Mandriva Fórum

Systém a serverové služby => Bezpečnost => : Lucie December 05, 2009, 20:12:57



: Net Applet
: Lucie December 05, 2009, 20:12:57
Ahojka!
Stalo se mi ráno toto: Vyletěla na mě bublina, že došlo k útoku skenování portů z IP xyxy. Klikla jsem na to, vybrala dát xyxy na blacklist, zaškrtla "příště dělat automaticky" a potvrdila, a pak se objevil ten brouček že "Aplikace NetApplet ohlásila pád". Ikonka zmizela, ale net běžel dál, a teď večer po novém startu už je tam ta ikonka zase a všechno funguje normálně. Je to takhle normální a správně nebo jsem něco pokazila? Jestli jsem něco pokazila, jak to mám spravit?


: Re: Net Applet
: Peťoš December 05, 2009, 20:22:01
Nepokazila. Stalo se něco (konstelace hvězd či erupce na slunci) a v tomto konkretnim případě to hold ikonka nezvládla a spadla (resp. ten applet; net samotný je na něm nezávislý, takže jel dál). No a po restartu kompu to naběhlo jak má... ;)


: Re: Net Applet
: Jakub Šenk December 05, 2009, 23:27:48
Spíše bych se zajímal o to, čí je ta IP adresa, která skenovala tvé porty, proč atd...;)


: Re: Net Applet
: Peťoš December 05, 2009, 23:31:59
Spíše bych se zajímal o to, čí je ta IP adresa, která skenovala tvé porty, proč atd...;)
V některých případech, pokud máš pomalý net, tak se může stát, že než se vrátí potvrzovací packet, tak jej počítač bude považovat za ztracený. V tom případě tento packet vyhodnotí firewall jako scan a bude to hlásit. A nebo to taky může být skutečný útočník. Proto mám doma všechny počítače v NAT. :)


: Re: Net Applet
: Jakub Šenk December 05, 2009, 23:35:13
No ale v tom případě by ta IP adresa měla být shodná s IP adresou posledního routeru či výchozí brány, protože pokud se nepletu, každý aktivní prvek změní IP adresu odesilatele packetu, nebo se pletu?

Přiznám se, sítím jsem nikdy neholdoval...


: Re: Net Applet
: Peťoš December 05, 2009, 23:39:18
No ale v tom případě by ta IP adresa měla být shodná s IP adresou posledního routeru či výchozí brány, protože pokud se nepletu, každý aktivní prvek změní IP adresu odesilatele packetu, nebo se pletu?
Pleteš :( -- jinak by například na mistni wiki (http://wiki.mandrivalinux.cz) bylo vidět(například) viděli IP adresu hostingu, který to posílá; nikoli IP adresu toho, kdo to měnil (v případě, že nebyl přihlášen). Každý packet má v IP hlavičce napsanou IPadresu odesilatele.


: Re: Net Applet
: Jakub Šenk December 05, 2009, 23:42:31
Máš jako vždy pravdu ;)


: Re: Net Applet
: Lucie December 06, 2009, 03:47:19
Spíše bych se zajímal o to, čí je ta IP adresa, která skenovala tvé porty, proč atd...;)

Na to kdo to je jsem se samozřejmě podívala, To IP bylo registrované na jméno Dmitrij Ivanovič Mitrovskij z Us't-Kamenogorsku v Rusku. Proč, to nevím, neznám ho, ale tipla bych si že se asi jmenuje úplně jinak, každopádně z Usť-Kamenogorsku opravdu neznám nikoho. (Znám osobně celkem jen asi 5 Rusů.)
Jinak běžely v té době kromě stále běžících Transmission a Exaile už jenom Xsane, bo jsem skenovala nějaké fotky.
No, hlavně že je to v poho a nic se skoro nestalo, mě spíš vyplašilo to, že napřed to ohlásilo útok, a pak to spadlo, tak jsem si říkala, že se mu to povedlo a ten systém se neubránil. Ale asi ubránil. Zkontrolovala jsem 2x v rozmezí pár hodin co běží a co to odesílá a všechno je OK.


: Re: Net Applet
: Peťoš December 06, 2009, 03:51:47
Tím, že máš puštěné torrenty, tak všem do světa hlásíš svou IP adresu a to, že máš otevřené konkrétní porty. V tomto případě bych to viděl na regulerni scan portů... Uživatelé torrentů a IE patří mezi oblíbenou kořist. Druzí jsou špatně chránění, první o sobě veřejně říkají, kde mají otevřené dvířka...


: Re: Net Applet
: Lucie December 06, 2009, 04:13:39
V tomto případě bych to viděl na regulerni scan portů...

