23. juli 2004 - 01:36Der er
32 kommentarer og 1 løsning
Port scanning attack
Hej eksperter Jeg har for noget tid siden installeret Sygate Firewall. I dag har jeg så for første gang oplevet, at den har logget 2 portscanningsattack. Er det noget jeg skal bekymre mig om? Og hvad er mine muligheder for at backtrace? (I loggen(e) står der hvilke porte, der er blevet scannet og fra hvilken ip.adr.).
Jeg vil sige at det er nogle som bare har deres computere tændt og scanner en range af IP adr. men det kan jo også være en der vil genere dig? Hvem ved?... men jeg vil ikke være bange for noget når du har firewall på.. Har du evt. variabel IP adresse? så kan det jo være en af grundene til at du er blevet et offer for sådanne angræb
Der er mange som har installeret Sygate firewall, der bliver bekymrede over den lidt dramatiske måder den gør opmærksom på disse scanninger. Andre firewalls blokerer dem også, men dramatiserer ikke så meget over dem. Det kan være din ISP, der vil se om du er der endnu, eller nogen der bare morer sig med at portscanne. Du bliver ikke angrebet mere end alle andre, så tag det bare helt roligt.
Du vil få masser af portscaninger. Sygate registrere forespørsler på et antal porte som portscanninger, hvad det jo også er) det skal ikke bekymre dig. Så længe din sygate virker vil de blive stoppet og scanneren får intet ud af det. De fleste af disse scanninger er orme og anden vira der forsøger at sprede sig på den måde.
Hvis du pludselig begynder af få full range portscanninger (fra port 0 til 1024 eller højrer) så skal du begynde at reagere.
Det vil måske være en ide at tage et portcheck hos Sygate http://scan.sygate.com/. Den første, quickscan, og stealthscan burde være nok. Alle porte skal vise blocked. Hvis de ikke gør det, så kig på hvor mange programmer der har server rettigheder. Som udgangspunkt, så få som muligt. Du må prøve at eksperimentere med det, og se hvor mange der kan nøjes med client rettigheder. Jeg kan desværre ikke lige huske hvordan man gør det i Sygate, men det skulle være til at finde ud af. Sygate har i øvrigt et udmærket forum, hvor du kan finde masser af gode råd, bl.a om advanced rules, hvis det skulle være nødvendigt.
Tusinde tak for jeres svar. Jeg bliver lidt klogere hele tiden. Det er jo et indviklet univers, når man som nybegynder prøver at forstår det.
dcheng: Jeg har ikke variabel ip.adr.
forevernewbie: Jeg har kørt porttjek hos Sygate. Jeg har én port åben (23). Er det en farlig port at have åben? Og hvordan lukker jeg den?
bufferzone: De to portscanninger, der blev kørt var ikke fullrange. Nu siger du, at hvis det var tilfældet, skal jeg reagere, men hvordan skal jeg i så fald reagere? Hvad er mine muligheder for at backtrace synderen, så jeg kan finde ud af hvem det er?
Prøv om du kan se hvilket program der bruger port 23, Porten bruges normalt af Telnet, tjek det lige. Når du finder det, så fjern programmets "server rettigheder". Vend lige tilbage med svar når du har prøvet.
Hvordan finder jeg ud af hvilket program, der bruger port 23? (Da jeg scannede mine porte fik jeg at vide, at det er Telnet, der sidder der(TTS - tiny telnet service))
Hvad er Telnet?
Hvordan fjerner jeg programmets "server rettigheder"? Hvad er fremgangsmåden?
Er det kritisk, at port 23 står åben? Kan min firewall ikke blokere for at der bliver luret, selvom porten står åben?
Ja, jeg er ikke så velbevandret i denne it-verden, så jeg er fuld af spørgsmål. Håber ikke de lyder for dumme.
Hvis ovenstående ikke hjælper, skal porten lukkes manuelt. Du kan gøre det på denne måde. Tools > Advanced Rules > Add > Ports and Protocols > TCP. Skriv port 23 ind, og genstart computeren.
Med fare for at gøre mig selv endnu mere dum, er jeg nød til at tilstå at jeg ikke ved hvor jeg kommer ind i tools.....:-( Måske bliver jeg forvirret af, at min XP version er på dansk? Hjælp *G*
Angående serverrettigheder, gælder det, at så få programmer som muligt har det. Jo flere programmer der kan køre uden, jo bedre. Jeg kan desværre ikke lige huske hvordan man gør det i Sygate, men du får lige et link til deres forum. http://forums.sygate.com/vb/index.php?s=56bddfafc008ef9aac20b72e2eea8998 Det kræver lidt eksperimenter, at finde ud hvilke programmer der kan køre uden. Der er desværre ikke nogen opskrift på det, du må forsøge dig frem.
