[McElroy]

Sziasztok!

Na érdekes, vagy inkább szomorú dolgok történtek ma. Konkrétan valaki megpróbált meghackelni engem,  nem sikerült neki mert a tûzfalam blockolta a támadást. A logból kiderül hogy jó néhány porton bepróbálkozott a kis köcsög, elõszõr a netbios protokoll által használt portokon aztán csak úgy véletlen szerûen, illetve vagy 5 ször próbált portscannelni de a tûzfal mindent blokkolt. Gyorsan utánanéztem pontosan a hacker IP-jének a http://www.dshield.org/ipinfo.php oldalon, amely nagyon hasznos szolgáltatás, részletekbe menõen elmondja az adott ip címrõl, hogy melyik szolgáltató tartományába tartozik, kikkel lehet felvenni a kapcsolatot a szolgáltatónál, email, telefonszám, stb ezt csak azoknak mondom akik esetleg még nem találkoztak ilyennel. Na a lényeg az hogy én írtam egy emailt a szolgáltatónak és mellékeltem a tûzfal által készített log filet is. Szerintetek mennyire vezetnek célra az ilyen emailek? Szóval lesz foganatja, elkapják igy a hackert? Valakinek van ebben tapasztalata?

[Evil.]

Idézet: McElroy - Dátum: 2004. április 10, szombat - 16:16

Sziasztok!

Na érdekes, vagy inkább szomorú dolgok történtek ma. Konkrétan valaki megpróbált meghackelni engem,  nem sikerült neki mert a tûzfalam blockolta a támadást. A logból kiderül hogy jó néhány porton bepróbálkozott a kis köcsög, elõszõr a netbios protokoll által használt portokon aztán csak úgy véletlen szerûen, illetve vagy 5 ször próbált portscannelni de a tûzfal mindent blokkolt. Gyorsan utánanéztem pontosan a hacker IP-jének a http://www.dshield.org/ipinfo.php oldalon, amely nagyon hasznos szolgáltatás, részletekbe menõen elmondja az adott ip címrõl, hogy melyik szolgáltató tartományába tartozik, kikkel lehet felvenni a kapcsolatot a szolgáltatónál, email, telefonszám, stb ezt csak azoknak mondom akik esetleg még nem találkoztak ilyennel. Na a lényeg az hogy én írtam egy emailt a szolgáltatónak és mellékeltem a tûzfal által készített log filet is. Szerintetek mennyire vezetnek célra az ilyen emailek? Szóval lesz foganatja, elkapják igy a hackert? Valakinek van ebben tapasztalata?

Semmi nem fog tortenni, valszeg mar tobbszor is probaltak hackelni, csak ezekrol nem szereztel tudomast.Mivel kar nem ert nem hinnem hogy strapalnak magukat.

[Jahno]

Idézet: McElroy - Dátum: 2004. április 10, szombat - 16:16

Szerintetek mennyire vezetnek célra az ilyen emailek? Szóval lesz foganatja, elkapják igy a hackert? Valakinek van ebben tapasztalata?

Magánembertõl nem nagyon foglalkoznak a loggalazért , meg kicsit komolyabb szintû hekkelés kell, hogy valakinek utánamásszanak.

[ratonyi]

Idézet: McElroy - Dátum: 2004. április 10, szombat - 17:16

Szerintetek mennyire vezetnek célra az ilyen emailek? Szóval lesz foganatja, elkapják igy a hackert? Valakinek van ebben tapasztalata?

Szerintem szolgáltatófüggõ is egy kicsit, hogy mi történik, nem lehet elõre megjósolni. Másrészt azért is érdemes megküldeni a logokat, mert ha nem is okoz kárt a csóka, ha már az ötödik panasz jön rá, csak meggondolja a szolgáltató, hogy tovább adja-e alá a lovat (internetet).

[mocsi]

Idézet: McElroy - Dátum: 2004. április 10, szombat - 16:16

Sziasztok!

