Dns-имя атакующего Ozery.info

[Рождённый в Озёрах]

Привет всем!

Вопрос на засыпку- сегодня программа которая защищает меня от просторов интернета выдала такую информацию

Если кто в курсе поясните что это значит и при чем тут ozery.info

 

ip-адрес 89.111.176.33

DNS-имя атакующего www.ozery.info

ВРЕМЯ СОБЫТИЯ 13:17:47

Сканирование портов TCP (4411, 4401, 4405, 4402, 4403, 4404)

 

атака повторилась - данные тоже

[=ORG=]

Стоит панда-антивирус?

[Рождённый в Озёрах]

А что это меняет?

[Гость pescherutionok]

Если кто в курсе поясните что это значит и при чем тут ozery.info

 

А у тебя статический IP что-ли ? ... т.е. "белый".

мы его просканировали тоже

root@slackware12:~# nmap -O -P0 89.111.176.33

 

Starting Nmap 4.20 ( http://insecure.org ) at 2007-07-27 05:03 CDT

Interesting ports on fe21-1.hc.ru (89.111.176.33):

Not shown: 1688 closed ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

25/tcp open smtp

80/tcp open http

443/tcp open https

623/tcp filtered unknown

664/tcp filtered unknown

1720/tcp filtered H.323/Q.931

3306/tcp open mysql

No OS matches for host

Uptime: 14.319 days (since Thu Jul 12 21:25:10 2007)

 

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .

Nmap finished: 1 IP address (1 host up) scanned in 88.734 seconds

 

Похоже на фрю... Это вообще-то хостеровский сервак. На котором Ozery.info лежит... Если Вы в "серой" подсетке, то просканирвоать вас нельзя... это глюк какой-то или вирус... а если нет, то возможно админ сервака просканировал... что понять What 'da fuck

[Рождённый в Озёрах]

я точно не знаю какой у меня IP серый или белый

но по крайней мере атак на мой компьютер почти нет

атаку определил Outpost Firewall

[Рождённый в Озёрах]

16-46мин - еще одна атака - сканирование портов

послал - письмо админу

ни там ни здесь - внятных пояснений от владельцев сайта и админа не слышно - какие ваши мнения по этому поводу?

свои версии оперативно выдвинули люди не имеющие отношение к сайту ozery.info - я так понял

[admin]

16-46мин - еще одна атака - сканирование портов

послал - письмо админу

ни там ни здесь - внятных пояснений от владельцев сайта и админа не слышно - какие ваши мнения по этому поводу?

свои версии оперативно выдвинули люди не имеющие отношение к сайту ozery.info - я так понял

pescherutionok, очень даже имеет отношение, он доктор наук, программист, вообщем единственный человек, кто может знать проблему изнутри! Он сайт OZERY.info видит как ренген скелет! Мы же, админы следим за "чистотой" форума, сайта. Убираем спам и прочий мусор. К программированию и атакам отношения не имеем!

[Рождённый в Озёрах]

Он сайт OZERY.info видит как ренген скелет

тогда тоже интересно - почему они продолжаются под вашим именем ozery.info и портят вам репутацию - разберитесь с этим делом до конца

я думаю это может касаться всех - просто многие на защиту совсем не обращают внимание до поры до времени

[=ORG=]

От себя добавлю - список администраторов и модераторов форума вы можете увидеть в нижней части форума, вкладка администрация.

 

Так детально как ответил Вам коллега "pescherutionok" я бы Вам не ответил.

 

P.S. Запрос хостеру об этом оправлен, будем ждать ответа... И вдобавок, напишите какой у вас тип подключения к нету: LAN, ADSL, модем?

[driver]

По всей видимости IP ,,БЕЛЫЙ,,

 

 

(IP/Domain: 89.111.176.33)

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.

 

% Information related to '89.111.176.0 - 89.111.191.255'

