Дважды за последнюю неделю Аутпост (4 версия) выдавал сообщение об атаках: "Сканирование портов 1029, 1031, 1034, 1035" и "...2052, 2053, 2063, 2064", оба раза указан IP 192.168.1.1 ...
Что может значить?:?
Printable View
Дважды за последнюю неделю Аутпост (4 версия) выдавал сообщение об атаках: "Сканирование портов 1029, 1031, 1034, 1035" и "...2052, 2053, 2063, 2064", оба раза указан IP 192.168.1.1 ...
Что может значить?:?
обычно такой адрес имеет шлюз или роутер, какое подключение к инету используется и используются подобные устройства? обычно можно сделать игнор. этого сообщения.
Да я понял, что это модем, но почему фаер опознает как атаку? Не первый год, однако оборудование стоит...Подключение ADSL, модем D-Link 2500 BRUD
Разве сам модем можно заразить чем -либо?
[QUOTE]но почему фаер опознает как атаку?[/QUOTE]
Параноидальность...
[QUOTE]Разве сам модем можно заразить чем -либо? [/QUOTE]
Можно...
У меня такой модем, никто никого не атакует... Может и заразился чем-нибудь, например Psyb0t
Вот только что снова сообщение об атаке от модема на порты 3375-3381. О параноидальности фаера говорить не приходится- не один год связка работает
Как просканировать модем антивирусом? Никогда не задавался таким вопросом, устройство-то внешнее...
[QUOTE=gorill;448813]Вот только что снова сообщение об атаке от модема на порты 3375-3381. О параноидальности фаера говорить не приходится- не один год связка работает
Как просканировать модем антивирусом? Никогда не задавался таким вопросом, устройство-то внешнее...[/QUOTE]
А его не нужно сканировать - необходимо:
1. отключить модем от внешней сети, отсавить только LAN
2. перезалить в него прошивку, скачав ее с сайта производителя
3. задать в админпанели модема сложный пароль админа
4. Если есть настройка безопасности в плане того, из каких сетей разрешено подключение - то оставить только LAN, управление модемом из WAN запретить
5. Подключить модем к внешней сети и наблюдать
[QUOTE='Зайцев Олег;448815']2. перезалить в него прошивку, скачав ее с сайта производителя
3. задать в админпанели модема сложный пароль админа
4. Если есть настройка безопасности в плане того, из каких сетей разрешено подключение - то оставить только LAN, управление модемом из WAN запретить[/QUOTE]
Сделано давно, кроме WAN (там настройки доступа провайдера вписаны) и прошивки, вот ее-то я и залил (с оф. сайта!) с месяц назад и такое ощущение, что с ее появлением и пробудился какой-то зверь... Вот только что Аутпост снова выдал, что заблокировал атаку на порты 1446, 1447, 1461, 1462...
Прошивку менял из-за самопроизвольного отключения сети, в техподдержке D-Link настоятельно посоветовали сменить (была самая первая версия) на самую новую. В итоге и сеть также обрывается и атаки получил...
А каким образом вообще происходит "заражение модема".
Достаточно посетить не надежный сайт?
Запустить невесть что на своей машине?
Или есть другие варианты?
[QUOTE='kLen;449466']А каким образом вообще происходит "заражение модема".[/QUOTE]
Сам думаю:как? Нарыл в инете немного инфы по заражению модемов, но все касается Линукса.
Ау! Умные головы! Ну кто-нить знает, как с этим бороться? Или выбросить модем и купить новый?
[QUOTE=kLen;449466]А каким образом вообще происходит "заражение модема".