Na érdekes, vagy inkább szomorú dolgok történtek ma. Konkrétan valaki megpróbált meghackelni engem,  nem sikerült neki mert a tûzfalam blockolta a támadást. A logból kiderül hogy jó néhány porton bepróbálkozott a kis köcsög, elõszõr a netbios protokoll által használt portokon aztán csak úgy véletlen szerûen, illetve vagy 5 ször próbált portscannelni de a tûzfal mindent blokkolt. Gyorsan utánanéztem pontosan a hacker IP-jének a http://www.dshield.org/ipinfo.php oldalon, amely nagyon hasznos szolgáltatás, részletekbe menõen elmondja az adott ip címrõl, hogy melyik szolgáltató tartományába tartozik, kikkel lehet felvenni a kapcsolatot a szolgáltatónál, email, telefonszám, stb ezt csak azoknak mondom akik esetleg még nem találkoztak ilyennel. Na a lényeg az hogy én írtam egy emailt a szolgáltatónak és mellékeltem a tûzfal által készített log filet is. Szerintetek mennyire vezetnek célra az ilyen emailek? Szóval lesz foganatja, elkapják igy a hackert? Valakinek van ebben tapasztalata?

CSak annyit, hogy hivatalosan nem itt kell nezni a whois-t, azt a kovetkezok biztositjak foldreszenkent, vagyis inkabb mindenki nezze meg a hivatalos listat a www.iana.org -on.
Amugy meg magasrol le kell tojni a kulso probalkozasokat, tovabba messze nem megbizni abban, hogy "az en tuzfalam megfogta a tamadast", az esetek tobbesegeben Win alatt az ellenseg maga a sajat gep OS-e
Esmeg annyit, hogy ezek a probalkozasok nem mindig jonnek "kiskocsogoktol", hanem konnyen johetnek tipikus zombi/szerencsetlen baci gazdaktol 

Szerkesztette: mocsi 2004. 04. 10. 22:48 -kor

[Sirinor]

Nos bizony ez igaz.
Ha megtaláltad az emberünk IP-jét akkor vagy valami idióta volt, vagy nem is õ hackelt.
Amúgy ha a szolgáltató kiadná az én ip-met, vagy figyelmeztetne engem, hogy az én ip-mrõl hackelt valaki téged, kapásból az lenne az elsõ, hogy jól leb@sznék bent mindenkit. IP alapján semmit nem tudsz csinálni se te se a hatóságok. Mivel NEM legális. Amúgy meg az hogy a tûzfalad mit ír, annak nagyon sok oka lehet nem feltétlen hogy hackeltek!!

[teo2]

Én csak annyit szólnék a dologhoz, hogy szerintem is kár ezen annyira hõbörögni.
Nem állok az "õ" oldalunkon, félreértés ne essék.

A tûzfalam szinte minden 10 percben jelzi, hogy scannelnek, most akkor rohanjak a szolgáltatómhoz minden egyes alkalommal? Ráadásul akik ilyen progikat futtatnak, "szinte" mind zöldfülû, ráadásul valóban bekavarhat - mint ahogy az elõzõ egyik hozzászóló írta - maga a win is...

Megjegyzem, aki netbiosnál próbálkozik, az igazi balekokat keresi, aki érti a "szakmát" és nagyobb halra vadászik, az eleve nem próbálkozik ilyen kugli módon, ráadásul a hackerek gyakran falaznak egymásnak, s olyan proxy szerverek közbeiktatásával támadnak, amelyekkel a
http://www.dshield.org/ipinfo.php  nem fog tudni mit kezdeni...

Szóval szerintem sem érdemes velük foglalkozni...

[d3relict]

a legszebb itt mégiscsak az, hogy "a tüzfalam blokkolta" meg a "kis köcsög"

[McElroy]

Idézet: kAy - Dátum: 2004. április 13, kedd - 0:41

a legszebb itt mégiscsak az, hogy "a tüzfalam blokkolta" meg a "kis köcsög"

Értelmesen is hozzá tudsz szólni a témához, vagy csak a nyelvhasználatommal kötekszel? 

