Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 
Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum
Jazyk
Výber jazykovej mutácie:

FAQ  •  Search  •  Register  •  Log in to check your private messages
Log in  •  Maximize
The time now is 16.06.2024 - 01:49

SKFREE Forum Index » SKFree Network » Software

syn flood na nahodne ip-cky na porte 135

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 2 of 3 < 123 >
Author Message
alwarez
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 22.05.2005 - 15:41 #19725
Basic


Joined: Máj 22, 2005
Posts: 477
Location: Michalovce
iptables -I FORWARD -p tcp --dport 135:139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP
a
iptables -I FORWARD -m p2p --p2p all -j DROP

su zarucene dobre pravidla pre iptables Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
si
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 22.05.2005 - 16:02 #19730
Majster


Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
alwarez: no tak tymto ale posles doprec aj moznost pouzivat vzdialene sambaservery, co velmi vhodne nie je...
 
 View user's profile Send private message Send e-mail Visit poster's website  
Reply with quote Back to top
eXplorer
Post subject: syn flood na nahodne ip-cky na porte 135  PostPosted: 22.05.2005 - 17:06 #19737
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
vzdialene sambaservery ? to niekto na inete prevadzkuje verejne samba servery ? to som nevedel Very Happy so ziadnym som sa totiz zatial nestretol. Co sa tyka lokalnych v intranete staci to pravidlo malinko rozsrit a to tak ze sa nevztahuje na intranetove IPcky:

Code: › $IPTABLES -A FORWARD -p tcp -d ! 192.168.0.0/16 --dport 135:139 -j DROP
$IPTABLES -A FORWARD -p tcp -d ! 192.168.0.0/16 --dport 445 -j DROP


ja pre istotu blokujem aj UDPcko na tychto portoch, par cervickov uz floodovalo aj takto ...

Code: › $IPTABLES -A FORWARD -p udp -d ! 192.168.0.0/16 --dport 135:139 -j DROP
$IPTABLES -A FORWARD -p udp -d ! 192.168.0.0/16 --dport 445 -j DROP
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
si
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 22.05.2005 - 17:12 #19738
Majster


Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
eXplorer: v tvare v ktorom to bolo napisane vyssie to zablokovalo sambaservery aj v ramci siete, ak neboli priamo na danej LANke (hadam to je pochopitelne)
 
 View user's profile Send private message Send e-mail Visit poster's website  
Reply with quote Back to top
eXplorer
Post subject: syn flood na nahodne ip-cky na porte 135  PostPosted: 22.05.2005 - 17:26 #19740
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
jasne, vsak preto som doplnil to rozsirenie Smile ale z tvojej odpovede mi nebolo jasne ci tymi vzdialenymi samba servermi nemyslis inetove samba servery ...
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
goose
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 24.05.2005 - 09:43 #19781
Ucen


Joined: Nov 04, 2003
Posts: 544
ondro: ja neviem co riesis.... presne toto som mal u seba na sieti... posielalo to vyse 1000paketov za sekundu,co odpisalo wifi..

podla ip presne vidis kto ten virus ma,tak mu zavolaj,ze nech si laskavo vypne kabel z pocitaca,kym si nevyriesi problem s wirusom... pripadne k nemu nabehni sam....
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
eXplorer
Post subject: syn flood na nahodne ip-cky na porte 135  PostPosted: 24.05.2005 - 14:29 #19797
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Quote: › podla ip presne vidis kto ten virus ma,tak mu zavolaj,ze nech si laskavo vypne kabel z pocitaca,kym si nevyriesi problem s wirusom... pripadne k nemu nabehni sam....


Nie vzdy je to take jednoduche, u nas na sieti sme mali trojana RBOT.gen ktory floodoval 1000 paketov za sekundu ALE spoofoval zdrojove IPcky a aj MAC adresy Very Happy to znamena ze zavirenca najdes len tak ze budes odpajat kable zo switchu Razz Na tohto cerva nema ani SASSER a BLASTER je to fakt dobra swina Very Happy najlepsie je ze sa v pohode dokaze spustit na jednej masine aj viac krat !!! a to uz je vrchol lebo potom flooduje nielen na porte 135 ale aj na dalsich napriklad 80, to uz sa blokovat neda nejak "pausalne".
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
fleg
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 24.05.2005 - 14:44 #19798
Majster


Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
rbota som uz odstranoval parkrat. zeby spoofoval som si nevsimol ale ze sa dokaze reinkarnovat zahadne to mozem potvrdit. dalsou zaujimavostou ze nod ho sice zachyti ale az ked je neskoro (cize nie pri nakaze ale az ked sa prejavi napr floodovanim).
posledny mesiac su popularne rozne rootkity ktore su niekedy akoby neodstranitelne. vycistite komp nod najde 50 virov date zmazat spravite novu kontrolu a je ich tam 20. zmazete spravite novu kontrolu a este su tam 3 (inak stale tie iste zachytene pri prvom skene a zmazane). az na 4x hlasil nod cisty disk. pocitac potom poslucha asi tyzden a o tyzden tam klusam znovu. znefunkcnene registre, odpileny nod, task manazer a vsetky systemove programy ktore by ho mohli zneskodnit.
ak by sa preukazalo ze rbot dokaze aj spooofovat ip a mac tak by ma slahlo (ale osobne tomu neverim)
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: syn flood na nahodne ip-cky na porte 135  PostPosted: 24.05.2005 - 14:56 #19799
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
RBOT to vazne dokaze Very Happy ale nespravi to hned, najprv flooduje segment lokalneho intranetu teda 192.168.0.0/16 alebo 10.0.0.0/8 (co je odost horsie:D ) a potom sa pusti do inetu ... nahodne si vybera rozsahy ... ked ho nechas bezat este dlhsie zacne vyvadzat take veci ako je spoofing Razz

Co sa tyka NODu tak uz je to myslim v pohode, problem v case ked sme mali RBOT u nas bol ten ze ten vir je asi polymorfny a navyse existuje pomerne vela variant (to je pochopitelne ked autor zverejnil zdrojak aj s navodom na upravy Razz). NOD nechytal mutacie a tiez rozne variant, v ESETe zacali pridavat niekolko 10tok RBOTov denne Laughing po par dnoch bol klud ...