[/QUOTE]
Все очень просто - стоит только расмотреть "роутер" или "ADSL модем-роутер" с технической точки хрения. А это не более чем обычный компьютер, снабженный несколькими сетевыми интерфейсами, модулями ADSL и WiFi и т.п. В простейшем случае это микрокомпьютер - у него небольшой объем ОЗУ, слабенький процессор, Flash память вместо диска и т.п. - но это тем не менее полноценный компьютер. Операционной системой у него как правило является тот или иной клон Linux, урезанный до минимума и снабженный WEB оболочкой для управления. Как следствие, нет принципиальной разницы между заражением такого "компьютера" и обычного ПК под Linux (незаражаемость которого является не более чем байкой). Условие заражение - соблюдение одного из двух условий:
- возможность доступа к модему по сети по Telnet и/или FTP. Атака может идти как из LAN, так и из WAN (как правило именно из WAN). Можно удивляться, но факт есть факт - у массы пользователей пароль пустой, доступ из WAN для администрирования открыт и можно творить на их модемах что угодно. В правильно настроенном модеме/роутере это невозможно (под правильностью понимается сложный пароль и запрет доступа из WAN к управлению модемом)
- программное обеспечение модема содержит "дырки", позволяющие таковать его через уязвимость. Это редкость, но исключать ее нельзя
Далее само заражение тривиально - получив доступ к модему извне злоумышленникам досточносто применить WGET или его аналог для того, чтобы закачать программный код зловреда и затем запустить его ...
[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]
[QUOTE=gorill;449273]
Прошивку менял из-за самопроизвольного отключения сети, в техподдержке D-Link настоятельно посоветовали сменить (была самая первая версия) на самую новую. В итоге и сеть также обрывается и атаки получил...[/QUOTE]
D-Link - это "хорошая" штука. По опыту прошивки сырые, глюкавые, и стабильная работа определяется везением (если повезет на конкретной модели с конкретной прошивкой, стабильно работающей на конкретном провайдере). Ответов у саппорта всего два - "поменяйте прошивку на самую новую" и "какая у вас прошивка - самая новая ? ну тогда понятно... там есть баг - к 2115 году мы его обязательно исправим" :)
Путей решения конкртно данной проблемы три:
1. Выкинуть Firewall и заменить его сниффером - и посмотреть, что и откуда идет и что вообще там творится. Если нет опыта в таких делах, то лучше призвать на помощь знакомого системщика
2. Выкинуть заменить модем самодельным роутером на базе чего-то из Unix-ов, например на базе FreeBSD (сам модем будет подключен к нему именно "модемом"). Это громоздкое решение, но зато получим предсказуемое поведение, и аппрат будет работать, пока не сломается (для установки и настройки потребуется опять же привлечь знакомого ситемщика). Для дома малоприемлемое решение ...
3. Пытаться разобраться в настройках модема и с тем, что творится с его прошивкой, долбая техподдержку. Я бы советовал для начала разобаться, как настроен Firewall и NAT, и в каком режиме работает модем (бриджа или роутера). Модем должен быть роутером, Firewall и NAT включены, все фичи со словом "DMZ" - выключены
Я бы посоветовал решать проблемы в порядке 3 - 1 - 2 ..
[QUOTE='Зайцев Олег;449560']долбая техподдержку[/QUOTE]
Долбал саппорт D-Link пару мес, пока не пришел раздраженный ответ насчет смены прошивки :), у саппорта провайдера ответов два: глючит модем и вызовите нашего инженера. Не считаю себя специалистом, но настроить модем самому, тем более имея под рукой мануал от самого провайдера, не так уж сложно, все же вызвал ихнего специалиста "инженерной конструкции" :), он снес все настройки и [B]по мануалу, сохраненному в моем (!!!) компе[/B] набил настройки заново (ессно- те же самые :) ). Отобрал у меня 300 руб и ушел. Вот такие дела...Какой модем посоветуете, господа специалисты?
Zyxel
А вообще и D-Link нормально работает, если не гоняться за наисвежайшими прошивками. Так что попробуйте откатить версию прошивки на оригинальную.
где-то пол года назад, сменил прошивку модема на новую. (скачал с оф-сайта. модем D-Link). после замены прошивки, firewall выдал сообщение - "сканирование портов. атакующий узел - 192.168.1.1 "
откатил версию прошивки назад. (на заводскую). "проблема" исчезла.
