedy wlezie na mój IP. I tu pytanie czy da się na serwerku wyczaić np nazwę jego komputera lub routera którego używa, albo jakieś inne dane, które by wydały podejrzanego. pozdrawiam |
|
| Autor: | pectosol [ niedziela, 11 maja 2008, 11:11 ] |
| Tytuł: | |
Można by napisać skrypt który wyłapuje konflikty macków, oraz o której kto się włącza do sieci. Następnie przealanlizować kto się włącza > potem konflikt mack (lub zniknięcie teo usera) > i spowrotem powrót usera. Przy takiej analizie można wykluczyć pewne grono userów (takich mało aktywnych, albo co mają łącze wypas), następnie wytypować podejrzanych userów i skryptem obserwować jaki mają np TTL co zasysają itp(może się zdażyć żę ktoś najpierw zasysa coś na swoim MACku ale po chwili przełącza się na cudzy) Można by jeszcze zastosować PPPoE |
|
| Autor: | monter [ niedziela, 11 maja 2008, 13:57 ] |
| Tytuł: | |
pod nnd nie znam ale pod winda pomocny jest program lookatlan ze strony lookatlan.com go mozna pobrac. On pokazyuje jak sie wlacza nowy komp do sieci ,nazwe netbios i pare innych rzeczy mozna nim sprawdzic .dziala w tle caly czas . ps to wlasnie nim wyczailem ze to nie wirus tylko jakis koles mi atakuje kompy. |
|
| Autor: | jaba [ niedziela, 11 maja 2008, 18:49 ] |
| Tytuł: | |
monter pisze: pod nnd nie znam ale pod winda pomocny jest program lookatlan ze strony lookatlan.com go mozna pobrac.
Używam ten program jest niezły - ale trzeba nad nim siedzieć a podszywacz podłącza się nieregularnie czasem raz na kilka dni i ciężko trafić. pozdrawiam |
|
| Autor: | pectosol [ niedziela, 11 maja 2008, 20:39 ] |
| Tytuł: | |
nie trzeba siedzieć przed kompem. Treba by napisać skrypt (najlepiej w awk) który przejrzy logi. Oczywiscie sprawa nie jest taka prosta. A po wstępnym zastanowieniu to możesz przecież użyć pakietu ipsentinel On też wykrywa kombinatorów a dodatkowo skutecznie blokuje - sprawdz |
|
| Autor: | jaba [ niedziela, 11 maja 2008, 21:47 ] |
| Tytuł: | |
pectosol pisze: ... możesz przecież użyć pakietu ipsentinel
On też wykrywa kombinatorów a dodatkowo skutecznie blokuje - sprawdz OK - ale jak gość zna już maca i podmienia go raz na swój raz na mój to raczej ipsentinel go nie zatrzyma. Na dodatek najprawdopodobniej ma router i tam bez problemu wpisuje mac kiedy chce. Przeglądałem logi z tcpdump, ale tam nic takiego co by mogło potwierdzić moje przypuszczenia nie znalazłem, w plikach messages jest tylko czas pobrania adresu i mac karty. pozdrawiam |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|