Tie problemy co mas s virusmi skus riesit tak ze si das najnovsi NOD (ako soft nielen virove bazy) lebo obsahuje analyzator trafficu a uz tusim aj firewall. A potom skus to swinstvo odstranovat tak ze nabootujes do safe modu, tam sa totiz nespusta nic - cize ani virusy nie Very Happy Problemy ktore popisujes sposobuju trojany a cervy ktore su "viac zlozkove", teda napriklad ma 3 casti, jednu zmazes a tie ostatne ju automaticky doplnia zo zalohy Laughing
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
fleg
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 24.05.2005 - 22:55 #19810
Majster


Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
ja ostranujem viry prfesionalne...t.z. ze sa tym zivim;o). samozrejme ze nod bol najnovsi (2.5) plus nove databazy a ze ked zlyha vsetko musim do nudzoveho rezimu. vacsinou si vsak pomaham externymi programami ktore dokazu napr killovat beziace procesy prip ich stromy potom idem na registre restart a az potom pustam antivir (problem je ze niektore viry sa skusaju usadit ram tam tento postup nepomaha).
ale posledne varianty virusov ma naozaj matu hlavne to ako sa dostavaju do kompov ktore si zafirewalovane a maju antiviry. skoro by som povedal ze zneuzivaju nejaky noy bug v systemy ako sasser a blaster.
co sa tyka trojanov mam s nimi viac prace ako s virusmi nakolko sa lubia zahooknut napr na ie a to sa vregistroch cistit rucne ani neda (zaberie to moc casu a aj tak na nieco zabudnete).
na viry by som vsak zalozil asi novy thread nakolko ma rootkity doteraz obchadzali ale mozu byt buducnosti problemy s nimi. pokial totozto antivivr nezachyti rootkit v kerneli nie je sanca ho rucne odtial dostat. okrem toho nakazeny kernel nahradit xp novym...to sa snad ani neda;o)
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
krtko
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 25.05.2005 - 14:31 #19842
Basic


Joined: Jan 21, 2004
Posts: 425
Location: Rimavska Sobota
fleq: riesil som uz podobne veci, a zatial sa mi celkom osvedcil postup format Smile, instal XP, SP2, nod a az tak na siet a windows update, ak uz som mal PC nakazene bez SP2 nestacilo uz iba nahrat SP2 nemalo to ziadny efekt. takze pekne postavit PC nanovo a odvtedy mam pokoj "relativny" Smile
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
fleg
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 25.05.2005 - 18:55 #19850
Majster


Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
krtko ked riesis komp na ktorom bezi firma je to trosku ine ako ked riesis svoj komp kde je nahratych max tak par hier. formatovat som musel zatial len raz a doteraz to povazujem za svoju osobnu prehru (formatovat vie kazdy;o)).
co sa tyka sp2 ja klientov od neho odhovaram;o))
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
krtko
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 25.05.2005 - 19:17 #19856
Basic


Joined: Jan 21, 2004
Posts: 425
Location: Rimavska Sobota
no tak bez SP2 ti je sicko ostatne ... platne, a format je velmi rychla zalezitost aj vo firmach, predsa backup nie je ziadny problem. ide o to ze ked som dal PC bez SP2 na siet, tak nemal sancu, a presvetcit userof o nejakych firewalloch a pod ...
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
si
Post subject: RE: syn flood na nahodne ip-cky na porte 135  PostPosted: 25.05.2005 - 19:55 #19860
Majster


Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
hmm no co sa pliagy sirenej po nete tyka, tak dnes su na to najlepsie odolne stare wokna (9x, pripadne 3.11 & spol, tam tie cervy uz vobec nemaju sancu Very Happy )
 
 View user's profile Send private message Send e-mail Visit poster's website  
Reply with quote Back to top
eXplorer
Post subject: syn flood na nahodne ip-cky na porte 135  PostPosted: 25.05.2005 - 21:35 #19865
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
SI: hlboko sa mylis Laughing tie cervy akurat nemaju sancu sa tam dostat sami napadnutim stroja cez siet, no pokial si ho userko doslova "nainstaluje" tak zaviri aj Win 3.11 a bude bude floodovat ako divy. Navyse pokial pouziva IE tak tu je moznost aj "samoinstalacie" Razz v pripade ze userko navstivi ten spravny web sajt, divil by si sa kolko existuje web sajtov ktore ti pri ich navsteve do systemu supnu napriklad taky RBOT Wink No a ako poznam beznych userkov loziacich v 95% iba po porno a warez weboch takato samo-instalacia cervikov tu je na dennom poriadku a ak sa ho browser aj daco spyta ohladom stahnutia/instalacie vacsinou to "odEntruje" ...
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 2 of 3 < 123 >
Jump to:  

SKFREE Forum Index » SKFree Network » Software
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)