Promiň, ale nemůžu s Tebou souhlasit. Sice ano, dávám tím celému světu na vědomí že toto nabízím na tomto jednom portu (A UPC ať se klidně pokaká, když mě odpojí oni, připojí mě jiní, nikdy ani kvůli UPC neporuším zásadu že nepřestanu "seedovat" dokud nemám tady konkrétně ratio aspoň 5), ale TOTO NENÍ REGULÉRNÍ DUVOD ke skenování portů mého PC, to skenovaní je prostě agrese, a jestli se nepletu, nikdo mi nesmí dát facku pokud to není v sebeobraně. Naopak já bych teď regulérně mohla mohla zaútočit na toho Rusa, s tím, že on si začal a já se jen bráním. Škoda že to neumím, má tam Vistu a Kaspersky Internet Security. Zrušila bych mu to ráda a s chutí, opravdu.
Jinými slovy: Žádné skenování portů nikdy není regulérní, vždycky to je faul, a kdo faul udělá,....


: Re: Net Applet
: Peťoš December 06, 2009, 04:18:49
:D Ale já neřekl, že to je správné. Myslel jsem tím, že to není "chybné vyhodnocení firewallu, jak jsem psal:
V některých případech, pokud máš pomalý net, tak se může stát, že než se vrátí potvrzovací packet, tak jej počítač bude považovat za ztracený. V tom případě tento packet vyhodnotí firewall jako scan a bude to hlásit.
Neboli ve smyslu: regulérní -- splňující podmínku definice (skenování portů).

Jen říkám, že ukazuješ na slabé místo ve tvých dveřích a darebáci (např. ten Nikolajevič Praskevnič) se na Tebe přijdou podívat s vyšší pravděpodobností ;)


: Re: Net Applet
: grapefr December 06, 2009, 04:27:55
.... má tam Vistu a Kaspersky Internet Security..
jen dotazek...jak vis, ze tam ma visty a Kaspersky Internet Security?  ;D

... jinak mam pocit, ze dnesni torrent klienti si pamatuji spojeni, ktera byla uskutecnena a treba druhy den se pokousi na ne opet pripojit - na danou IP, coz se muze projevit vyse uvedenym chovanim interaktivniho firewalu. Podezdrivam napr v utorrentu tu funkci Enabled DHT ... melo by to vyhledavat alternativni spojeni na dany torrent i mimo uzivatele napojene na tracker.


: Re: Net Applet
: Lucie December 06, 2009, 04:57:33
jen dotazek...jak vis, ze tam ma visty a Kaspersky Internet Security?  ;D



Zjistila jsem to jednoduše, neťukala jsem žádné www ale připojila jsem se přímo k němu (jeho IP jsem věděla, to mi to vypsalo) a zkoušela jsem, a ono Ti to nějakou odpověď hodí. Firewall od AVG nebo Ashampoo umím obejít, Eset nebo Norton umím vypnout tomu dotyčnému kompletně, ale s tím Kaspersky nevím jak, bohužel. Mandriva má tu krásnou vlastnost, že nectí práva definovaná Win, takže, když víš, co smazat, můžeš používat tříměsíční Winshare klidně neomezeně, pokud víš, co máš jednou za 3 měsíce z Mandrivy na disku Win smazat.
Konkrétně napsalo mi to (dělala jsem to v terminálu) "Windows Vista x86_64: Kaspersky Internet Security 2009: Acces denied."


: Re: Net Applet
: grapefr December 06, 2009, 05:02:25
no ... koukam teda, ze uz jste si kvit  ;D

http://www.sous.cz/info/linuxove_noviny/1999-11/clanek03.html
http://www.linux.cz/noviny/2000-11/clanek10.html


: Re: Net Applet
: Lucie December 06, 2009, 05:37:51
Jo, s tím rusákem jsme si asi učitě kvit, (on už na mě nic zkoušet nebude a já na něj taky ne , i on i já víme že ten druhý je BFU co umí přiložit do kotle) ale to pořád neřeší proč spadl ten NetApplet a jestli to mé nastavení si to pamatuje.


: Re: Net Applet
: grapefr December 06, 2009, 06:04:25
...ale to pořád neřeší proč spadl ten NetApplet a jestli to mé nastavení si to pamatuje.

Nepokazila. Stalo se něco (konstelace hvězd či erupce na slunci) a v tomto konkretnim případě to hold ikonka nezvládla a spadla (resp. ten applet; net samotný je na něm nezávislý, takže jel dál). No a po restartu kompu to naběhlo jak má... ;)

no tezko rict ... tady bych se mozna priklonil k Petosovi, ze to byla spise nestastna souhra okolnosti, ktere spolu nemusely ani souviset..no nevim...tezko rict  ::)


: Re: Net Applet
: Lucie December 07, 2009, 04:44:04
No, před chvilkou zase. Samozřejmě že si to napamatuje nic, nedá ho to automaticky do blacklistu a znova s tím otravuje, a netapplet samozřejmě znova spadl. Že by znova erupce na slunci? Nebo spíš něčí odfláknutá práce?