модем успокоился :)
От Зайцева Олега прозвучала мысль об обязательности настройки модема роутером. У нас так и было в течение 2-х лет. А когда у провайдера начались проблемы с устойчивостью соединения, буквально "выдушили", чтобы настроили бриджом. Связь от этого лучше не стала. Перепрошивать, слава Богу, я так и не собралась. Почитала эту тему и радуюсь. Все тот-же D-Link. Продвинутые друзья (среди них есть и системщики) и саппорт мне так и не объяснили, чем бридж отличается от роутера, и что предпочтительнее. Я имею в виду не принцип организации подключения к интернет, а устойчивость соединения и прочие прелести. Получается лучше роутер? А зачем саппорт рекомендует бридж? Саппорт - вредители? Прелесть общения с саппортом отдельная душевная песня...
[QUOTE=Elena;456108]От Зайцева Олега прозвучала мысль об обязательности настройки модема роутером. У нас так и было в течение 2-х лет. А когда у провайдера начались проблемы с устойчивостью соединения, буквально "выдушили", чтобы настроили бриджом. Связь от этого лучше не стала. Перепрошивать, слава Богу, я так и не собралась. Почитала эту тему и радуюсь. Все тот-же D-Link. Продвинутые друзья (среди них есть и системщики) и саппорт мне так и не объяснили, чем бридж отличается от роутера, и что предпочтительнее. Я имею в виду не принцип организации подключения к интернет, а устойчивость соединения и прочие прелести. Получается лучше роутер? А зачем саппорт рекомендует бридж? Саппорт - вредители? Прелесть общения с саппортом отдельная душевная песня...[/QUOTE]
Очень упрощенно, то, что важно для вас: в режиме роутера ваш модем является устройством, имеющим внешний IP-адрес и, соответственно, видимым в сети. В режиме бриджа таким устройством будет ваша машина, подключенная к этому модему. Естественно, безопаснее режим роутера. Кроме того, роутеры, как правило, обладают дополнительным функционалом (сетевой экран, NAT) - в режиме бриджа этот функционал не будет задействован. Техподдержка могла предложить режим бриджа по целому ряду причин: подозревали, что роутер неверно настроен, требовался функционал, который вашим модемом не поддерживается (например, установка VPN-канала), итд, итп. Они - не вредители, просто они предложили сделать так, как им удобнее, а не вам безопаснее :)
Большое спасибо. В качестве общей информации действительно самое то. Коротко и понятно.
Добавлю только то, что D-Link-овские модемы очень часто не могут выполнить пересоединение при смене сессии в режиме роутера. С этим очень многие встречаются и соответственно это не проявляется в режиме бриджа, т.к. соединением управляет именно компьютер а не модем.
[QUOTE=Kuzz;456600]Добавлю только то, что D-Link-овские модемы очень часто не могут выполнить пересоединение при смене сессии в режиме роутера. С этим очень многие встречаются и соответственно это не проявляется в режиме бриджа, т.к. соединением управляет именно компьютер а не модем.[/QUOTE]
Не наблюдал подобного
[QUOTE='Venus Doom;456716']Не наблюдал подобного [/QUOTE]
[url]http://www.google.com/search?q=D-Link+%D0%BD%D0%B5+%D0%B2%D0%BE%D1%81%D1%81%D1%82%D0%B0%D0%BD%D0%B0%D0%B2%D0%BB%D0%B8%D0%B2%D0%B0%D0%B5%D1%82+%D1%81%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5&ie=utf-8&oe=utf-8[/url]
Зависит от модели и версии прошивки, как обычно.
2500U Более я в подробности не вдаюсь. Надеюсь, будет и дальше работать стабильно
Kuzz
Спасибо за дополнительный комментарий. Прошу прощения, что из-за моего поста беседа ушла на D-Link_и и провайдеров, отклонившись от прямой темы. А вообще, очень много зависит от провайдера. У меня бридж чаще всего соединение не поднимает. Вот я и говорю, а есть ли смысл в нем тогда, если это еще и доп. уязвимость?
Нужно настроить по-старинке, роутером. Еще раз спасибо за объяснения.