Firestarter indicando invasão! - Eu ão sei o que fazer...

Iniciado por Alakazan, 03 de Dezembro de 2008, 22:09

tópico anterior - próximo tópico

Alakazan

Time: Dec  3 22:07:02 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48210 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido
Time: Dec  3 22:07:05 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48213 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido
Time: Dec  3 22:07:08 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48205 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido
Time: Dec  3 22:07:09 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48215 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido

E por aí vai... Foram já umas 1000 portas... o que que eu faço???
Ele segurou a (tentativa de)invasão??
PC é como ar-condicionado: é só abrir Windows que ele para de funcionar.
Tentando ser melhor - desculpem o incômodo!

Alakazan

#1
DETALHE: no meu alternador de usuários tá com mais um usuário: "Sabayon User"...
PLEASE, ALGUÉM PODE DIZER O QUE ESTÁ OCORRENDO?????????????????????????????????
PC é como ar-condicionado: é só abrir Windows que ele para de funcionar.
Tentando ser melhor - desculpem o incômodo!

Alakazan

O que eu façoooo?????????????
Minha casa está em rede, eu sou totalmente noob em internet, no momento estou de um live CD de outra distro e com outro IP...
O que eu posso fazeR?
PC é como ar-condicionado: é só abrir Windows que ele para de funcionar.
Tentando ser melhor - desculpem o incômodo!

Kairion

Cara, pra que esse "escândalo" todo?
Primeiro, não precisava postar mais duas vezes, todas hoje, separadas por minutos apenas, podia ter esperado um dia pelo menos.

Agora passando para a ajuda, onde você viu que o firestarter indica invasão?
Pode postar uma screenshot dele dizendo isso?
Pois se for por causa do ícone dele ficar vermelho, é a coisa mais normal do mundo, pois ele tem que bloquear algo, afinal, é a função dele.
E, se você pegou estas informações da aba eventos, então leia um pouco acima da lista, e repare que estes itens foram bloqueados (está no topo, abaixo das abas e acima da lista, em negrito), escrito Conexões bloqueadas, aqui mesmo deve ter mais de 1000 portas também nessa lista, mas bloqueados, tem até 5 que estão com em vermelho, que o Firestarter indica como "sério".
Então, fique tranqüilo, pois está tudo bloqueado.

Sobre este Sabayon User, quando ele surgiu?
Talvez ele tenha sido criado por você ou por algum programa, certifique-se de que não seja isto, e caso não seja nenhuma destas opções, clique com o botão direito no alternador de usuários, clique em editar usuários e grupos, clique em desbloquear, digite a senha do administrador (a do seu usuário), depois clique com o botão direito encima deste usuário e clique em excluir.
Prontinho, o usuário "incomodo" não existe mais.

Abraços  ;)

Alakazan

Minhas porta estou clsed e não sthealted. Como posso sber se ninguém comsegui entrar? E como as oulto (sthealted)?
PC é como ar-condicionado: é só abrir Windows que ele para de funcionar.
Tentando ser melhor - desculpem o incômodo!

Kairion

Infelizmente isto eu não sei, aqui eu apenas instalei ele e nos testes minhas portas ficaram como sthealted, mas closed (fechadas), já devem ser o suficiente para impedir a entrada de outras pessoas.
O perigo seria se elas estivessem abertas.
De qualquer forma, não custa esperar alguem especializado com Firestarter para lhe ajudar a ocultar as portas.

Abraços  ;)

VB5

#6
Alakazan,
pelo que você postou não se trata de invasão, mas alguém está fazendo um 'portscan' em sua máquina, ou seja, procurando uma porta aberta. O Firestarter está bloqueando, portanto sem problemas.  Um 'WhoIs' no IP indicado indica isto:



OrgName:    PHOTOBUCKET.COM, INC.
OrgID:      PHOTO-12
Address:    PO Box 559
City:       Broomfield
StateProv:  CO
PostalCode: 80038
Country:    US

NetRange:   209.17.64.0 - 209.17.95.255
CIDR:       209.17.64.0/19
NetName:    DENPRI02
NetHandle:  NET-209-17-64-0-1
Parent:     NET-209-0-0-0-0
NetType:    Direct Assignment
NameServer: PDNS1.ULTRADNS.NET
NameServer: PDNS2.ULTRADNS.NET
Comment:   
RegDate:    2006-12-18
Updated:    2006-12-18

RTechHandle: GHA72-ARIN
RTechName:   Hartung, Greg
RTechPhone:  +1-303-226-6800
RTechEmail:  ghartung@photobucket.com

OrgTechHandle: MCL30-ARIN
OrgTechName:   Clark, Michael
OrgTechPhone:  +1-720-272-8420
OrgTechEmail:  mpclark@photobucket.com

OrgTechHandle: DCR58-ARIN
OrgTechName:   Crystal, Darren
OrgTechPhone:  +1-720-560-2072
OrgTechEmail:  crystal@photobucket.com

OrgTechHandle: GHA72-ARIN
OrgTechName:   Hartung, Greg
OrgTechPhone:  +1-303-226-6800
OrgTechEmail:  ghartung@photobucket.com



Concordo com o colega Kairion, verifique se existe esse usuário e delete-o. Pelo nome (Sabayon User) parece tratar-se de algum programa que foi instalado - lembra de algo assim?

Quanto a testar suas portas, abra o navegador e digite apenas 'shields up' e siga as instruções. Outro bom site para isso é 'www.pcflank.com".

VB5
Ubuntu 10.04 - Semprom 2600+/Asus K8N/1.5 GB RAM DDR 400/GeForce 6200/HDs: 80MB + 320 GB

Alakazan

#7
Muito Obrigado!
Eu reintalei o Ubuntu e agora vou tentar deixar as portas como sthealted... como faço??????????????
Uma ou outra está sthealted e todas estão closed...
GRC Port Authority Report created on UTC: 2008-12-05 at 11:40:11

Results from scan of ports: 0-1055

    0 Ports Open
1049 Ports Closed
    7 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be STEALTH were: 21, 23, 80, 135, 139, 445, 593

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.
PC é como ar-condicionado: é só abrir Windows que ele para de funcionar.
Tentando ser melhor - desculpem o incômodo!

agente100gelo

#8
Advogado e analista de sistema cearense.
Twitter: @glaydson