Skocz do zawartości

Wykryto ataki ze skanowaniem portów - ESET SS 6


Rekomendowane odpowiedzi

Witam, zapora osobista z Eset Smart Security 6 co chwila informuje o wykrytych atakach ze skanowaniem portów:

 

http://wklej.org/id/952688/

 

Sprawdziłem w IP Location, ataki są z Polski i całego świata,

np:

IP address "41.200.77.38" is located @ Algeria Oran Wahran

 

O co tu chodzi? Czy można coś więcej zrobić dla bezpieczeństwa, np. zainstalować dodatkowy firewall, czy sam Eset wystarczy i nie ma się czym przejmować? A może coś w stylu Hide IP?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
zapora osobista z Eset Smart Security 6 co chwila informuje o wykrytych atakach ze skanowaniem portów

 

Baza wiedzy:

 

How do I resolve "Detected Port Scanning Attack" notifications?

 

"Important!

The notification below indicates that ESET Smart Security has detected and blocked an intrusion attempt. It does not indicate that your system is infected."

 

Czy w tle chodzi jakiś program typu P2P (np. z rodziny torrent)?

 

 

Czy można coś więcej zrobić dla bezpieczeństwa, np. zainstalować dodatkowy firewall, czy sam Eset wystarczy i nie ma się czym przejmować? A może coś w stylu Hide IP?

 

Jakiż sens ma podwójny firewall = duplikat funkcji, możliwość kolizji zadaniowej, obciążenie systemu.

 

 

 

.

Odnośnik do komentarza

picasso:

Czy w tle chodzi jakiś program typu P2P (np. z rodziny torrent)?

Nic mi na ten temat nie wiadomo. Raczej nie. Jest jakiś uniwersalny "remover" do tego typu programów?

 

Zamieszczam logi, proszę o sprawdzenie:

 

Autoruns: http://www22.zippyshare.com/v/28875370/file.html

Otl.txt: http://wklej.org/id/954603/

Otl.Extras: http://wklej.org/id/954604/

Gmer: http://wklej.org/id/953936/

Eset ss6: http://wklej.org/id/954601/

MBAM: http://wklej.org/id/954607/

Odnośnik do komentarza

Wyniki ze skanerów:

- Skan ESET: rzeczy nie związane ze sprawą i drobnica, wykryty crack do ESET oraz Win32/DobreProgramy (tak, bo program pobierany z dobrychprogramów jest opakowany w ich "downloader"). Programy pobiera się ze stron domowych a nie serwisów pośrednich.

- Skan MBAM: ponownie "kombinacja" do ESET, a wtyczka Alllayer (Scripter's Spectrum.svp) to fałszywy alarm i przywracaj z kwarantanny.

 

W logach nie ma czego szukać, a log z Autoruns należało zapisać w formacie TXT a nie natywnym ARN. Tylko drobne uwagi:

 

1. Zresetuj plik HOSTS do postaci domyślnej posługując się automatem Fix-it z artykułu: KB972034.

 

2. Masz dyski twarde zimmunizowane przypuszczalnie przez USBFix. To ma skutki uboczne na Windows 7 i usuń tę immunizację: KLIK.

 

O32 - AutoRun File - [2011/06/05 17:54:41 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2011/06/05 17:54:41 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]

 

3. Odinstaluj zbędny Akamai NetSession Interface oraz wszystkie stare produkty Adobe i Java. Najnowsze wersje: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Na Pulpicie powstanie folder "Stare dane programu Firefox" = wyrzuć.

 

5. Usuń resztę odpadków (szczątki adware, wpisy puste, pliki-śmieci od GG10). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1959856539-3730381286-2715423802-1000\..\SearchScopes\{3F7F71D9-CF9B-4cd3-8444-10C4C51FC410}: "URL" = "http://search.speedbit.com/searchresults.asp?src=default&q={searchTerms}"
IE - HKU\S-1-5-21-1959856539-3730381286-2715423802-1000\..\SearchScopes\{F647B796-9D71-4F53-910D-4D3FA3CB44B9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=4932650E-9F67-4C4B-B679-025D5D5C4296&apn_sauid=A68BDA87-697A-47CA-97DB-265FA466C33D"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{F17C1572-C9EC-4e5c-A542-D05CBB5C5A08}: C:\Program Files (x86)\DAP\DAPFireFox
O2 - BHO: (no name) - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - No CLSID value found.
O3 - HKU\S-1-5-21-1959856539-3730381286-2715423802-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O8:64bit: - Extra context menu item: &Clean Traces - C:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm File not found
O8:64bit: - Extra context menu item: &Download with &DAP - C:\Program Files (x86)\DAP\dapextie.htm File not found
O8:64bit: - Extra context menu item: Download &all with DAP - C:\Program Files (x86)\DAP\dapextie2.htm File not found
O8 - Extra context menu item: &Clean Traces - C:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm File not found
O8 - Extra context menu item: &Download with &DAP - C:\Program Files (x86)\DAP\dapextie.htm File not found
O8 - Extra context menu item: Download &all with DAP - C:\Program Files (x86)\DAP\dapextie2.htm File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Files
C:\Users\Anna\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Po restarcie uruchom Sprzątanie.

