Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 15:53

Strefa czasowa UTC+2godz.




Forum zablokowane Ten temat jest zamknięty. Nie można w nim pisać ani edytować postów.  [ Posty: 19 ] 
Autor Wiadomość
 Tytuł: WIRUSY w sieci
Post: sobota, 2 kwietnia 2005, 21:24 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
Widziałem kilka postów w których powodem problemów z pingami netem itd mogą być wirusy w sieci .Jak sprawdzić jaki Ip sieje viry ??


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 kwietnia 2005, 06:54 
Offline
Użytkownik

Rejestracja: niedziela, 23 listopada 2003, 22:05
Posty: 344
Jak masz logowanie "martians" to w syslogu bedzie ip siejacego kompa. U mnie regularnie zarazaja sie xpeki jakims sassero podobnym syfkiem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 kwietnia 2005, 07:47 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
logowanie "martians" ??


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 kwietnia 2005, 18:16 
Offline
Użytkownik

Rejestracja: niedziela, 23 listopada 2003, 22:05
Posty: 344
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

Bedziesz mial w syslogu np:
Apr 3 13:29:40 Router kernel: martian destination 0.116.207.103 from 10.10.10.21, dev eth1

10.10.10.21 zarazony, idziesz z bejsbolem do wlasciciela :)

Zalecane tez blokowanie forward'u dla portow 135 137 138 139 445.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 5 kwietnia 2005, 12:56 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
A jak masz firewall Zciecha to tam jest przykład sasara lub blastera jak robić a na forum w temacie blokowanie portów jest CO robić...

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 19 kwietnia 2005, 15:12 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
coś mi to nie działa, bo w syslogu nic sie nie dzieje


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 20 kwietnia 2005, 12:42 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
A który masz firewall i co ustawiłeś w pliku /etc/rc.d/rc.firewall ??

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 20 kwietnia 2005, 21:45 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
zciecha


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 21 kwietnia 2005, 10:59 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
To przeczytaj mój post kilka odp. wyżej.


---EDIT----
Jak sie chcesz czegos nauczyć; jak nie to Ci podeślę bardziej gotowe rozwiązanie. :-)

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 21 kwietnia 2005, 22:17 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
Nie wiem czy dobrze się rozumiemy chodzi mi o log_martians (jego uruchomienie)żeby w syslogu zobaczyć zainfekowane kompy, bo nie pokazuje żadnego a wiem że są zainfekowane


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 22 kwietnia 2005, 11:32 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
Jeśli masz firewall Zciecha to wpisane w nim jest coś takiego :
: [/] [] ()
---/etc/rc.d/rc.firewall--------------------
...
# Blaster wraz z logowaniem
$i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "INPUT Blaster: "
$i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD Blaster: "
$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j DROP
#
...
-----------------------------------------------------

Po czyms takim w logach pojawiają się mniej wiecej takie linijki :
: [/] [] ()
---/var/log/syslog-------------------
...
<data> nnd INPUT Blaster...SRC=192.168.0.10....
.....
----------------------------------------------


Czyli jak komputer sieje po porcie 135 to w logach jest o tym info.
Wystarczy teraz skopiować ten fragment i zmienic porty by zmienić wirusy.
np.
: [/] [] ()
# Saser wraz z logowaniem
$i -A INPUT -p tcp --dst 0/0 --dport 445 -j LOG -m limit --limit 2/hour --log-prefix "INPUT Saser: "
$i -A INPUT -p tcp --dst 0/0 --dport 445 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 445 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD Saser: "
$i -A FORWARD -p tcp --dst 0/0  --dport 445 -j DROP
# Blokady inne
$i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "INPUT PortBlok1: "
$i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD PortBlok1: "
$i -A FORWARD -p tcp --dst 0/0  --dport 135 -j DROP

$i -A INPUT -p tcp --dst 0/0 --dport 136 -j LOG -m limit --limit 2/hour --log-prefix "INPUT PortBlok1: "
$i -A INPUT -p tcp --dst 0/0 --dport 136 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 136 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD PortBlok1: "
$i -A FORWARD -p tcp --dst 0/0  --dport 136 -j DROP