[d3relict]

Idézet: McElroy - Dátum: 2004. április 14, szerda - 11:28

Értelmesen is hozzá tudsz szólni a témához, vagy csak a nyelvhasználatommal kötekszel? 

nem a nyelvhasználattal van gondom, csak kicsit mókásnak tartom azt, hogy vki ennyire nagy ügyet csinál egy portscanbõl, vagy egy elcseszett netbios kapcsolódási kisérletbõl.

az elõzõ fõsulimon még abból sem volt botrány, mikor egyenként küldtem kékhalálba órán azt a cirka 50-60 gépet amin visual c-vel kellett volna szórakoznunk... ehhez képest egy portscan után már logfilet küldesz a szolgáltatónak? mit csinálsz ha kapsz egy ddos támadást cirka 120 iprõl? feljelented a fél országot?

tény1.0: a script kiddie-kkel SENKI sem foglalkozik.
tény2.0: digitális anyag jogilag NEM számít bizonyíték erejûnek
tény2.1: pont emiatt nem jelenthetnek fel log miatt, nem mehetnek hozzád házkutatni egy email miatt, stb. ezt azért jó tudni...

[Netmaster]

Idézet: kAy - Dátum: 2004. április 14, szerda - 18:17

tény2.1: pont emiatt nem jelenthetnek fel log miatt, nem mehetnek hozzád házkutatni egy email miatt, stb. ezt azért jó tudni...

Mintha a házkutatáshoz nem kéne bizonyíték, csupán alapos gyanú... hiszen pont a bizonyítékok megtalálása érdekében folytatnak házkutatást.

[d3relict]

Idézet: Netmaster - Dátum: 2004. április 14, szerda - 18:20

Mintha a házkutatáshoz nem kéne bizonyíték, csupán alapos gyanú... hiszen pont a bizonyítékok megtalálása érdekében folytatnak házkutatást.

a két pont nem áll ennyire közel egymáshoz, bár valóban rosszul fogalmaztam.

[McElroy]

Nem azzal a szándékkal írtam ide hogy olyan nagy ügyet csináljak belõle. Ezeddig még nem portscanneltek, ezt biztosan tudom, egyszerûen csak kíváncsi voltam hogy milyen fejlemények lehetnek. Egyébként gondoltam hogy valószínûleg semmi, és ez be is jött, egyrészt ti is megerõsítettétek ezt, másrészt a szolgáltatónak küldött mailre és hozzá csatolt logfilera is csak egy autómatikus, nem személyre szoló szabvány választ kaptam, aminek az a lényege hogy valószínûleg nem is fognak még külön válaszolni nekem, és ez így is van. A "feljelentem a félországot" dolog megfontolandó egyébként 

[kroozo]

Idézet: McElroy - Dátum: 2004. április 15, csütörtök - 12:38

Ezeddig még nem portscanneltek, ezt biztosan tudom,

Na ezt biztosan roszzul tudod... olyan eset egyszerûen nincs hogy egy gép kint lóg több mint egy napot a neten, és nem portscanelték....

Egyébként ezekkel nem nagyon van értelme reagálni. Én csak olyankor szoktam abuse-t küldeni, ha az érintett ip nem szolgáltató által dinamikusan osztott (tehát betárcsás, adsl stb) , és vagy látszik a srácon, hogy vélhetõleg valami szép vírust kapott, vagy mikkamakka volt és véletlen openrelay hagyta a gépét (bár azt nem tudom, ezt h lehet elcseszni , de hát zsenik mindenhol vannak).

De script kiddiekkel nem szoktam foglalkozni...

Egyébként sem biztos, hogy a portscan betörési kisérletet jelent.

