Printable Version of Topic Click here to view this topic in its original format

Forums > Флейм > Поставил Outpost Pro 2.1, и что он мне показывает

Posted by: Xela_Skiy on 11-03-2004, 23:42

Почитал топик про фаерволы, почитал журнальчики, и решил поставить Outpost, попробовать. Попробовал, и вот что увидел. (это часть лога) 08:26:21 SYSTEM UDP 10.0.0.3 9107 Пакет на закрытый порт 08:26:21 SYSTEM UDP 10.0.0.3 9108 Пакет на закрытый порт 08:26:21 SYSTEM UDP 10.0.0.3 9106 Пакет на закрытый порт 08:26:20 SYSTEM UDP 10.0.0.3 9105 Пакет на закрытый порт 08:26:19 SYSTEM UDP 10.0.0.3 9104 Пакет на закрытый порт 08:26:18 SYSTEM UDP 10.0.0.3 9103 Пакет на закрытый порт ....................................... 10.03.2004 23:04:24 SYSTEM UDP 10.0.0.3 30182 Пакет на закрытый порт 10.03.2004 23:04:23 SYSTEM UDP 10.0.0.3 30181 Пакет на закрытый порт и так далее. Вообщем, некто System, по адресу localhost, локальный порт 445, протокол UDP, сканит мой роутер (10.0.0.3), если я все правильно понимаю. Причем, что интересно (может конечно мне показалось, но...) старается делать это замаскировано. Это выражается в том, что когда сетевая активность большая, осел например запущен, то перебирает порты очень активно, как только все повырубал, то перебирает дальше, но довольно незаметно, пару раз в минуту. Система WinXp Prof с последними обновлениями. Поделитесь мыслями, что это, или кто это ? А я полез в инет дальше искать.

Posted by: Ben on 12-03-2004, 11:41

Выписка из болезни (winnt\system32\drivers\etc\services) microsoft-ds 445/tcp microsoft-ds 445/udp что именно означает етот дс - неизвестно мне. Похоже на SQL server Посмотри, есть ли на машине. Если есть - то в ODBC->data sources может быть какая-то завязка на него. Если нету - то может быть, IIS стоит с Красным Кодом. Т.е заражен твой комп кодом етим. Чистилки есть в и-нете. Больше идей нету

Posted by: grif on 12-03-2004, 15:19

QUOTE (Ben @ 12-03-2004, 10:41): Чистилки есть в и-нете. Больше идей нету а как искать ?

Posted by: Xela_Skiy on 14-03-2004, 01:40

Вообщем, так сказать, отчет о проделаной работе. После не очень продолжительных поисков, в ситеме был обнаружен троян, довольно свежий (везет же мне) Trojan.Spy.Win32.Briss.c (http://hq.mcafeeasap.com/dispVirus.asp?virus_k=101058. Хотя сам виноват (тут мне становиться стыдно). Трояна успешно распознал онлайн тест Касперского и скачаная мною свежая ознакомительная версия DrWeb. Установленный у меня McAfee 6, почему то не нашел ничего, даже с установленным последним обновлением, которое предлагалось по ссылке выше. Вообщем, тот ЩИТ который McAfee рисуюет в панели задач, никак себя не оправдывает. Ну да бог с ними, вернемся дальше к нашим проблемам. Удаление трояна прошло успешно, но не принесло ожидаемых результатов. То есть сканирование портов так и продолжаеться дальше. После чего, я сосредоточил свои усилия, на отключении службы Microsoft-DS, которая, как я понимаю, осуществляет поддержку NetBios over TCP/IP. Я считал ее ВИНОВНОЙ, потому что в TCPView (http://www.sysinternals.com/ntw2k/source/tcpview.shtml она отображалась как SYSTEM, и как видно из моего первого поста сканирование ведется тоже от SYSTEM. Отключение Microsoft-DS - это отдельная история. Вычитал в инете, что Аутпост показывает процессы, которые не может корректно распознать как системные. Это я к тому, что я зря считал виновником "Microsoft-DS". Так как после его отключения ничего не изменилось, в журнале Аутпоста "заблокированные", все та же картина. Отсутствие результата - тоже результат. Но утешает это мало. Счастливые обладатели Outpost Pro, помотрите в журнал "Заблокированные", что у Вас там ? Тема остается открытой, принимаются любые предложения

Posted by: Xela_Skiy on 16-03-2004, 01:04

Многоуважаемая публика Я надеюсь я Вам еще не надоел Вообщем все счастливые владельцы Outpost Pro могут спать спокойно, и в журналы лучше не заглядывать, знать будете меньше, а спать крепче. Ну а если конкретно, то не было у меня никакого сканирования портов. Просто у моего роутера есть возможность сохранения логов соединений. Так вот, эту возможность он реализует путем передачи SNMP TRAP пакетов на локальный хост, который ему заблаговременно указывается. Со своей стороны, он почему то посылал каждый пакет с нового порта (1,2,3 .....4000,4001,4002 и т.д.) Поэтому то я и принял это за сканирование портов, а точнее сказать, неправильно интерпритировал показания Аутпоста. Я ни когда не задавался вопросом, как пишуться логи у таких устройств (я сейчас про железные утройтсва), но по моему, так как это реализованно в моем выглядит довольно странно. Если кто то владеет этим вопросом на более проффесиональном уровне, прошу поделиться соображениями по этому поводу. Ну а я по возможности проанализирую, как это реализовано в других устройствах. Ну а так, проблема решена, может кому пригодится. Спасибо, что не проходили мимо

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)