 

inetnum: 89.111.176.0 - 89.111.191.255

netname: CENTROHOST-NET

descr: JSC Centrohost

country: RU

org: ORG-JC13-RIPE

admin-c: IA327-RIPE

tech-c: IA327-RIPE

status: ASSIGNED PA

mnt-by: PAN1-RIPE-MNT

mnt-lower: PAN1-RIPE-MNT

mnt-routes: PAN1-RIPE-MNT

mnt-domains: IA327-RIPE-MNT

source: RIPE # Filtered

 

organisation: ORG-JC13-RIPE

org-name: JSC Centrohost

org-type: OTHER

descr: JSC Centrohost

address: 78, Profsojuznaya str.,

address: Moscow, Russia, 117393

phone: +7 495 3630309

phone: +7 495 3630318

admin-c: IA327-RIPE

tech-c: IA327-RIPE

mnt-ref: PAN1-RIPE-MNT

abuse-mailbox: abuse@hc.ru

mnt-by: PAN1-RIPE-MNT

source: RIPE # Filtered

 

person: Ivan Albetkov

address: Hosting-Center LTD

address: 22, Litovsky bulvar

address: Moscow, Russia, 117588

phone: +7 495 5445566

remarks: **************************************************

remarks: Please send abuse and spam reports to abuse@hc.ru

remarks: **************************************************

nic-hdl: IA327-RIPE

mnt-by: IA327-RIPE-MNT

source: RIPE # Filtered

 

% Information related to '89.111.176.0/20AS41126'

 

route: 89.111.176.0/20

descr: JSC Centrohost route

origin: AS41126

mnt-by: PAN1-RIPE-MNT

source: RIPE # Filtered

 

 

 

вероятно, аутпост принял битые пакеты за атаку.

 

Ето нормально ....

[Гость pescherutionok]

По всей видимости IP ,,БЕЛЫЙ,,

 

То что 89.0.0.0 белый это коню понятно ...

"Серые " means 192.168.0.0/16, 10.0.0.0/8, 173.0.0.0/8

 

вобщем-то смысла делать обратное преобразование IP->Domain name посредство whois нету...

 

Другое дело как они "серую ветку" могут сканить ? бред какой-то ... Допустим кто-то взломал себе shell на хостерском серваке... логично что он начнет сканить все что лежит в last на предмет поиска соседнего сервера с которым связан данный сервер... Потому что в 90% случаях можно взломать и его , так как в /users/.known_nown_hosts DSA_KEY лежит ключ для беспарольного входа, чтобы злоумышленник со сниферром на вскидку не перехватил сессию... (так обычно шеллы и взламывают, а не пароли расшифровывают... просто терпение вместе с ssh_nuke)... кароче .. мое мнение... их ломанули если такое происходит и Вы при этом имеете Static IP. Однако во всех других случаях это невозможно... за NATом вас не видно ... просканить нет возможности... а ответ все равно не получиль, так как "серые" рубятся на маршрутизаторах жестко... интересно перехватить пакет и посомтреть его содержимое... есть такой софт под windows ? я не знаю ... Тогда сразу бы стало понятно что и почем.

 

Хотя постойте... совсем старый стал ...

 

Сканирование портов TCP (4411, 4401, 4405, 4402, 4403, 4404)

 

Данные порты Винде дают RPC-Call ... Значит это вирус пытающийся напрямую заразить машину и сделать из нее зомбязника... это говорит о том, что в вашей подседке уже есть тачка которая им заражена... а чтоб узнать нужно MAC адрес узнать (он то останется прежним, так как при новом MAC передача через свитч невозможна из-за не быстро меняющихся arp-таблиц, вообще у нормальных людей она статическая... будем исходить из предположения, что они[провайдер] ненормальные), а IP явно перехвачен сниффером и используется как подставной. После того как узнаете MAC ... делайте arping MAC и узнаете настоящий IP тачки в вашей подсети... которая очевидно заражена...

[Рождённый в Озёрах]

для сведения- мой доступ в интернет ADSL

00000000000000000

спасибо за грамотные советы но сам я наверно без стакана не разберусь ;-))

[Гость pescherutionok]

для сведения- мой доступ в интернет ADSL

00000000000000000

спасибо за грамотные советы но сам я наверно без стакана не разберусь ;-))

 

Кстати может быть у тебя самого вирус стоит ... Просто он пакеты шлет через chain which is outgoing , а приходят они на уровень incoming , который и прослушывает firewall и выдает подобные сообщения. Я думаю, что порты 4000-... реально по сетке не лазают... их на маршрутизаторах перекрыли после двуххгодичной давности массовой атаки на RPC-Call ...

