Dns-имя атакующего Ozery.info

[Рождённый в Озёрах]

Привет всем!
Вопрос на засыпку- сегодня программа которая защищает меня от просторов интернета выдала такую информацию
Если кто в курсе поясните что это значит и при чем тут ozery.info

ip-адрес 89.111.176.33
DNS-имя атакующего www.ozery.info
ВРЕМЯ СОБЫТИЯ 13:17:47
Сканирование портов TCP (4411, 4401, 4405, 4402, 4403, 4404)

атака повторилась - данные тоже

[=ORG=]

Стоит панда-антивирус?

[Рождённый в Озёрах]

А что это меняет?

[Гость pescherutionok]

[quote name='Рождённый в Озёрах' post='22975' date='26.7.2007, 13:57']Если кто в курсе поясните что это значит и при чем тут ozery.info[/quote]

А у тебя статический IP что-ли ? ... т.е. "белый".
мы его просканировали тоже
root@slackware12:~# nmap -O -P0 89.111.176.33

Starting Nmap 4.20 ( [url="http://insecure.org"]http://insecure.org[/url] ) at 2007-07-27 05:03 CDT
Interesting ports on fe21-1.hc.ru (89.111.176.33):
Not shown: 1688 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
443/tcp open https
623/tcp filtered unknown
664/tcp filtered unknown
1720/tcp filtered H.323/Q.931
3306/tcp open mysql
No OS matches for host
Uptime: 14.319 days (since Thu Jul 12 21:25:10 2007)

OS detection performed. Please report any incorrect results at [url="http://insecure.org/nmap/submit/"]http://insecure.org/nmap/submit/[/url] .
Nmap finished: 1 IP address (1 host up) scanned in 88.734 seconds

Похоже на фрю... Это вообще-то хостеровский сервак. На котором Ozery.info лежит... Если Вы в "серой" подсетке, то просканирвоать вас нельзя... это глюк какой-то или вирус... а если нет, то возможно админ сервака просканировал... что понять What 'da fuck

[Рождённый в Озёрах]

я точно не знаю какой у меня IP серый или белый
но по крайней мере атак на мой компьютер почти нет
атаку определил Outpost Firewall

[Рождённый в Озёрах]

16-46мин - еще одна атака - сканирование портов
послал - письмо админу
ни там ни здесь - внятных пояснений от владельцев сайта и админа не слышно - какие ваши мнения по этому поводу?
свои версии оперативно выдвинули люди не имеющие отношение к сайту ozery.info - я так понял

[admin]

[quote name='Рождённый в Озёрах' post='22991' date='26.7.2007, 17:00']16-46мин - еще одна атака - сканирование портов
послал - письмо админу
ни там ни здесь - внятных пояснений от владельцев сайта и админа не слышно - какие ваши мнения по этому поводу?
свои версии оперативно выдвинули люди не имеющие отношение к сайту ozery.info - я так понял[/quote]
[b]pescherutionok[/b], очень даже имеет отношение, он доктор наук, программист, вообщем единственный человек, кто может знать проблему изнутри! Он сайт [b]OZERY.info[/b] видит как ренген скелет! Мы же, [u]админы[/u] следим за "чистотой" форума, сайта. Убираем спам и прочий мусор. К программированию и атакам отношения не имеем!

[Рождённый в Озёрах]

[quote]Он сайт OZERY.info видит как ренген скелет[/quote]
тогда тоже интересно - почему они продолжаются под вашим именем ozery.info и портят вам репутацию - разберитесь с этим делом до конца
я думаю это может касаться всех - просто многие на защиту совсем не обращают внимание до поры до времени

[=ORG=]

От себя добавлю - список администраторов и модераторов форума вы можете увидеть в нижней части форума, вкладка администрация.

Так детально как ответил Вам коллега "pescherutionok" я бы Вам не ответил.

P.S. Запрос хостеру об этом оправлен, будем ждать ответа... И вдобавок, напишите какой у вас тип подключения к нету: LAN, ADSL, модем?

[driver]

[b]По всей видимости IP ,,БЕЛЫЙ,,[/b]


(IP/Domain: 89.111.176.33)
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See [url="http://www.ripe.net/db/copyright.html"]http://www.ripe.net/db/copyright.html[/url]

