В общем вот такое дело, жил я не тужил, никому до моего компа дела не было, и вдруг начались атаки на мой комп. Сначала порты сканили, потом по радмину пытались влезть, потом ещё какие то страшные пакеты слать начали. Правда ни одна из них не была удачной, но мне просто интересно, откуда такой интерес к моему компу, уж не наводка ли кого из "дружков". Почти у всех атакующих банально стоит р_сервер с паролем 12345678. Я перелопатил всё на этих компах, включая куки. Айпишники у всех разные, какой либо связи между ними я не заметил. Вот куски из лога радмина: 2006.08.09 16:27 <1084> Connection from 87.67.46.192 : Password is incorrect or error occurs 2006.08.10 19:48 <1804> Connection from 200.142.108.98 : Password is incorrect or error occurs 2006.08.15 04:05 <1580> Connection from 212.56.56.234 : Password is incorrect or error occurs 2006.08.15 18:18 <2560> Connection from 210.7.12.15 : Password is incorrect or error occurs 2006.08.16 05:43 <3420> Connection from 81.13.125.182 : Password is incorrect or error occurs 2006.08.16 05:58 <4012> Connection from 69.53.63.138 : Password is incorrect or error occurs Лог аутпоста прикрепить не получается, но там те же айпишники... Помогите пожалуйста выяснить, кто их навёл, может кто-то с таким сталкивался. Только желательно тихо, не хоцца спугнуть. И извиняюсь если не в тему попал, хотя вроде самое то... Заранее благодарен за любую помощь!
не знаю почему но мне кажется что ни кто на тебя не наводил, просто если у них есть р_сервер с поролем 12345678 то скорей всего эти машины кто то ломанул и в добавок может еще вири есть вот они тебя и сканят и не только тебя одного. у меня в локальной сети тож такое было, в начале все нормально потом только в сеть выйду начинается, сначала порты сканят потом атакуют, как оказалось у меня в ОС дыры были, их залатал все нормально, щас только сканят порты, одного вычислил у него чирвь на машине, а второй тот вообще комик, попробует атоковать, не получается он сразу из сетки выходит, через минут пять повторяет с другой машиной . вообщем не знаю, попробуй проверить свой комп на уязвимости XSpider-ом или другой прогой, XSpider 7,5 можно демовский скачать с их оф. сайта http://www.ptsecurity.ru/
вот что можно сказать по этим Ip: 210.7.12.15 Фиджи город Сува 81.13.125.182 Россия Москва 69.53.63.138 Канзас-Сити 200.142.108.98 Фиджи город Сува по остальным не знаю. вот нашел: 87.67.46.192 Город: Bruxelles, Бельгия 212.56.56.234 Город: Брайтон, Великобритания
А тебе не приходило в голову что это всего лишь зомби? или сокс прокси? Нах тебе место расположение соксов? Да же если бы ты точный адрес назвал, это ничего не даст.
Атакует скорее всего один чел, просто IP меняет. Если есть бабло и ты на выделенке, то смени ip через провайдера, если атаки продолжатся, то значит кто-то из своих).
я это к тому что связи между этими IP нет никакой кроме одной, атакует один человек, может это и прокси но скорей всего нет. искать его толку тоже нет так как с этими машинами он скорее всего соединяется через анонимный прокси, так что проще IP свой сменить и машину свою на уязвимости проверить, да и еще поставить все заплатки, нормальный антивирь поставить, лично я касперскому и dr.web-у не доверяю, после того как у меня лицензионного касперского с последними обновлениями вышибли и половину инфы на компе удалили.
провеляли как к тебе можно залесть может у тебя 4899-й порт открыт? порты просканили, нашли дыры начала пытаться приконектится, а не была удачной потому что аутпост стоит, и откуда ты знаешь что ни одна не была удачной? Если у него получится к тебе подключится он же тебе об этом не скажет
Ребята, всем спасибо! Exile1985, мегареспект!!! Нашёл я этого чела, подкараулил и залез когда он ко мне ломился. Всё таки вручную пытался пароль подобрать... (Явно псих). В общем он почитав мой тридцатиэтажный мат и угрозы отформатировать даже его любимую тамагоччу, так тихо и незаметно слился что я подумал что это у меня с инетом проблемы . Жду продолжения, даже скучно стало...
Поправьте, если ошибаюсь, но по-моему аутпост при стандартных настройках не закрывает его... Хех, трабла была: Поставил радмин(для нужд), потом удалил, а порт остался открытым, чё только не делал,-разницы никакой. Только потом доперло что отключаются такие дела через службы...