# Trojan Wootbot
$i -A INPUT -p tcp --dst 0/0 --dport 6667 -j LOG -m limit --limit 2/hour --log-prefix "INPUT Wootbot: "
$i -A INPUT -p tcp --dst 0/0 --dport 6667 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 6667 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD Wootbot: "
$i -A FORWARD -p tcp --dst 0/0  --dport 6667 -j DROP
# eMule wraz z logowaniem
$i -A INPUT -p tcp --dst 0/0 --dport 4662 -j LOG -m limit --limit 2/hour --log-prefix "INPUT eMule: "
$i -A INPUT -p tcp --dst 0/0 --dport 4662 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 4662 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD eMule: "
$i -A FORWARD -p tcp --dst 0/0  --dport 4662 -j DROP
$i -A INPUT -p tcp --dst 0/0 --dport 4665 -j LOG -m limit --limit 2/hour --log-prefix "INPUT eMule: "
$i -A INPUT -p tcp --dst 0/0 --dport 4665 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 4665 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD eMule: "
$i -A FORWARD -p tcp --dst 0/0  --dport 4665 -j DROP
$i -A INPUT -p tcp --dst 0/0 --dport 4672 -j LOG -m limit --limit 2/hour --log-prefix "INPUT eMule: "
$i -A INPUT -p tcp --dst 0/0 --dport 4672 -j DROP
$i -A FORWARD -p tcp --dst 0/0  --dport 4672 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD eMule: "
$i -A FORWARD -p tcp --dst 0/0  --dport 4672 -j DROP



I po tym będą różne uwagi w logach.

Kapujesz ?[/code]

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 22 kwietnia 2005, 12:36 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
kapuje dZięki 8)
w logach miałem tylko np:
Apr 22 10:55:39 serwer kernel: INPUT Blaster: IN=eth0 OUT= MAC=00:e0:4c:b2:04:60:00:0b:23:2f:7c:3a:08:00 SRC=83.16.104.242 DST=83.16.***.*** LEN=48 TOS=0x00


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 22 kwietnia 2005, 15:53 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
To też Blaster ale zewnetrzny :-)
Poszukaj w postach ogólnych coś o blokowaniu portów tam Albercik wypisał z 15 portów wartych blokowania; a jak je sobie będziesz rejestrował to będziesz wiedział kto co ma ....

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 23 kwietnia 2005, 16:49 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
No i pięknie lecą logi więc kolejny zestaw pytań :

1.)FORWARD Wootbot: IN=eth1 OUT=eth0 SRC=192.168.0.20 DST=195.112.128.222 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=44612 DF PROTO=TCP SPT=2658 DPT=6667 WINDOW=8192 RES=0x00 SYN URGP=0

rozumiem że gość ma trojana ??

2.)dopisałem inne porty do logowania i mam :

kernel: FORWARD wir1: IN=eth0 OUT=eth1 SRC=213.218.116.131 DST=192.168.0.31 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=3082 DF PROTO=TCP SPT=80 DPT=1136 WINDOW=17520 RES=0x00 ACK SYN URGP=0
i
serwer kernel: FORWARD wir2: IN=eth1 OUT=eth0 SRC=192.168.0.15 DST=80.59.41.150 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=23525 DF PROTO=TCP SPT=4669 DPT=1214 WINDOW=65535 RES=0x00 ACK URGP=0
jaka jest różnica gdy ip mojego usera jest przy SRC a DST ?
i czy to wszystko są viry bo tyle tego leci że ..... :(


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 kwietnia 2005, 11:06 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
To zawsze są POTENCJALNE wirusy.
Ja daję znać userowi, że CHYBA ma wirusa niech sobie sprawdzi.
W 90% przypadków był to wirus zwłaszcza na porcie Sasera i Blastera, reszta to jakieś nieporozumienia.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 25 kwietnia 2005, 11:24 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
ok a DST SRC ??


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 26 kwietnia 2005, 17:57 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
Chłopie nie za bardzo się rozleniwiłeś ??

Myślenie NIE BOLI :-)

SRC - source
DST - destination

lub jakoś tak....

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 27 kwietnia 2005, 06:06 
Offline
Użytkownik

Rejestracja: czwartek, 19 sierpnia 2004, 15:18
Posty: 1273
Lokalizacja: Tychy
wiem co znaczy z angielskiego chciałem tylko wiedzieć czy dst oznacza że Ip jest atakowane (jak wynika z nazwy ) czy też coś sieje


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 27 kwietnia 2005, 10:41 
Offline
MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska
Jeszce raz :

Myślenie nie boli !!!

Jeśli coś leci do mnie to ja tego NIE sieję.

Sorry ale zamykam temat.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Forum zablokowane Ten temat jest zamknięty. Nie można w nim pisać ani edytować postów.  [ Posty: 19 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl