# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  aps говорит о харских атаках - так ли это?

## mxman

Добрый день... целый день сплошные алерты, сканируются какими то айпи мои порты - подскажите пожалуйста что это может значить

также сканированы порты 515,80,443,81, 1433, 3306


щас прибавился  порт 22  =(
ip всякие индийские, сингапурские... кто то через прокси лезет?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Михалыч7

Проблема, не пойму что это, либо какой системный процесс либо что иное, но при подключении инета APS постоянно верещит и пишет Порт 1433 Microsoft SQL Server (MSSQ Тревога-хакер!!!!, Flood и далее айпишник и количество атак, я не пойму эт в первый раз случилось и уже входит в постоянство, поверил процессы, поодключал все ненужные службы, не понимаю может это связано с очередным  обновлением системы, но задолбало, сетевой экран Каспера не риагирует.  P.S Кстати траф при этом качает серьёзно.

----------


## mxman

> пишет Порт 1433 Microsoft SQL Server (MSSQ Тревога-хакер!!!!,


 также присутствовало!

----------


## Kuzz

*Михалыч7*, если APS находится в "доверенных" у KISа, то он слушает эти порты и траффик считается.
А в действительности это сетевые черви ищут себе новых жертв.

*Добавлено через 1 минуту*

А вообще полезно почитать документацию к программе

----------


## Михалыч7

> *Михалыч7*, если APS находится в &quot;доверенных&quot; у KISа, то он слушает эти порты и траффик считается.
> А в действительности это сетевые черви ищут себе новых жертв.
> 
> *Добавлено через 1 минуту*
> 
> А вообще полезно почитать документацию к программе


 APS в доверенных числится, но каспер полный ноль а эта прога продолжает верищать. P.S. Как от этого дерьма избавиться? Порт 1433, и постоянно как я подключаюсь к инету.

----------


## Зайцев Олег

> APS в доверенных числится, но каспер полный ноль а эта прога продолжает верищать. P.S. Как от этого дерьма избавиться? Порт 1433, и постоянно как я подключаюсь к инету.


В такой ситуации необходимо:
1. Понять, что такое TCP и UDP протоколы, как они работают, что такое "порт", каков принцип соединения и обмена информацией, основы безопасности - документации по этому тьма ... плюс разобраться с высокоуровневыми протоколами типа HTTP. 
2. Понять, как работает Firewall - для этого понимания необходим п.п. 1, причем жизненно необходим
3. С учетом 1+2 понять, как работает реализация Firewall в KIS - это будет очень просто
4. Изучить документацию на APS - п.п. 1 даст понимание сути и его предназначения, п.п. 2-3 поймут понять происходящее
5. Задать вопросы по существу, если что-то останется непонятным

----------


## mxman

а, простите, по моему вопросу будет такой же комментарий ? в корне топика - мой вопрос...)

----------


## Kuzz

*mxman*, такой же.
Просто кулхацкеры/черви ищут очередных жертв.
Если APS находится в довененных у фаервола - ему разрешено слушать порты и показывать кто сканирует.
Если же внести в правила fw запрет APS слушать порты - можно узнать что fw пропускает

----------


## Зайцев Олег

> а, простите, по моему вопросу будет такой же комментарий ? в корне топика - мой вопрос...)


Пост номер #6 и есть ответ на этот вопрос

----------


## Михалыч7

> В такой ситуации необходимо:
> 1. Понять, что такое TCP и UDP протоколы, как они работают, что такое &quot;порт&quot;, каков принцип соединения и обмена информацией, основы безопасности - документации по этому тьма ... плюс разобраться с высокоуровневыми протоколами типа HTTP. 
> 2. Понять, как работает Firewall - для этого понимания необходим п.п. 1, причем жизненно необходим
> 3. С учетом 1+2 понять, как работает реализация Firewall в KIS - это будет очень просто
> 4. Изучить документацию на APS - п.п. 1 даст понимание сути и его предназначения, п.п. 2-3 поймут понять происходящее
> 5. Задать вопросы по существу, если что-то останется непонятным


 Олег, всё это пройдено, как не странно APS в данный момент замолчал, какая зараза лезла не понял, прошерстил файловую систему лишнего вроде не нашёл, бум разбираться дальше, но всё-же чтот подозрителен такой прикол. P.S. Ооо... . Опять чтот полезло, прошу помощи, сам не справлюсь,задолбался.

----------


## mxman

> Пост номер #6 и есть ответ на этот вопрос


это рекомендация, спасибо. а ответ вот: 


> *mxman*, такой же.
> Просто кулхацкеры/черви ищут очередных жертв.