[Рождённый в Озёрах]

Кстати может быть у тебя самого вирус стоит

все может быть - кто без греха ;-)

но только недавно капитально все почистил всю заразу на своем компьтере тремя разными программами и сейчас параллельно работают аж два антивируса

Правда регулярно выявляется один и тотже не помню щас название - начинается на A и кончается цифрами

Самое интересное все время прибавляется порядковый номер при обнаружении в самом названии это вируса или как его не знаю

Хочу заодно спросить - что это

полное название могу прислать как только снова появиться

Но в любом случае такого сканирования до этого не было

[Рождённый в Озёрах]

вот он - A0050803.exe

интересно то что программа пишет что он находиться в папке sistem volume iformation - такой папки на том диске у меня вообще нет

 

на этом пока все - сегодня атак не было

больше загружать форум своими вопросами не буду ;-))

[Рождённый в Озёрах]

выяснил что это - Virus: Worm/Allaple.Gen

как его ликвидировать - не знаю - антивирус не помогает ;-((

извините ежели что не так

[Dancer]

выяснил что это - Virus: Worm/Allaple.Gen

как его ликвидировать - не знаю - антивирус не помогает ;-((

 

Попробуй бесплатную антивирусный сервис, уникальную лечащую утилиту CureIt, скачать тут http://www.dr-web.ru/1/drweb_download.htm

[driver]

вот он - A0050803.exe

интересно то что программа пишет что он находиться в папке sistem volume iformation - такой папки на том диске у меня вообще нет

Скорее всего это СКРЫТАЯ папка.... Открой доступ к скрытым файлам - наверняка там и sistem volume iformation с A0050803.exe есть...

выяснил что это - Virus: Worm/Allaple.Gen

как его ликвидировать - не знаю - антивирус не помогает

Настрой антивирус на поиск в скрытых файлах и архивах...

[Alexozery]

выяснил что это - Virus: Worm/Allaple.Gen

как его ликвидировать - не знаю - антивирус не помогает ;-((

извините ежели что не так

Не нужен никакой антивирус.

Запусти эту прогу, которую я прикрепил. Все вычислишь быстро. И вручную убей. Или с помощью это проги.

Autoruns_8.61.zip

[Гость pescherutionok]

по хорошему нужно Винду обновить .. типа до последнего патча. Надеюсь она у тебя лицензионная ?... Если нет, то качай с ихнего сервака заплатки и устанавливай их поочереди... или в admin tools выруби RPC-call как процесс... До сих пор не понимаю нахера он винде нужен.

[Рождённый в Озёрах]

Попробовал бесплатную антивирусный сервис, уникальную лечащую утилиту CureIt

рекомендую тоже - простая и эффективная

нашла пару троянов дополнительно -те антивирусы что у меня стоят на компьтере их не обнаруживали

Всем спасибо

[Alexozery]

Попробовал бесплатную антивирусный сервис, уникальную лечащую утилиту CureIt

рекомендую тоже - простая и эффективная

нашла пару троянов дополнительно -те антивирусы что у меня стоят на компьтере их не обнаруживали

Всем спасибо

Попробуй прогнать этой штукой - http://www.ozery.info/forum/index.php?show...amp;#entry22687

NOD 32

[Рождённый в Озёрах]

сейчас outpost обнаружил очередную атаку - вирусы почищены дальше некуда

правда номера портов изменились -не нравиться мне все это ;-((

22:57:33

тип атаки -Сканирование портов

ip-адрес www.ozery.info

просканированны порты TCP (1517, 1518, 1519, 1510, 1520, 1312)

[Malefik]

товарищи, что ж вы тут расфлудились?)) Я вот не вижу причин для паники, потому как на портах этих, скорее всего, у вас не висит никакого ПО. Слушает их только фаерволл. Само сканирование не является опасным, так как максимум позволяет выяснить какие порты открыты и, если они открыты, что за ПО его слушает. если у вас нет программ (в тч и вирусных), использующих эти порты, то можно спать спокойно Так что вы просто не правильно расценили тему вопроса.

Я думаю тут вопрос не в угрозе безопасности, а в том, кто же эти порты сканирует и зачем?

Не могли бы вы уточнить, это происходит именно на сайте, или при входе на форум?

И во-вторых у вас статический IP или динамика? С последним жить проще)) И в какой то малой степени безопаснее.

Так же насчет троянов хотел спросить, что это были за трояны? На каких портах работали?

Ах! Совсем забыл. Для справки: System Volume information это скрытая системная папка, меющаяся на каждом разделе жесткого диска, в которой содержатся контрольные точки восстановления системы (резервные копии файлов) и еще кое-какая системная инфа. Идеальное место для сокрытия вируса от нешарящих людей.

[Гость pescherutionok]

Считаю что 90% всех виндовских проблем только из-за одного.. почему-то практически все работают от имени юзера, который имеет права администратора... вы видели где-нить нормального человека в linux-Unix который бы работал из под root ?