Добавлю еще 5 копеек. Win2003 время от времени UDP-пакеты шлет со 137 порта (владелец - системный процесс) на неизвестные, нигде не зарегистрированные, непингуемые IP-адреса. Так что трояны, трояны и еще раз трояны ... Я молчу про то, скольео всего сливается к MS при Automatic Update.
[off]The Last Winged Да у меня 9.1 Personal тоже есть, правда англо-немецкая версия. Там злобному YaSTу память ой как нужна (128М) :vcrazy:[/off] Гость До чего хакеры дошли, встраивают троян на этапе сборки системы. А ты попробуй эти адреса через RIPN пробить, может там есть хоть регистрация для надсети. И для мазохистов: отладчиком в системе покопаться и найти злобный код. А про AU отдельная песня. Надо сначала скачать обновление и потом уже ставить. Devillio Служба времени есть и в W2K. Посмотри в списке служб W32Time. Да и вообще. Если машина не в сети, то выключить все службы, что сеть требуют и всё.
0000000042 2005.08.03 14:13:48.470 ipfw: 400 Deny UDP 192.168.2.100:137 62.241.53.17:137 out via eth1 0000000043 2005.08.03 14:13:48.560 ipfw: 400 Deny UDP 192.168.2.100:137 217.212.245.136:137 out via eth1 0000000044 2005.08.03 14:13:48.731 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.9.12:137 out via eth1 0000000045 2005.08.03 14:13:48.801 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.8.132:137 out via eth1 0000000046 2005.08.03 14:13:48.801 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.7.160:137 out via eth1 0000000047 2005.08.03 14:13:48.901 ipfw: 400 Deny UDP 192.168.2.100:137 64.12.25.28:137 out via eth1 0000000048 2005.08.03 14:13:48.901 ipfw: 400 Deny UDP 192.168.2.100:137 64.12.24.188:137 out via eth1 0000000049 2005.08.03 14:13:49.972 ipfw: 400 Deny UDP 192.168.2.100:137 62.241.53.17:137 out via eth1 0000000050 2005.08.03 14:13:50.062 ipfw: 400 Deny UDP 192.168.2.100:137 217.212.245.136:137 out via eth1 0000000051 2005.08.03 14:13:50.233 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.9.12:137 out via eth1 0000000052 2005.08.03 14:13:50.303 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.8.132:137 out via eth1 0000000053 2005.08.03 14:13:50.303 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.7.160:137 out via eth1 0000000054 2005.08.03 14:13:50.403 ipfw: 400 Deny UDP 192.168.2.100:137 64.12.25.28:137 out via eth1 0000000055 2005.08.03 14:13:50.403 ipfw: 400 Deny UDP 192.168.2.100:137 64.12.24.188:137 out via eth1 0000000056 2005.08.03 14:13:51.475 ipfw: 400 Deny UDP 192.168.2.100:137 62.241.53.17:137 out via eth1 0000000057 2005.08.03 14:13:51.565 ipfw: 400 Deny UDP 192.168.2.100:137 217.212.245.136:137 out via eth1 0000000058 2005.08.03 14:13:51.735 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.9.12:137 out via eth1 0000000059 2005.08.03 14:13:51.805 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.8.132:137 out via eth1 0000000060 2005.08.03 14:13:51.805 ipfw: 400 Deny UDP 192.168.2.100:137 205.188.7.160:137 out via eth1 0000000061 2005.08.03 14:13:51.905 ipfw: 400 Deny UDP 192.168.2.100:137 64.12.25.28:137 out via eth1 0000000062 2005.08.03 14:13:51.905 ipfw: 400 Deny UDP 192.168.2.100:137 64.12.24.188:137 out via eth1 Стоит wipfw, он и ловит ... Пробовал. RIPN говорит - незарегистрированные диапазоны адресов
тогда зачем бы мне файрвол? мужики, я как хакер - полный 0 (с минусом), но кажется дамп - это что то другое? нет? и что такое RIPN? попросим в студию мазохистов?
Гость Это тут лог файрвола, а дамп включает в себя и содержание посылаемой информации помимо конечных адресов. Так что pcap ом сдампь несколько попыток, а потом опять закрой доступ им через файрвол. Если это троян, то там будут всякие пароли и номера кредиток и другая личная информация(может и зашифрованные) А вот и ссылка http://www.ripn.net , а также http://www.ripe.net тут можно узнать на кого какой домен и IP адрес зарегистрирован.
не пользовался этой софтиной, разбираться влом Очень вряд ли. Как бы он на 137 порт UDP зацепился?! Повторяю, адреса не регистреные. Попробуй пробить здесь любой из IP из лога: http://www.ripe.net/whois Оно самое. http://www.sf.net/projects/wipfw
The Last Winged Может это подойдёт?http://www.winpcap.org/ Хотя пару месяцев назад у меня на w2k3 не очень хотел работать вплоть до синего экранчика BSOD. Гость Может правительственные, военные, секретные адреса? (про страну молчу)
заебсцца. Господа, вы обороты то сбавьте. Вас еще я читаю. Мне, как пользователю-обывателю и начинающему сисадмину страшно читать: "правительственные, военные, секретные адреса"... Какое это имеет отношение к моему компьютеру и медиаплееру с ерроррепортером в частности?
62.241.53.17 - DP-SPITE1 Spite Media ... 217.212.245.136 SE-AKAMAI Akamai International B.V. ...... 205.188.9.12 и 64.12.25.28 America Online, Inc AMERIC-59 и AMERIC-158 ..... как-то странно пробовал
Пенсионный фонд? Ваши базы и так давно слиты а это по просбе юзверов - исправили, включая мою:eviltongu
Действительно, есть инфа. Тут всё ясно. На Akamai как раз Microsoft и хостится. Скорее всего это сервера - "черные дыры", т.е. слушают, собирают инфу. Сами нигде не прописаны (разве что их IP в коде MS Windows :-) ) и ничего не отвечают. Это иходящий адрес. Внутренний IP сервера. Я не собираюсь ничего доказывать. Просто привел факт. Пусть спецы разбираются что куда MS сливает. На других машинах такое должно повториться. Проверьте свои файрволы.
Вот и выяснили, что linux лучше, чем windoze: ведь даже NecroSoft юзает его, а не windoze(Апач на RHL вместо IIS на windoze)
В общем однозначно можно сделать вывод, что следит. Дальше предлагаю в эту тему оставлять доказательства этого злодеяния (какие приложения, что, куда и как отправляют)
Гость Очень интересно, почему у меня ничего такого подозрительно не происходит? Если куда и ходит винда самостоятельно, то только на винапдейт.
Не знаю. Может у меня винда-2003 кривая. А может ты просто не видишь, что у тебя винда ходит ... налево Повторяю, что отловил только факт "уплыва" UDP пакетов на определенные адреса, объяснить это я не могу.