Ребята, помогите! Кульхацкеры атакуют!

Discussion in 'Безопасность и Анонимность' started by Wishmaker, 16 Aug 2006.

  1. Wishmaker

    Wishmaker New Member

    Joined:
    18 May 2006
    Messages:
    8
    Likes Received:
    4
    Reputations:
    1
    В общем вот такое дело, жил я не тужил, никому до моего компа дела не было, и вдруг начались атаки на мой комп. Сначала порты сканили, потом по радмину пытались влезть, потом ещё какие то страшные пакеты слать начали. Правда ни одна из них не была удачной, но мне просто интересно, откуда такой интерес к моему компу, уж не наводка ли кого из "дружков". Почти у всех атакующих банально стоит р_сервер с паролем 12345678. Я перелопатил всё на этих компах, включая куки. Айпишники у всех разные, какой либо связи между ними я не заметил.

    Вот куски из лога радмина:
    2006.08.09 16:27 <1084> Connection from 87.67.46.192 : Password is incorrect or error occurs
    2006.08.10 19:48 <1804> Connection from 200.142.108.98 : Password is incorrect or error occurs
    2006.08.15 04:05 <1580> Connection from 212.56.56.234 : Password is incorrect or error occurs
    2006.08.15 18:18 <2560> Connection from 210.7.12.15 : Password is incorrect or error occurs
    2006.08.16 05:43 <3420> Connection from 81.13.125.182 : Password is incorrect or error occurs
    2006.08.16 05:58 <4012> Connection from 69.53.63.138 : Password is incorrect or error occurs

    Лог аутпоста прикрепить не получается, но там те же айпишники...

    Помогите пожалуйста выяснить, кто их навёл, может кто-то с таким сталкивался. Только желательно тихо, не хоцца спугнуть. И извиняюсь если не в тему попал, хотя вроде самое то... Заранее благодарен за любую помощь!
     
    1 person likes this.
  2. Exile1985

    Exile1985 Elder - Старейшина

    Joined:
    10 Aug 2006
    Messages:
    124
    Likes Received:
    35
    Reputations:
    1
    не знаю почему но мне кажется что ни кто на тебя не наводил, просто если у них есть р_сервер с поролем 12345678 то скорей всего эти машины кто то ломанул и в добавок может еще вири есть вот они тебя и сканят и не только тебя одного.
    у меня в локальной сети тож такое было, в начале все нормально потом только в сеть выйду начинается, сначала порты сканят потом атакуют, как оказалось у меня в ОС дыры были, их залатал все нормально, щас только сканят порты, одного вычислил у него чирвь на машине, а второй тот вообще комик, попробует атоковать, не получается он сразу из сетки выходит, через минут пять повторяет с другой машиной :).
    вообщем не знаю, попробуй проверить свой комп на уязвимости XSpider-ом или другой прогой, XSpider 7,5 можно демовский скачать с их оф. сайта http://www.ptsecurity.ru/
     
    1 person likes this.
  3. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    Как ты себе представляешь найти наводчика?
     
  4. Exile1985

    Exile1985 Elder - Старейшина

    Joined:
    10 Aug 2006
    Messages:
    124
    Likes Received:
    35
    Reputations:
    1
    вот что можно сказать по этим Ip:

    210.7.12.15 Фиджи город Сува

    81.13.125.182 Россия Москва

    69.53.63.138 Канзас-Сити

    200.142.108.98 Фиджи город Сува

    по остальным не знаю.

    вот нашел:

    87.67.46.192 Город: Bruxelles, Бельгия

    212.56.56.234 Город: Брайтон, Великобритания
     
    #4 Exile1985, 16 Aug 2006
    Last edited: 16 Aug 2006
  5. max_pain89

    max_pain89 Eat `em UP!

    Joined:
    11 Dec 2004
    Messages:
    451
    Likes Received:
    140
    Reputations:
    146
    А тебе не приходило в голову что это всего лишь зомби? или сокс прокси? Нах тебе место расположение соксов? Да же если бы ты точный адрес назвал, это ничего не даст.
     
  6. D=P=CH= MOD=

    D=P=CH= MOD= Elder - Старейшина

    Joined:
    15 Aug 2006
    Messages:
    249
    Likes Received:
    195
    Reputations:
    15
    Атакует скорее всего один чел, просто IP меняет.

    Если есть бабло и ты на выделенке, то смени ip через провайдера, если атаки продолжатся, то значит кто-то из своих).
     
    1 person likes this.
  7. Exile1985

    Exile1985 Elder - Старейшина

    Joined:
    10 Aug 2006
    Messages:
    124
    Likes Received:
    35
    Reputations:
    1
    я это к тому что связи между этими IP нет никакой кроме одной, атакует один человек, может это и прокси но скорей всего нет.
    искать его толку тоже нет так как с этими машинами он скорее всего соединяется через анонимный прокси, так что проще IP свой сменить и машину свою на уязвимости проверить, да и еще поставить все заплатки, нормальный антивирь поставить, лично я касперскому и dr.web-у не доверяю, после того как у меня лицензионного касперского с последними обновлениями вышибли и половину инфы на компе удалили.
     
  8. Exile1985

    Exile1985 Elder - Старейшина

    Joined:
    10 Aug 2006
    Messages:
    124
    Likes Received:
    35
    Reputations:
    1
    провеляли как к тебе можно залесть
    может у тебя 4899-й порт открыт?
    порты просканили, нашли дыры начала пытаться приконектится, а не была удачной потому что аутпост стоит, и откуда ты знаешь что ни одна не была удачной? Если у него получится к тебе подключится он же тебе об этом не скажет :)
     
  9. Wishmaker

    Wishmaker New Member

    Joined:
    18 May 2006
    Messages:
    8
    Likes Received:
    4
    Reputations:
    1
    Ребята, всем спасибо! Exile1985, мегареспект!!! Нашёл я этого чела, подкараулил и залез когда он ко мне ломился. Всё таки вручную пытался пароль подобрать... (Явно псих). В общем он почитав мой тридцатиэтажный мат и угрозы отформатировать даже его любимую тамагоччу, так тихо и незаметно слился что я подумал что это у меня с инетом проблемы :). Жду продолжения, даже скучно стало...
     
  10. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,191
    Reputations:
    430
    Поправьте, если ошибаюсь, но по-моему аутпост при стандартных настройках не закрывает его...
    Хех, трабла была: Поставил радмин(для нужд), потом удалил, а порт остался открытым, чё только не делал,-разницы никакой. Только потом доперло что отключаются такие дела через службы...;)