Jeg har mulighed for både at tilføje port 23 under "remote" og "local". Skal jeg tilføje den begge steder? (I tilfælde deraf, vil både indgående og udgående trafik blive blokeret, får jeg at vide).
Ja, det må jeg vist hellere. Har nogle du gode forslag til en online virus-scanner? Jeg har AD-Aware installeret og den har kun fundet nogle tilforladelige tracking-cookies.
I bunden af det link, du har sendt mig står der: "Trojan Sightings: ADM worm, Fire HacKer, My Very Own trojan, RTB 666, Telnet Pro, Tiny Telnet Server - TTS, Truva Atl"
Da jeg kørte port scanningen, sagde resultatet, at jeg havde en "Tiny Telnet Server" siddende ved port 23. Den er listet ovenfor blandt Trojan Sightings. Vil det sige, at jeg har en trojan siddende der???? Og i så fald...ved du hvad det er og hvad den gør?
Hmm, det anede mig. Vi får nok snart ballade for at være "offtopic", men du får lige det her. Den rydder op *S*. Prøv lige at hente, og køre denne scanner. Sæt flueben ved alle options, og scan/clean. http://www.mwti.net/antivirus/free_utilities.asp
Jeg er i fuld gang med at scanne nu. Jeg fulgte din anvisning om at lukke port 23 gennem Sygate - tools - advanced rules osv. og tænkte at jeg ville lave alle scanningene fra Sygate indtil du svarede på en god online virus-scanner :-)
Indtil videre kan jeg konkludere, at det ikke er lykkedes mig, at lukke port 23 via Sygate tools - hmm. Hvad gør jeg så???
Jeg sad og læste info igennem fra de links om Telnet, du har givet mig og det slog mig, at den internetforbindelse jeg sidder med i sin tid er blevet brugt til at administrere en remote server, da her førhen var en arbejdsplads, der havde en hjemmeside, de skulle sende nyhedsbreve osv. fra. Kan det være en indstilling i min router, der er problemet??? Jeg har bare overtaget forbindelse og router, da jeg flyttede ind.
hamderpolle: Ok, hvordan laver jeg en ipconfig, så jeg kan teste det? I tilfælde af, at det er min router, Sygate scanner, hvordan kan jeg så komme til at scanne min egen maskine? Og er det nødvendigt?
OK, en router ! Så er det højst sandsynligt den du scanner, og ikke Sygate. Hvis du både har router, og Sygate, så er du godt beskyttet. Regn bare med at porten er lukket.
en nat router (den mest almindelige i private hjem) laver alle ip-adresser fra det interne netværk om til een offentlig adresse (myip.dk). mere simpelt kan det vist ikke siges.
Nej da, lad endelig være med stille tilbage. Den TTS, hmm, det kan være Sygate testen der ser noget "mystisk" ved din router. Men jeg syntes stadigvæk at du skal lave et grundigt tjek af computeren.
forevernewbie: Nu har jeg fået lavet alle scanningerne.
Udfra Sygate kan jeg se, at port 23 stadig står åben og der sidder en "possible TTS". Samtidig fandt jeg ud af, at protocol ICMP type 8 står åben (hvad det end må betyde).
Virusscanneren har jeg også kørt. Den fandt 8 virus(es), men der stod ved dem alle, at de var "tagged as not-a-virus" og at der var "no action taken". Vil det sige, at jeg ikke behøver gøre mere???
Jeg sender for en god ordens skyld en HiJack This-log til eksperterne.
Porten er lukket i Sygate, og det er godt. Som du så, kommer der ikke noget igennem den port som er værd at samle på. TTS tror jeg ikke er noget at bekymre sig for, det er muligvis routeren den ser som "mistænkelig". ICMP lukker man aldrig helt af for, så det er nok ok.
E-Scan har muligvis den største database over virus, trojanere, noget spyware, og også en masse "junkfiles". Du kan så selv søge på dem, og bestemme om du vil slette dem. Hvis de var "farlige" var de blevet fjernet ved scanningen.
Fornuftigt med loggen *S*
Iøvrigt, du kan da prøve at eksperimentere med at lukke porten i din router, men det er altså ikke nødvendigt, når den er lukket i Sygate.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
