firewall: demasiados ataques do mesmo ip - é normal?

sra · 28 de Setembro de 2008, 13:48

caros amigos,

desde talvez 5ª ou 6ª feira o firestarter está sempre a acusar 'ataques graves' do mesmo ip, na mesma porta, com o mesmo serviço.
começo a achar que isso não pode ser bom.
faço uma pesquisa no geotool e todos os ips 213 me dão para o mesmo sitio.
começo a ficar preocupado.
aqui fica uma imagem do firestarter: http://img229.imageshack.us/my.php?image=semttuloqt8.png
que devo fazer?

contraspambr · 28 de Setembro de 2008, 13:59

toma cuidado agora eu como uso windows tambem tenho um firewall que chama comodo firewall pro ele enche o saco pergunta tudo se pode autorizar maz sera que você instalou algum programa malware?

sra · 28 de Setembro de 2008, 14:02

não. só tenho ubuntu a correr. mas formatei o computador recentemente mas não acho que tenha instalado algo que não devia.

contraspambr · 28 de Setembro de 2008, 14:07

no meu windows tenho ums programas como babylon que você deve conhecer e um dicionario e outros softwares então o comodo fala que ele ta usando ip mas no windows e normal ja que tenho varios programas mas eu to atento ja entro virus no meu computador 3 vezes spyware agora qulquer coisa meto o avast ele

você ja viu no site do avast tem anti virus para linux será que serve para ubuntu?

VB5 · 28 de Setembro de 2008, 21:31

sra,

Citar
faço uma pesquisa no geotool e todos os ips 213 me dão para o mesmo sitio.
começo a ficar preocupado.

De fato, é na Rússia, mas não parece um hacker - tem nome, endereço e telefone, e provavelmente é um provedor (http://www.kspd.ru/) ... veja o WhoIs:

Citar
% Information related to '213.21.0.0 - 213.21.63.255'

inetnum: 213.21.0.0 - 213.21.63.255
netname: RU-DDCOM-20080218
descr: Demos Datacom
country: RU
org: ORG-DD5-RIPE
admin-c: SES53-RIPE
tech-c: VLAD2-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: DDCOM-MNT
mnt-routes: DDCOM-MNT
source: RIPE # Filtered

organisation: ORG-DD5-RIPE
org-name: Demos Datacom
org-type: LIR
address: Demos Datacom
Euegene Serebryakov
82 Pavlovskaya
196650 Saint-Petersburg, Kolpino
RUSSIAN FEDERATION
phone: +78124611028
fax-no: +78124611028
e-mail: ses@kspd.ru

Já a porta ( 135, porta de serviço) e o serviço (DCOM) estão relacionados a NETBios sobre TCP/IP, algo típico do Windows. Veja se estes links o ajudam:

Citar
http://www.forumpcs.com.br/viewtopic.php?t=90007

e

http://www.slackbr.org/forum/viewtopic.php?f=4&t=1485

Sugiro igualmente que teste sua máquina (com e sem a firewall) nos sites :

Citar
http://pcflank.com

e

https://www.grc.com/x/ne.dll?bh0bkyd2

para verificar suas portas.

VB5

PRSC · 29 de Setembro de 2008, 17:20

Quando dá trustealth analysis "failed", quer dizer o que, ficou tudo verde aqui.

E no outro deu Browser privacy check "danger", o restante deu ok.

Abraço.

VB5 · 30 de Setembro de 2008, 23:33

Citação de: PRSC online 29 de Setembro de 2008, 17:20
Quando dá trustealth analysis "failed", quer dizer o que, ficou tudo verde aqui.

E no outro deu Browser privacy check "danger", o restante deu ok.

Abraço.

Em qual dos dois sites, pcflank ou grc?...

VB5

PRSC · 01 de Outubro de 2008, 00:53

Citação de: VB5 online 30 de Setembro de 2008, 23:33
Citação de: PRSC online 29 de Setembro de 2008, 17:20
Quando dá trustealth analysis "failed", quer dizer o que, ficou tudo verde aqui.

E no outro deu Browser privacy check "danger", o restante deu ok.

Abraço.

Em qual dos dois sites, pcflank ou grc?...