[mocsi]

Idézet: McElroy - Dátum: 2004. április 15, csütörtök - 10:38

. A "feljelentem a félországot" dolog megfontolandó egyébként 

Regi szép magyar szokások 

[d3relict]

offtopic, de én az egyik szomszédot szoktam mindig bsod-be küldeni, mert van valami féreg a gépén, ami fullsávon generál kifele forgalmat, és egyszerübb kilõni a hálóról, mint letakarítani azt a gányt... (amugy sincs közöm hozzá, de a sávomat ne fogja le )

[kla]

Idézet: McElroy - Dátum: 2004. április 10, szombat - 18:11

Na érdekes, vagy inkább szomorú dolgok történtek ma. Konkrétan valaki megpróbált meghackelni engem,

Eleg keves ma az olyan ember, akinek egy ilyen hir tenyleg hir-erteku. Napkozben es az otthoni gepeimm osszes scan-nelojet, probalkozojat osszegyujtenem es reklamalnek valakinek akkor 1). akinek reklamalok elobb utobb engem szolnanak le zaklatas miatt, 2). az osszes szabadidom ilyen blodseggel toltenem el. Egyik lehetoseg sem tetszik igazan

Az ember vedekezik ahogy tud, ki rosszul, ki jobban, kinek mennyire van ideje, tudasa, penze. Ha ezek kozul barmelyikbol keves all a rendelkezesre, akkor tok folosleges ilyenen csodalkozni/idegeskedni.

Egyszeru tanacsot kell csak megfogadni: vedekezz Ennyi. Hogy is mondjak: "Better extra safe than sorry".

[andrej]

1: valoszinuleg trojaik utan kutatott nalad, hogy valaszol-e valamelyik porton, mostansag ugye picit sok mailworm nyit portot, hogy nyomulni

2: ftp/http/ssh stb portot keresett hogy azon probalkozzon

3: a dshield -en kivul, hatalmas talalmany a linux/unix whois parancs, mely megmondja az adott domain vagy IP (azaz a tartomany adatait). Az ip tartomanyok abuse cimere mindenkeppen erdemes irni egy mailt, logreszletekkel es a jelenseg leiravasal, de _mindig_ normalis hangnemben ugyanis 99% hogy nem a netadmin szorakozott veled, hanem valamelyik usere.

4: amit kla mondott az kovetendo altalaban...

[andrej]

Idézet: kAy - Dátum: 2004. április 16, péntek - 2:16

offtopic, de én az egyik szomszédot szoktam mindig bsod-be küldeni, mert van valami féreg a gépén, ami fullsávon generál kifele forgalmat, és egyszerübb kilõni a hálóról, mint letakarítani azt a gányt... (amugy sincs közöm hozzá, de a sávomat ne fogja le )

Az ilyen hozzáállás miatt van tele a net buzi mailwormos mailekkel. Koszonjuk!!!! Leszel szives atmenni hozza, es miutan leuvoltotted a hajat, lepucolni a szarait.

[McElroy]

Idézet: andrej - Dátum: 2004. április 16, péntek - 21:23

1: valoszinuleg trojaik utan kutatott nalad, hogy valaszol-e valamelyik porton, mostansag ugye picit sok mailworm nyit portot, hogy nyomulni

2: ftp/http/ssh stb portot keresett hogy azon probalkozzon

3: a dshield -en kivul, hatalmas talalmany a linux/unix whois parancs, mely megmondja az adott domain vagy IP (azaz a tartomany adatait). Az ip tartomanyok abuse cimere mindenkeppen erdemes irni egy mailt, logreszletekkel es a jelenseg leiravasal, de _mindig_ normalis hangnemben ugyanis 99% hogy nem a netadmin szorakozott veled, hanem valamelyik usere.

4: amit kla mondott az kovetendo altalaban...

1: Persze ez is megfordult a fejemben hogy trójaik után kutat de azért nem volt könnyû dolga, tudom, 100%-os védelem nem létezik de próbálok minden lehetõt megtenni a külsõ támadások elleni védelem érdekében. Tûzfal/Vírusírtó/Trójai scanner/Spyware szûrõ alapbol fut a gépen és a windows frissítéseket sem szoktam hanyagolni. Ja és eleve nem nyitok meg mindenféle ganyus vagy nem várt emaileket. 
Igen, pont az abuse címre irtam, és normális hangnemben