: Re: Net Applet
: exotek December 07, 2009, 10:24:04
Tohle mi dělalo už na 2009.1. Scan portu > čut ho hajzla do BL > pád NetAppletu... Nepamatuje si to samozřejmě nic...
Naštěstí po změně IP už mám pokoj :)


: Re: Net Applet
: Peťoš December 07, 2009, 10:27:57
Nejjednodušší je mezi sebe a internet dát jeden obyčejný router, který umí NAT. Celou vnitřní síť tak zahalí a at si kdo chce co chce skenuje, dovnitř se nedostane.


: Re: Net Applet
: Jakub Šenk December 07, 2009, 17:51:17
Njn, veřejná IP adresa je pozvánka pro hackery, nedávno jsem o tom cosik myslím četl. Já mám sdílenou IP adresu, čili jsem za NATem, navíc mám i ten router, jak píše Peťoš, přesněji tento:

http://www.alfacomp.cz/php/index.php?eid=106140&Search=tp-link+tl-wr543G&SearchType=1&SearchSubmit=1


: Re: Net Applet
: Lucie December 07, 2009, 20:13:47
No, nevím, kolik dobrých věcí přišlo z Arábie (ten druhý nebyl z Ruska, ale z Ománu) ale jedno přísloví mají krásné. Aláhové říkají: "Co se stane jednou, to jakoby se nestalo, ale co se stane dvakrát, to už se bude dít vždycky." A ono to spadlo podruhé při té samé činnosti jako přes kopírák, takže soudím, že tam někde je nějaká chyba a příště to zase spadne jako přes kopírák, pokud nepošlou nějakou aktualizaci která to spraví.
Ale tomu Arabovi jsem aspoň za trest vymazala polovinu složky Windows a 3/4 z Program Files, on měl ochranu kterou jsem uměla obejít, tak ho snad až to bude přeinstalovávat napadne že se nemá cpát kam nepatří.
Ale, drív to za celou dobu několit let zkusil jenom jeden Chorvat, a teď behem pár dnů už dvakrát.


: Re: Net Applet
: Lucie December 07, 2009, 23:33:25
Takže jsem se nespletla, udělalo to zase, zase úplně stejně. Už mě to nebaví, jak mám ten systém nastavit, aby nic nespadlo, ale prostě dalo samo toho dotyčného na blacklist na doživotí a mi ani nic nehlásilo?


: Re: Net Applet
: Hobil December 10, 2009, 16:25:09
/etc/shorewall/blacklist
H.


: Re: Net Applet
: pert2 December 10, 2009, 18:22:09
Vykašli se na klikátka a nainstaluj si PortSentry.


: Re: Net Applet
: Lucie December 10, 2009, 18:35:38
/etc/shorewall/blacklist
H.

Jo, ale Ty jsi mě nepochopil. Když tam ty IP napíšu ručně, tak tam budou. Já bych ale chtěla, aby je tam Mandriva přidala sama automaticky kdykoli když někdo udělá neco nefér (Třeba skenuje porty) a ani mi o tom nic neříkala.Prostě, někdo se o něco pokusí, tak se navždy ocitne na blacklistu a já o tom ani nemusím vědět. Jenže Mandriva udělá to, že spadne netaplet a to IP do blacklistu neuloží, a já nechápu proč a chtěla bych aby to fungovalo. A propos, stará věc znova, proč mi to nabízí kliknutí na klikátko, když to pak stejně neudělá a spadne?


: Re: Net Applet
: alda81 December 10, 2009, 19:16:27
nejsou zase čirou náhodou nastaveny jako aktivní testing či backports zdroje?


: Re: Net Applet
: Lucie December 10, 2009, 19:37:13
Jako aktivní pro aktualizace ne, pro instalace backports ano, testing ne.


: Re: Net Applet
: Peťoš December 10, 2009, 19:40:19
backports ano
Zde je chyba. Všude to křičíme, že backporty ne-e; a když, tak at se nedivite, že to padá. Howgh


: Re: Net Applet
: exotek December 12, 2009, 13:25:31
Zajímavý. Já sem backporty ani testingy zapnutý neměla a přesto mi netapplet blbnul stejným způsobem...


: Re: Net Applet
: Ivan Bibr December 12, 2009, 14:12:14
Nastavení automatického přidání je v kontextové nabídce appletu (Nastavení->Automatický režim interaktivního firewallu). Že by applet padal jsem si nevšiml, používám k připojení různá rozhraní - ethernet, wifi i modem (telefon), všechno v klidu, dělá to, co má (2009.1 i 2010.0).


: Re: Net Applet
: Peťoš December 12, 2009, 14:45:40
ethernet, wifi i modem (telefon), všechno v klidu, dělá to, co má (2009.1 i 2010.0).
Musim rict, ze u mě je to naprosto stejne. Funguje a drží...


: Re: Net Applet
: exotek December 12, 2009, 17:20:43
Tak byla chyba asi na mé straně, nevadí. Teď už je mi to jedno, mám 2010 a jsem za routerem.