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '89.111.176.0 - 89.111.191.255'

inetnum: 89.111.176.0 - 89.111.191.255
netname: CENTROHOST-NET
descr: JSC Centrohost
country: RU
org: ORG-JC13-RIPE
admin-c: IA327-RIPE
tech-c: IA327-RIPE
status: ASSIGNED PA
mnt-by: PAN1-RIPE-MNT
mnt-lower: PAN1-RIPE-MNT
mnt-routes: PAN1-RIPE-MNT
mnt-domains: IA327-RIPE-MNT
source: RIPE # Filtered

organisation: ORG-JC13-RIPE
org-name: JSC Centrohost
org-type: OTHER
descr: JSC Centrohost
address: 78, Profsojuznaya str.,
address: Moscow, Russia, 117393
phone: +7 495 3630309
phone: +7 495 3630318
admin-c: IA327-RIPE
tech-c: IA327-RIPE
mnt-ref: PAN1-RIPE-MNT
abuse-mailbox: abuse@hc.ru
mnt-by: PAN1-RIPE-MNT
source: RIPE # Filtered

person: Ivan Albetkov
address: Hosting-Center LTD
address: 22, Litovsky bulvar
address: Moscow, Russia, 117588
phone: +7 495 5445566
remarks: **************************************************
remarks: Please send abuse and spam reports to abuse@hc.ru
remarks: **************************************************
nic-hdl: IA327-RIPE
mnt-by: IA327-RIPE-MNT
source: RIPE # Filtered

% Information related to '89.111.176.0/20AS41126'

route: 89.111.176.0/20
descr: JSC Centrohost route
origin: AS41126
mnt-by: PAN1-RIPE-MNT
source: RIPE # Filtered



[b]вероятно, аутпост принял битые пакеты за атаку.

Ето нормально .... [/b]

[Гость pescherutionok]

[quote name='driver' post='23002' date='26.7.2007, 17:57'][b]По всей видимости IP ,,БЕЛЫЙ,,[/b][/quote]

То что 89.0.0.0 белый это коню понятно ...
"Серые " means 192.168.0.0/16, 10.0.0.0/8, 173.0.0.0/8

вобщем-то смысла делать обратное преобразование IP->Domain name посредство [b]whois[/b] нету...

Другое дело как они "серую ветку" могут сканить ? бред какой-то ... Допустим кто-то взломал себе shell на хостерском серваке... логично что он начнет сканить все что лежит в [b]last[/b] на предмет поиска соседнего сервера с которым связан данный сервер... Потому что в 90% случаях можно взломать и его , так как в /users/.known_nown_hosts DSA_KEY лежит ключ для беспарольного входа, чтобы злоумышленник со сниферром на вскидку не перехватил сессию... (так обычно шеллы и взламывают, а не пароли расшифровывают... просто терпение вместе с ssh_nuke)... кароче .. мое мнение... их ломанули если такое происходит и Вы при этом имеете Static IP. Однако во всех других случаях это невозможно... за NATом вас не видно ... просканить нет возможности... а ответ все равно не получиль, так как "серые" рубятся на маршрутизаторах жестко... интересно перехватить пакет и посомтреть его содержимое... есть такой софт под windows ? я не знаю ... Тогда сразу бы стало понятно что и почем.

Хотя постойте... совсем старый стал ...

Сканирование портов TCP (4411, 4401, 4405, 4402, 4403, 4404)

Данные порты Винде дают RPC-Call ... Значит это вирус пытающийся напрямую заразить машину и сделать из нее зомбязника... это говорит о том, что в вашей подседке уже есть тачка которая им заражена... а чтоб узнать нужно MAC адрес узнать (он то останется прежним, так как при новом MAC передача через свитч невозможна из-за не быстро меняющихся arp-таблиц, вообще у нормальных людей она статическая... будем исходить из предположения, что они[провайдер] ненормальные), а IP явно перехвачен сниффером и используется как подставной. После того как узнаете MAC ... делайте [b]arping MAC[/b] и узнаете настоящий IP тачки в вашей подсети... которая очевидно заражена...

[Рождённый в Озёрах]

для сведения- мой доступ в интернет ADSL
00000000000000000
спасибо за грамотные советы но сам я наверно без стакана не разберусь ;-))

[Гость pescherutionok]

[quote name='Рождённый в Озёрах' post='23004' date='26.7.2007, 18:34']для сведения- мой доступ в интернет ADSL
00000000000000000
спасибо за грамотные советы но сам я наверно без стакана не разберусь ;-))[/quote]

Кстати может быть у тебя самого вирус стоит ... Просто он пакеты шлет через chain which is [b]outgoing[/b] , а приходят они на уровень [b]incoming[/b] , который и прослушывает firewall и выдает подобные сообщения. Я думаю, что порты 4000-... реально по сетке не лазают... их на маршрутизаторах перекрыли после двуххгодичной давности массовой атаки на RPC-Call ...