спасибо.

----------


## sage15

это же ппц просто (выражаясь терминами блонди)
постоянно вырубается звук в системе (в ТС и скайпе меня слышно а я никого не слышу), замолкает все кароч...


звук (вернее его отсутствие) может быть следствием хакерской атаки?

----------


## Kuzz

*sage15*, следствием того, что апдейты в системе не стоят и черви пробивают ее (систему).
Побочным эффектом может быть и отрубание звука.
По крайней мере Kido иногда себя так проявлял

----------


## sage15

проверил тремя различными описанными на различных сайтах способами обнаружения Kido - пусто
APS только по порту 1433 насчитал за часик уже 1.5к атак
Avast находит и блочит только одну DCOM Exploit на 135 порт(который убил собственоручно)
самое прикольное что с другом устанавливали один и тот же софт на одну и ту же винду (провайдер тож общий) и у него APS молчит как рыба об лед...

много уже рекомендаций прочел про необходимость апдейта системы, еще больше скачал самих апдейтов, только вот беда, не установил ни одного - на вашей системе уже установлено более новое обновление... и т.д.

----------


## pig

Тогда расслабьтесь и получайте удовольствие, наблюдая, как зверьё обламывается.

----------


## valho

Нашел на одном подопытном компике 


```

27.12.2009 15:53:05    TCP    80    127.0.0.1 localhost    GET /icq/spl/ HTTP/1.1$0D$0AAccept: */*$0D$0AReferer: http://www.zelenograd.ru/forum/forums.php3$0D$0AAccept-Language: ru$0D$0AUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; MRA 5.4 (build 02647); .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)$0D$0AAccept-Encoding: gzip, deflate$0D$0AHost: www.pelican-donetsk.com$0D$0AConnection: Keep-Alive$0D$0A$0D$0A(383 байт) 


```

----------


## ed3110

:Clapping: 


> Тогда расслабьтесь и получайте удовольствие, наблюдая, как зверьё обламывается.


я правильно понимаю,что если APS(в режиме "мышеловки") просигнализировал мне о том,что ко мне ломится хакер 
20.01.2010 15:53:05    TCP    80    127.0.0.1 ЭД-МА 
то и "сделать" вышеуказанное.? :Stick Out Tongue: 

О круто,тут опять взвыл,а ведь ЭД-МА -это имя моего компа...это что-127.0.0.1 ЭД-МА я сам себя атакую...кто-нибудь может пояснить?

----------


## Kuzz

*ed3110*, Это дейстрительно ваш комп обращается сам к себе.

Вот если в файле hosts есть записи (допустим) 

```
127.0.0.1 trial.alcohol-soft.com
```

 то алкоголь идет на trial.alcohol-soft.com для проверки лицензии, но попадает на ваш комп.

----------


## ed3110

Ага ,фу ты на ты ,а я и думаю,как только щёлкаю страницу другую,он по сирене.
А можно ещё вопросик-а как сделать,чтоб он не расценивал меня же как атакуещего,я так понимаю ,что я что то и где то не то нажал.И ещё-если APS,в режиме мышеловки и включена эмуляция TCP/UDP,то сканирующему,будет отправлено на его запрос,то что установленно в настройках эмуляции?Я правильно понимаю..

----------


## Kuzz

> чтоб он не расценивал меня же как атакуещего


Вкладка "Игнорируемые IP" как раз для этого

http://z-oleg.com/secur/aps/docum.ph...A-2B3FC1102049

----------


## ed3110

[QUOTE=Kuzz;566455]Вкладка "Игнорируемые IP" как раз для этого

"В список игнорирования рекомендуется занести IP адреса администраторов  сети для исключения срабатывания программы."
То есть мне надо знать IP админа сети?Или заносить в список свой IP ,но он меня динамичный.
Я читал эти правила..честное слово я ещё торможу в этом, :Rtfm:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

Ну, 127.0.0.1 не динамический))

----------


## ed3110

> Ну, 127.0.0.1 не динамический))


Не а,мой адрес IP 92****** сегодня.А каким образом 127.0.01 ко мне относится , не могу понять...или я сам со своего компа отправляю пакеты(переходы с сайта на сайт,со страницы на страницу) на этот адрес?А так как 80 порт у меня открыт(со слов тестов) то APS и сигнализирует мне об этом?
Япона мать о я здесь выдал измышление-осталось узнать насколько оно верно...

----------


## ALEX(XX)

> .А каким образом 127.0.01 ко мне относится


http://ru.wikipedia.org/wiki/Localhost

----------


## ed3110

Для меня это всё ещё китайская грамота,но я из этого понял,что этот адрес не опасен и его можно занести в APS в игнорируемые....
Вообщем Всем спасибо...

----------


## Kuzz

127.0.0.1 - это специальный адрес, обозначающий свой компьютер.
Т.е. если моя машина зовется "Mycomp", то обратившись по адресу 127.0.0.1 я попаду на Mycomp. Другой человек, у которого машина зовется (к примеру) "Comp2", обратившись на 127.0.0.1 попадет на Comp2.

----------


## ed3110

> 127.0.0.1 - это специальный адрес, обозначающий свой компьютер.
> Т.е. если моя машина зовется "Mycomp", то обратившись по адресу 127.0.0.1 я попаду на Mycomp. Другой человек, у которого машина зовется (к примеру) "Comp2", обратившись на 127.0.0.1 попадет на Comp2.


Я догадался ,что именно это и происходит...судя по тому как сигнализировал APS,я ,получается,при любом переходе со страницы на страницу(в инете) я что обращаюсь постоянно к этому адресу?!
Я совсем запутался...ладно я его поставил в игнор(БОЛЬШЕ НЕ ПИЛИКАЕТ)...уже достал наверное Вас...Спасибо Вам! :Beer:

----------


## valho

> 24.01.2010 18:58:57	TCP	1433	10.4.186.200 	$01$00)$00$00$00$00$00$00$00$06$01$00$00$01$02$  00$00$01$03$00$00$04я$08$00$01U$00$00$00$00$$00  $00(41 байт)
> 26.01.2010 19:37:55	TCP	1433	10.4.178.34 	$01$00)$00$00$00$00$00$00$00$06$01$00$00$01$02$  00$00$01$03$00$00$04я$08$00$01U$00$00$00$00$0CZ$  02$00(41 байт)


И так целый день, каждые 10 секунд, народ в панике  :Smiley:  Переключил до стенки, до этого было во внешке

----------


## Neo-473

гм.А что это?

----------


## valho

> гм.А что это?


TCP1433 SQL Server Database Engine
Похоже червь
Ка бы правильно сказать - удалённая аутентификация пользователя используя переполнение буфера
linklogger.com/TCP1433.htm

----------


## Neo-473

я про это


```
24.01.2010 18:58:57 TCP 1433 10.4.186.200 $01$00)$00$00$00$00$00$00$00$06$01$00$00$01$02$ 00$00$01$03$00$00$04я$08$00$01U$00$00$00$00$$00 $00(41 байт)
26.01.2010 19:37:55 TCP 1433 10.4.178.34 $01$00)$00$00$00$00$00$00$00$06$01$00$00$01$02$ 00$00$01$03$00$00$04я$08$00$01U$00$00$00$00$0CZ$ 02$00(41 байт)
```

----------


## valho

Может стоит коды символов разобрать попробовать   DC2 NAK ESC FS GS FF что они значат

----------


## штушакутуша

Здравствуйте. Сейчас временно пользую Макафи и в статусе портов в APS все порты заняты другой программой. Если же выключить Макафи фаервол, а включить брандмауэр windows в APS на всех портах ведётся наблюдение. Значит ли это, что  брандмауэр windows абсолютно не пригоден ?

----------


## pig

Это значит, что файрвол McAfee кривой. Нафига ему порты слушать? Он их закрывать должен.  :Smiley: 

На самом деле, он, наверное, так и делает. Напрочь блокируя недоверенное приложение APS.

----------


## штушакутуша

Да это понятно, что Макафи ASP блокирует, значит и порты все закрыты. А при брандмауэре windows в ASP все порты слушает. Значит он (брандмауэр виндоус) ничего не закрывает ? Для меня этот вопрос очень важен, т.к лежит у меня КАВ2010 лицензионный, с аутпостом фрее скрестить его не очень получилось, и вот думаю его с виндовским брандмауэром поставить, но если он ничего не закрывает, то...как тогда?
 Вы тут вообще как думаете-что лучше: КАВ с брандмауэром windows или Макафи ? Что то мне Макафи не очень, ни AVZтом не пройтись, да и вообще...

----------


## Hanson

> 08.04.2010 14:10:12	TCP	80	192.168.9.225 CompName	HEAD / HTTP/1.0$0D$0AAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*$0D$0AUser-Agent: Mozilla/3.0 (compatible)$0D$0AHost: 192.168.9.241$0D$0A$0D$0A(144 байт)




что это может быть ???

----------


## pig

Запрос протокола HTTP. Спрашивали хост 192.168.9.241 о параметрах корневой страницы сайта.

----------