 

6. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Nic mi na ten temat nie wiadomo. Raczej nie. Jest jakiś uniwersalny "remover" do tego typu programów?

 

Tym "removerem" jest Panel sterowania.

 

 

 

.

Odnośnik do komentarza

Picasso, zastosowałem się do Twoich instrukcji, podaję świeże logi.

 

ESET SS6 Zapora osobista: http://wklej.org/id/956012/

 

OTL.usuwanie: http://wklej.org/id/955984/

 

Autoruns.txt: http://wklej.org/id/955996/

 

Autoruns.arn: http://www72.zippysh...77693/file.html

 

OTL.txt: http://wklej.org/id/956189/

 

OTL.extras: http://wklej.org/id/956191/

 

ATTACH: http://wklej.org/id/956254/

 

DDS: http://wklej.org/id/956255/

 

SecurityCheck - checkup.txt: http://wklej.org/id/956282/

 

Secunia System Score - 100%.

 

 

 

Ataki na porty nadal występują.

 

Picasso, czy mam po prostu tylko wyłączyć w opcjach zapory Eseta powiadamianie o atakach i się tym nie przejmować,

http://translate.google.pl/translate?sl=en&tl=pl&js=n&prev=_t&hl=en&ie=UTF-8&eotf=1&u=http%3A%2F%2Fkb.eset.com%2Fesetkb%2Findex%3Fpage%3Dcontent%26id%3DSOLN2951&act=url

czy też coś jeszcze jest do zrobienia?

 

 

Podpiąłem teraz do tego modemu z UPC innego laptopa, sprawdzę czy na niego też będą ataki...

No i jest różnica. Dla porównania - treść dziennika zapory osobistej Eseta:

Wykryto atak ze skanowaniem portów.

 

 

- z tego laptopa http://wklej.org/id/956953/ Wykryto atak ze skanowaniem portów.

 

- z drugiego laptopa http://wklej.org/id/957087/ Żadna aplikacja nie nasłuchuje na porcie.

Odnośnik do komentarza

Nie prosiłam Cię o logi, a zwłaszcza o powielanie danych (jeśli OTL to po co DDS, jeśli Autoruns w TXT to po co ARN). Wszystko już dawno sprawdzone, te modyfikacje to kosmetyka i brak związku z problemem, sprawa zamknięta. Tylko popraw po odinstalowanych Adobe / Java. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3 - HKU\S-1-5-21-1959856539-3730381286-2715423802-1000\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.

 

Klik w Wykonaj skrypt. Po tym Sprzątanie. Nie, żadnych logów nie pokazujesz.

 

 

Ataki na porty nadal występują.

 

Picasso, czy mam po prostu tylko wyłączyć w opcjach zapory Eseta powiadamianie o atakach, czy coś jeszcze jest do zrobienia?

 

Proszę o więcej info, po polsku

 

Podjęte tu działania nie mają żadnego związku z atakami notowanymi w ESET. ESET blokuje te ataki i nie ma tu nic więcej do roboty. Co do artykułu ESET, to w skrócie: artykuł opowiada, że powiadomienia o skanowaniu portów nie oznaczają infekcji i podaje rozwiązanie poziomu wizualnego wyłączenia powiadomień, by nie drażniły. Nic poza tym.

 

 

 

.

Odnośnik do komentarza

Ok picasso, kosmetyka zrobiona. Dzięki za pomoc.

 

picasso:

ESET blokuje te ataki i nie ma tu nic więcej do roboty.

Co do artykułu ESET, to w skrócie: artykuł opowiada, że powiadomienia o skanowaniu portów nie oznaczają infekcji i podaje rozwiązanie poziomu wizualnego wyłączenia powiadomień, by nie drażniły. Nic poza tym.

 

 

Wyłączyć powiadamianie o atakach można, ale czy nie jest zastanawiające, że na jednym laptopie Wykryto ataki ze skanowaniem portów http://wklej.org/id/956953/ , a wystarczy przełożyć tą samą wtyczkę z internetem do drugiego laptopa i już Żadna aplikacja nie nasłuchuje na porcie http://wklej.org/id/957087/ ?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...