[Рождённый в Озёрах]

[quote]Кстати может быть у тебя самого вирус стоит[/quote]
все может быть - кто без греха ;-)
но только недавно капитально все почистил всю заразу на своем компьтере тремя разными программами и сейчас параллельно работают аж два антивируса
Правда регулярно выявляется один и тотже не помню щас название - начинается на A и кончается цифрами
Самое интересное все время прибавляется порядковый номер при обнаружении в самом названии это вируса или как его не знаю
Хочу заодно спросить - что это
полное название могу прислать как только снова появиться
Но в любом случае такого сканирования до этого не было

[Рождённый в Озёрах]

вот он - A0050803.exe
интересно то что программа пишет что он находиться в папке sistem volume iformation - такой папки на том диске у меня вообще нет

на этом пока все - сегодня атак не было
больше загружать форум своими вопросами не буду ;-))

[Рождённый в Озёрах]

выяснил что это - Virus: Worm/Allaple.Gen
как его ликвидировать - не знаю - антивирус не помогает ;-((
извините ежели что не так

[Dancer]

[quote name='Рождённый в Озёрах' post='23081' date='27.7.2007, 13:40']выяснил что это - Virus: Worm/Allaple.Gen
как его ликвидировать - не знаю - антивирус не помогает ;-(([/quote]

Попробуй бесплатную антивирусный сервис, уникальную лечащую утилиту CureIt, скачать тут [url="http://www.dr-web.ru/1/drweb_download.htm"]http://www.dr-web.ru/1/drweb_download.htm[/url]

[driver]

[quote name='Рождённый в Озёрах' post='23039' date='27.7.2007, 9:58']вот он - A0050803.exe
интересно то что программа пишет что он находиться в папке sistem volume iformation - такой папки на том диске у меня вообще нет[/quote]
Скорее всего это [b]СКРЫТАЯ[/b] папка.... Открой доступ к скрытым файлам - наверняка там и sistem volume iformation с A0050803.exe есть...
[quote]выяснил что это - Virus: Worm/Allaple.Gen
как его ликвидировать - не знаю - антивирус не помогает[/quote]
Настрой антивирус на поиск в скрытых файлах и архивах...

[Alexozery]

[quote name='Рождённый в Озёрах' post='23081' date='27.7.2007, 13:40']выяснил что это - Virus: Worm/Allaple.Gen
как его ликвидировать - не знаю - антивирус не помогает ;-((
извините ежели что не так[/quote]
Не нужен никакой антивирус.
Запусти эту прогу, которую я прикрепил. Все вычислишь быстро. И вручную убей. Или с помощью это проги.

[Гость pescherutionok]

по хорошему нужно Винду обновить .. типа до последнего патча. Надеюсь она у тебя лицензионная ?... Если нет, то качай с ихнего сервака заплатки и устанавливай их поочереди... или в admin tools выруби RPC-call как процесс... До сих пор не понимаю нахера он винде нужен.

[Рождённый в Озёрах]

Попробовал бесплатную антивирусный сервис, уникальную лечащую утилиту CureIt
рекомендую тоже - простая и эффективная
нашла пару троянов дополнительно -те антивирусы что у меня стоят на компьтере их не обнаруживали
Всем спасибо

[Alexozery]

[quote name='Рождённый в Озёрах' post='23125' date='27.7.2007, 20:52']Попробовал бесплатную антивирусный сервис, уникальную лечащую утилиту CureIt
рекомендую тоже - простая и эффективная
нашла пару троянов дополнительно -те антивирусы что у меня стоят на компьтере их не обнаруживали
Всем спасибо[/quote]
Попробуй прогнать этой штукой - [url="http://www.ozery.info/forum/index.php?showtopic=469&pid=22687&st=25&#entry22687"]http://www.ozery.info/forum/index.php?show...amp;#entry22687[/url]
NOD 32

[Рождённый в Озёрах]

сейчас outpost обнаружил очередную атаку - вирусы почищены дальше некуда
правда номера портов изменились -не нравиться мне все это ;-((
22:57:33
тип атаки -Сканирование портов
ip-адрес www.ozery.info
просканированны порты TCP (1517, 1518, 1519, 1510, 1520, 1312)

[Malefik]

товарищи, что ж вы тут расфлудились?)) Я вот не вижу причин для паники, потому как на портах этих, скорее всего, у вас не висит никакого ПО. Слушает их только фаерволл. Само сканирование не является опасным, так как максимум позволяет выяснить какие порты открыты и, если они открыты, что за ПО его слушает. если у вас нет программ (в тч и вирусных), использующих эти порты, то можно спать спокойно Так что вы просто не правильно расценили тему вопроса.
Я думаю тут вопрос не в угрозе безопасности, а в том, кто же эти порты сканирует и зачем?
Не могли бы вы уточнить, это происходит именно на сайте, или при входе на форум?
И во-вторых у вас статический IP или динамика? С последним жить проще)) И в какой то малой степени безопаснее.
Так же насчет троянов хотел спросить, что это были за трояны? На каких портах работали?
Ах! Совсем забыл. Для справки: System Volume information это скрытая системная папка, меющаяся на каждом разделе жесткого диска, в которой содержатся контрольные точки восстановления системы (резервные копии файлов) и еще кое-какая системная инфа. Идеальное место для сокрытия вируса от нешарящих людей.

[Гость pescherutionok]

Считаю что 90% всех виндовских проблем только из-за одного.. почему-то практически все работают от имени юзера, который имеет права администратора... вы видели где-нить нормального человека в linux-Unix который бы работал из под root ?