VB5

Onde dá trustealth failed, é no GRC, e o privacy check danger no pcflank.

Abraço

0tacon · 01 de Outubro de 2008, 02:47

Se as portas aparecem em verde no teste do GRC, ótimo, elas estão escondidas.
Se no GRC dá failed mesmo assim, provavelmente seu Firestarter está deixando seu PC responder aos Pings. Vá à interface do Firestarter > edit > preferences e no menu Filtragem ICMP. Marque a caixa "habilitar filtragem de ICMP" mas não marque nenhuma das caixas abaixo. Faça o teste novamente e veja se dessa vez ele diz "passed".

PRSC · 01 de Outubro de 2008, 07:46

Fiz a mudança, e continuou igual, o único item que não passou no pc flank, foi o browser privacity check.

No GRC, fiz o teste normal, all ports, e continou tudo verde, mas não entendo porque a mensagem de failed em baixo, e depois testei aquele file sharing, que veio os resultados.

fica um menos na frente do aviso "Your internet port 139 does not appear exist!"
E um sinal de menos no aviso "Unable to connect with NetBio to your computer!"

Abraço.

Edit.
Com o icmp ativo, não consigo nem mandar a resposta do forum hehehe, vem pra mim salvar a pagina.
Tive que desabilitar

sra · 01 de Outubro de 2008, 17:58

antes de mais obrigado pela disponilidade demonstrada vb5

os links ajudaram a entender alguma coisa mas em termos práticos não fiz nada.

no site do pcflank fiz:
- teste de trojans: deu tudo stealthed;
- advanced port scanner: deu tudo stealthed;
- exploit tests: ' your system successfully defended itself from this attack!';
- stealth test: deu tudo stealthed;

do site do shields up também deu tudo certo, contudo todos os testes foram feitos com a firewall ligada (porque não sei como desligar).

VB5 · 02 de Outubro de 2008, 00:18

Citação de: sra online 01 de Outubro de 2008, 17:58
.........................
no site do pcflank fiz:
- teste de trojans: deu tudo stealthed;
- advanced port scanner: deu tudo stealthed;
- exploit tests: ' your system successfully defended itself from this attack!';
- stealth test: deu tudo stealthed;

do site do shields up também deu tudo certo, contudo todos os testes foram feitos com a firewall ligada (porque não sei como desligar).

Parabéns, sua máquina está bem defendida!...

para desligar temporariamente a Firestarter, basta clicar em "Parar Firewall", no menu da mesma. Acho que você não tem motivo para preocupação.

VB5

sra · 10 de Outubro de 2008, 18:18

desculpa a demora mas só agora tive tempo de vir à internet.

com tantos ataques que recebo tenho algum receio de desligar a firewall.

a minha dúvida é não entender porque é que recebo tantos 'ataques' daquele ip se antes isso não acontecia.

VB5 · 10 de Outubro de 2008, 22:49

Citação de: sra online 10 de Outubro de 2008, 18:18
desculpa a demora mas só agora tive tempo de vir à internet.

com tantos ataques que recebo tenho algum receio de desligar a firewall.

a minha dúvida é não entender porque é que recebo tantos 'ataques' daquele ip se antes isso não acontecia.

Isso não são ataques, apenas uma tentativa de conexão... o site insiste numa única porta de serviço, não está fazendo "portscan" nem nada do gênero. Pode ter sido pelo acesso a algum site que pegou seu IP, só isso. Se tem dual boot com W$, verifique neste se "Permitir NetBios sobre TCP/IP" está desabilitado.

VB5

sra · 11 de Outubro de 2008, 14:35

fiz stop firewall no firestarter e repeti os testes

no site do pcflank fiz:
- teste de trojans: deu tudo stealthed;
- advanced port scanner: algumas deram stealthed e as outras closed;
- exploit tests: tentei fazer várias vezes mas não avança;
- stealth test: deu tudo non-stealthed;

é normal dar stealth com a firewall desligada?

do site do shields up:
- as portas quase tudo closed e algumas stealthed;
- solicited tcp packets received (failed);
- unsolicited packets (passed);
- ping reply: received (failed);

ultimamente noto que aquele ip tenta outras portas.
e há alguma maneira de me livrar disto?
não tenho w$ desde 2007