Je tohle pokus o napadení mého PC z netu?

[Vykuk]

Nejdříve vás musím upozornit, že jsem v tomto oboru (hacking, cracking apod.) naprostá lama, takže se pls nesmějte, pouze mi odpovězte...
(případně přesuňte do správné sekce, díky)

Na mém poči, kde běží WinXP Prof SP1 + all critical updates, mám ještě nainstalovaný pravidelně aktualizovaný firewall...

Už nějakou dobu si platím u Karnevalu pevnou IP adresu a v poslední době jsem si zjistil, že na neveřejné IP, kterou jsem měl půl roku došlo celkem ke dvou podobným atakům, ale na pevné IP se jedná tak o jeden "problém" za den...

Dnes jsem ale přišel z práce a mám v bezpečnostním logu 8 pokusů o vniknutí pomocí trojského koně, dle logu bylo vše úspěšně zablokováno... no a visual tracker ukazuje toto:


Z toho nástroje pro lamy jako jsem já je vidět, že se jedná o kompl v síti Karnevalu (Tesmedia) - Ostrava, jeho IP je tam taky (a podle tvaru je taky "pevná", takže asi není problém zjistit komu patří).

No a můj dotaz zní:
Dá se proti takovému "útoku" nějak bránit, kromě používání firewallu? (v případě útoků ze zahraničí - u mne pravidelně všechny možné univerzity po celém světě - Londýn, Sydney apod. - asi těžko)
Myslím to tak, jestli má smysl "bonznout" tuto činnost přímo někomu od karnevalu

Do teď to bylo 8x neúspěšně, ale nechci mu dát další šanci

Lama Vykuk

[KUBA]

A jakej konkrétněji to byl druh útoku?

Ono to dost možná nemusí bejt hacker, ale třeba jen někdo s pevnou IP, kdo nemá zabezpečenej počítač a nastěhovala se mu to všelijaká havět, která pak může dělat takový věci.

[Vykuk]

No nic víc z logu asi nevytáhnu:

Default Block NetBus Trojan horse" blocked (81.27.198.70,NetBus(12345))
Inbound TCP connection
Local address,service is (HOME(xxx.xxx.xxx.xxx),NetBus(12345))
Remote address,service is (81.27.198.70,1166)
Process name is "N/A"



Dotaz 2:
na poči mi dále běží webservr (HTTP) a FTPko - zaheslovaný (oboje přes PinkNet Web Server 2.0.2) a dále ještě real VNC - taky zaheslovaný...
Je provoz těchto aplikací nějak nebezpečný?

Security check od symantecu mi právě poukazuje na port 21 (FTP) a port 80 (HTTP) + port 443 (HTTP over TLS/SSL).

Bezpečný pro mne znamená, že mi někdo "nesmaže" nic jinýho než najde na web servru případně na ftpku.

[KUBA]

Bál bych se hlavně toho VNC, pokud vím, tak heslo posílaný sítí nešifruje, což je riziko. FTP taky tak.

[Jezevec]

tak tak, heslo ftp lez odchytit, VNC, pokud ho neskombinujes s kryptovanim (ssl) je taky zachytitelny. A co ti smaze pres web srv zalezi na tom jaky diry ten server ma .

[Fox!MURDER]

Pomoooooooooooc hackeriiiiiiiiiiii.
mely by se delat firewally ktery nebudou nic ukazovat nebo vypisovat a proste vsechno tise blokovat .... vono by vas to pak tolik nestrasilo ...

[Vykuk]

Pomoooooooooooc hackeriiiiiiiiiiii.
mely by se delat firewally ktery nebudou nic ukazovat nebo vypisovat a proste vsechno tise blokovat .... vono by vas to pak tolik nestrasilo ...

No tvůj postoj k visual tracerům je mi už znám... a k vyplašenejm uživatelům jakbysmet

Jak jsem napsal, jsem v tom lama, tak se ptám

Jde mi pouze o to, zda má smysl s tím něco dělat... třeba napsat adminovi sítě stížnost a taky o to, jestli je to úmyslný nebo nechtěný útok z nezabezpečeného počítače... (jestli to lze z toho logu poznat) kapiš to?

[Fox!MURDER]

poznat se to neda
dokud je to jen prichozi konekce tak je to proste akorat nekdo kdo hleda deravy pocitace. Dokud mas ten FW nakonfigurovanej tak aby konekce ktery nechces (tj. mimo povoleny porty) blokoval tak neni co resit.
Nahlasit to muzes ale prosimte neposilej zadnej visual traceroute nebo podobnou hovadinu. Jediny co ma smysl posilat je ten LOG z firewallu. (ISP s tim muze neco udelat (vpodstate je to service abuse) a taky se na tebe muze vykaslat (neni nijak zavaznej))

jinak ja mam pocitac v nasem sluzebnim cecku a je tu takovyho bordelu pres 500 "utoku"/den. A jediny rozumny reseni je posledni nederavej software, firewall blokujici vsechno na cem nemas zajem a antivir .

Edit: jo a co se tyce bezpecnosti FTP/HTTP tak to jesli ti nekdo smaze i neco jinyho zavisi na tom jestli:
a) jsou ty sluzby bezpecny
b) ti bezej pod administratorem nebo jinym user uctem.

[Vykuk]

Díky za vysvětlení, přesně tohle jsem potřeboval vědět...

[Tantalos]

Tak tak, "útoků" je klidně několik stovek denně. Většinou se jedná o obyčejné port-scany, ale poslední dobou i viry, resp. zavirované PC, které zkoušejí průnik, nemusí se tedy ani jednat o úmysl. Nejdůležitější je mít dobrý firewall a aktualizovaný antivir. Mě osobně to prozatím stačilo.