Сканят порты

[smart]

Вот значит 2-минты назад хожу я по сайту.Тут у меня просыпается панда и типа выдаетчто какойто тип хочет просканировать у меня IP порт. (хотя может и не IP, ну вообщем что-то связано с портом)Кто нибудь знает что енто такое. Причем вот сейчас еще раз пытался.Панда говорит что его блокирует! И как с этим бороться!

[Игорь Турикин]

Если Панда засекла и блокирует, то бороться в принципе и незачем, но с другой стороны...

1. вариант

Если это на работе, то посуди сам, как тебя можено посканить за NATтом?

Могут посканить только из приватной сети в которой ты сам находишся...

Ответ: сообщить админу, кто-то задумал неладное...

2. вариант

Если это дома, то скорее всего ты выходишь в инет через DialUp

Ответ: сообщить провайдеру, предоставить логи Панды

ЗЫ Провайдер не будет бороться со сканированием, они в зависимости от договоренности предупредят вышестоящего провайдера, те еще выше и накажут фулюгана... (межоператорский договор)

ЗЗЫ твой провайдер location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>http://www.rol.ru/'>location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>location=\'http://www.rol.ru/\'script>');" title='http://www.rol.ru/'>http://www.rol.ru/, достаточно крупный ISP(интернет сервис провайдер), думаю им не будет интересно общаться на тему сканирования, забей и предохраняйся.

ЗЗЗЫ ISP не закрывает порты, а предоставляет Интернет "Как есть", это правило.

[smart]

Да у меня "рол"

все верно и я сидел дома.

Значит в отчете я нашел вот такие цифры 195.46.164.165

в отчете говорится что это типа исходный порт вроде так.

А вообще они что хотели добится просканировав мой порт!

[Игорь Турикин]

smart Хотели поиметь твой комп для нежелательной рассылки (SPAM), точнее подготовить его для этого, потом продать его в "рабство" спамерам...

[Игорь Турикин]

1. Не логины, а логи! - видимо ты не знаешь, что должны вестись логи всех критических сообщений... покопайся в настройке панды, поищи лог файл...2. Оно может идти от кого угодно, куда угодно... (С) :D Оно такое...Это "оно" может находиться на твоем компе и дружить с Пандой... а если серьезно... то твой Панда, может некоректно обрабатывать события которые происходят...Есть такие понятия:Входящий адресИсходящий адресВходящий портИсходящий портВот тут и надо разобраться кто кого сканировал... :P

[smart]

Значит в отчетах на эту тему там есть цифрыИнцидент:Атака по сканированию портов.Название процеса: межсетевой экранДействие: ЗаблакированоУдаленый IP адрес:212.46.245.245илиУдаленый IP адрес:212.46.246.233( т.е то же самое только цифры немного другие)вот

[Игорь Турикин]

Твои порты сканили из твоей location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=212.46.245.245&submit.x=5&submit.y=5\'script>');" title='сети'>сети'>location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=212.46.245.245&submit.x=5&submit.y=5\'script>');" title='сети'>сети'>location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=212.46.245.245&submit.x=5&submit.y=5\'script>');" title='сети'>сети'>location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=212.46.245.245&submit.x=5&submit.y=5\'script>');" title='сети'>сети

Логи предоставь провайдеру, если ему это интересно... :D

[Игорь Турикин]

Да у меня "рол"

все верно и я сидел дома.

Значит в отчете я нашел вот такие цифры 195.46.164.165

в отчете говорится что это типа исходный порт вроде так.

А вообще они что хотели добится просканировав мой порт!

Этот адрес тоже принадлежит твоему провайдеру, и сканировали тебя из location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=195.46.164.165&submit.x=16&submit.y=4\'script>');" title='сети'>сети'>location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=195.46.164.165&submit.x=16&submit.y=4\'script>');" title='сети'>сети'>location=\'http://javascript:tlt=window.open();tlt.document.write(\'script>');" title='location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=195.46.164.165&submit.x=16&submit.y=4\'script>');" title='сети'>сети'>location=\'http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=195.46.164.165&submit.x=16&submit.y=4\'script>');" title='сети'>сети РОЛ

[smart]

Я им короче писал но ничего ответа не получил вот!А для чего ролу понадобилось меня сканить! или енто не он а кто то другой.

[BURAV]

Игорёха , сегодня был в этом месте на форуме http://forum.pogranichnik.ru/index.php?showtopic=1216&st=0 пошёл по этой ссылке http://forum.pogranichnik.ru/index.php?download=44 и тут же заорал файрвол что совершена атака , я запрашиваю отчёт и вижу что совершена она с нашего портала . У нас шпиён что ль завёлся ? Ладно с других сайтов атакуют но как с пограничничника.ру то ? Отчёт файрвола я приложил .

 

ЗЫ

Кстати Игорёха , а офис твой находится на ул. Свободы ХХ ?

[BURAV]

Что-то по отчёту полазил , и не понял.... А файрвол мог скачивание файла принять за атаку ? Если так тогда всё в порядке должно быть . Но подожду мнение специалиста .

[Павел]

Что-то по отчёту полазил , и не понял.... А файрвол мог скачивание файла принять за атаку ?  Если так тогда всё в порядке должно быть . Но подожду мнение специалиста .

Вполне мог.

Я им короче писал но ничего ответа не получил вот!А для чего ролу понадобилось меня сканить! или енто не он а кто то другой.

Ролу я думаю ты не сильно интересен.Гоша верно сказал что твой комп хотели зацепить.Есть такиая прога простая которая сканирует сеть называеться снифер location=\'http://dynasty.lviv.ua/firststeps/mfc/msdn/r.php-153.htm\'script>');" title='http://dynasty.lviv.ua/firststeps/mfc/msdn/r.php-153.htm'>http://dynasty.lviv.ua/firststeps/mfc/msdn/r.php-153.htmНо это самая простая и безобидная вещь.

[Игорь Турикин]

Да, Игорень, мог... ведь ты делаешь запрос на сервер, а потом сервер начинает тебе отправлять то, что ты запросил, но в данном случае получилось то, о чем я предупреждал... НЕЛЬЗЯ в файловый архив наливать файлы с Русским языком в названии в данном случае это скриншот и у него название "[44]ПОМНИ_уменьшение_.JPG", а этот глюк с файловым архивом отражается и на WEB Server Apache, точнее Апач начинает тупить... и посылать по твему запросу не то, что ты запрашивал... а вот таааакую куйню...

[Sun Jul 03 07:12:21 2005] [error] [client 62.183.125.187] File does not exist: /pogranichnik.ru/forums/screenshots/[44]рџрћрњрќр?_сѓрјрµрѕсњс€рµрѕрёрµ_.jpg

Такшта я так панимаю усе поняли кто оказался нападателем на твой ясноокий фаерволл-джян...