ZoneAlarm alertyi logi

karo · 27 Październik 2004 16:12

Description Packet sent from 192.168.3.109 (TCP Port 4623) to 192.168.3.174 (TCP Port 135) was blocked

Rating Medium

Date / Time 2004/10/27 17:55:14+2:00 GMT

Type Firewall

Protocol TCP (flags:S)

Program

Source IP 192.168.3.109:4623

Destination IP 192.168.3.174:135

Direction Incoming

Action Taken Blocked

Count 1

Source DNS

Destination DNS ROM

Czy może miktoś to wytłumaczyć. Co kilka minut coś takiego się pojawia.Zmieniają się tylko trzy ostatnie cyferki w Source IP.

fiesta · 27 Październik 2004 17:07

Ktoś pewnie wysyła pakiety do Twojego komputera programikiem który generuje numery IP (SoUrce IP to adres atakującego). Nie znam Zone alarma bo nigdy go nie stosowałem ale sprawdź czy w opcjach programu nie ma możliwości zablokowania delikwenta na podstawie pierwszych członów adresu IP (bez maski podsieci)

karo · 27 Październik 2004 18:30

Nie za bardzo znalazłam(kiepski anglik) ale czy zauważyłeś w rubryce ACTION TAKEN pisze BLOCKED więc myślę , że ZA blokuje ten program.Pozatym mam ustawiony najwyższy poziom zabazpieczenia w INTERNET ZONE SECURITY — HIGH tzw STEALTH. Dziękuję za pomoc

golden_finger · 27 Październik 2004 19:21

Karo, opisz swoją sieć. Czy łączysz się bezpośrednio czy przez jakiś router czy może lokalny serwer etc.

Ile kart sieciowych masz w kompie?

Wpisz polecenie z Wiersza poleceń - ipconfig /all i zobacz jakie adresy masz przypisane dla karty (kart sieciowych).

Czy masz połączenia z jakimiś innymi kompami loklanie?

Cytowane adresy należą do puli adresów prywatnych tzn. że nie są routowalne w sieci rozległej WAN jakim jest Internet, a służą do adresowania w loklanych sieci (LAN).

:okulary:

karo · 27 Październik 2004 19:39

Do internetu podłączona jestem poprzez sieć osiedlową ,sygnał jest rożdzielany w jakimś tam urządzeniu na kilkanaście kompów

Mam 1 kartę sieciową

Nie jestem połączona z żadnym kompem-mam wyłączone udostępnianie,w sieci lokalnej wogule nie jestem widoczna.

Zrobiłam test na symantecu i tylko to było na minus SSH. TCP connections to this port might indicate a search for SSH, which has a few exploitable features. SSH is a secure replacement for Telnet. The most common uses of SSH are to securely login and copy files from a server.

Nie zdążyłam jeszcze tego przetłumaczyć

golden_finger · 27 Październik 2004 19:53

Więc to jest z Twojej sieci osiedlowej, możesz sprawdzić lub dowiedzieć się u adminstratora sieci kto ma przypisane owe adrsy z puli 192.168.3.xxx

W sieci ktoś może mieć zarażony system i dlatego są takie komunikaty do wejścia na Twój komp.

Albo ktoś bawi się usługą posłaniec

Na porcie 135/TCP znajduję się usługa Microsoft RPC Endpoint Mapper. Pełni ona podobne funkcje, co usługa portmap na porcie 111 dla systemów Unix. W 2003 roku w Microsoft RPC znaleziono poważne luki, umożliwiające zdalne wykonywanie dowolnego kodu z uprawnieniami systemu. Jedna z tych luk stała się podstawą wielu robaków, z których najbardziej znane to robaki Blaster oraz Nachi/Welchia. Większość prób wykorzystania luk na tym porcie wykonywana jest przez wyżej wymienione robaki i ich mutacje, oraz trojana Agobot/Phatbot. Przed pojawieniem się tych robaków, skanowanie tego portu było popularne, ze względu na możliwości sprawdzenia za ich pośrednictwem, jakie usługi są świadczone przez system Windows. Port 135/UDP jest też często wykorzystywany do wysyłania komunikatów typu winpopup przez Windows Messenger Service (WMS - w polskiej wersji językowej Windows serwis znany jako usługa Posłaniec), co czyni ten port celem ataku spamerów. W związku z tym, że port 135 jest często blokowany przez operatorów Internetowych, część spamerów przerzuciło się na porty 1025-1028, pod którymi usługa WMS jest często bezpośrednio dostępna.

:okulary:

karo · 27 Październik 2004 20:03

Bardzo Ci dziękuję Golden Finger .