Firestarter indicando invasão! - Eu ão sei o que fazer...

Alakazan · 03 de Dezembro de 2008, 22:09

Time: Dec  3 22:07:02 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48210 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido
Time: Dec  3 22:07:05 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48213 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido
Time: Dec  3 22:07:08 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48205 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido
Time: Dec  3 22:07:09 Source: 209.17.73.10 Destination: 192.168.1.10 In IF: eth0 Out IF:  Port: 48215 Length: 1452 ToS: 0x00 Protocol: TCP Service: Desconhecido

E por aí vai... Foram já umas 1000 portas... o que que eu faço???
Ele segurou a (tentativa de)invasão??

Alakazan · 03 de Dezembro de 2008, 22:11

DETALHE: no meu alternador de usuários tá com mais um usuário: "Sabayon User"...
PLEASE, ALGUÉM PODE DIZER O QUE ESTÁ OCORRENDO?

??

Alakazan · 03 de Dezembro de 2008, 22:42

O que eu façoooo?

Minha casa está em rede, eu sou totalmente noob em internet, no momento estou de um live CD de outra distro e com outro IP...
O que eu posso fazeR?

Kairion · 03 de Dezembro de 2008, 23:32

Cara, pra que esse "escândalo" todo?
Primeiro, não precisava postar mais duas vezes, todas hoje, separadas por minutos apenas, podia ter esperado um dia pelo menos.

Agora passando para a ajuda, onde você viu que o firestarter indica invasão?
Pode postar uma screenshot dele dizendo isso?
Pois se for por causa do ícone dele ficar vermelho, é a coisa mais normal do mundo, pois ele tem que bloquear algo, afinal, é a função dele.
E, se você pegou estas informações da aba eventos, então leia um pouco acima da lista, e repare que estes itens foram bloqueados (está no topo, abaixo das abas e acima da lista, em negrito), escrito Conexões bloqueadas, aqui mesmo deve ter mais de 1000 portas também nessa lista, mas bloqueados, tem até 5 que estão com em vermelho, que o Firestarter indica como "sério".
Então, fique tranqüilo, pois está tudo bloqueado.

Sobre este Sabayon User, quando ele surgiu?
Talvez ele tenha sido criado por você ou por algum programa, certifique-se de que não seja isto, e caso não seja nenhuma destas opções, clique com o botão direito no alternador de usuários, clique em editar usuários e grupos, clique em desbloquear, digite a senha do administrador (a do seu usuário), depois clique com o botão direito encima deste usuário e clique em excluir.
Prontinho, o usuário "incomodo" não existe mais.

Abraços

Alakazan · 04 de Dezembro de 2008, 19:28

Minhas porta estou clsed e não sthealted. Como posso sber se ninguém comsegui entrar? E como as oulto (sthealted)?

Kairion · 04 de Dezembro de 2008, 20:07

Infelizmente isto eu não sei, aqui eu apenas instalei ele e nos testes minhas portas ficaram como sthealted, mas closed (fechadas), já devem ser o suficiente para impedir a entrada de outras pessoas.
O perigo seria se elas estivessem abertas.
De qualquer forma, não custa esperar alguem especializado com Firestarter para lhe ajudar a ocultar as portas.

Abraços

VB5 · 04 de Dezembro de 2008, 23:26

Alakazan,
pelo que você postou não se trata de invasão, mas alguém está fazendo um 'portscan' em sua máquina, ou seja, procurando uma porta aberta. O Firestarter está bloqueando, portanto sem problemas. Um 'WhoIs' no IP indicado indica isto:

Código Selecionar



OrgName:    PHOTOBUCKET.COM, INC. 
OrgID:      PHOTO-12
Address:    PO Box 559
City:       Broomfield
StateProv:  CO
PostalCode: 80038
Country:    US

NetRange:   209.17.64.0 - 209.17.95.255 
CIDR:       209.17.64.0/19 
NetName:    DENPRI02
NetHandle:  NET-209-17-64-0-1
Parent:     NET-209-0-0-0-0
NetType:    Direct Assignment
NameServer: PDNS1.ULTRADNS.NET
NameServer: PDNS2.ULTRADNS.NET
Comment:    
RegDate:    2006-12-18
Updated:    2006-12-18

RTechHandle: GHA72-ARIN
RTechName:   Hartung, Greg 
RTechPhone:  +1-303-226-6800
RTechEmail:  ghartung@photobucket.com 

OrgTechHandle: MCL30-ARIN
OrgTechName:   Clark, Michael 
OrgTechPhone:  +1-720-272-8420
OrgTechEmail:  mpclark@photobucket.com

OrgTechHandle: DCR58-ARIN
OrgTechName:   Crystal, Darren 
OrgTechPhone:  +1-720-560-2072
OrgTechEmail:  crystal@photobucket.com

OrgTechHandle: GHA72-ARIN
OrgTechName:   Hartung, Greg 
OrgTechPhone:  +1-303-226-6800
OrgTechEmail:  ghartung@photobucket.com

Concordo com o colega Kairion, verifique se existe esse usuário e delete-o. Pelo nome (Sabayon User) parece tratar-se de algum programa que foi instalado - lembra de algo assim?

Quanto a testar suas portas, abra o navegador e digite apenas 'shields up' e siga as instruções. Outro bom site para isso é 'www.pcflank.com".

VB5

Alakazan · 05 de Dezembro de 2008, 09:37

Muito Obrigado!
Eu reintalei o Ubuntu e agora vou tentar deixar as portas como sthealted... como faço?

?
Uma ou outra está sthealted e todas estão closed...

Código Selecionar

GRC Port Authority Report created on UTC: 2008-12-05 at 11:40:11

Results from scan of ports: 0-1055

    0 Ports Open
 1049 Ports Closed
    7 Ports Stealth
---------------------
 1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be STEALTH were: 21, 23, 80, 135, 139, 445, 593

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

agente100gelo · 05 de Dezembro de 2008, 09:51

Sabayon é um projeto do Gnome:
http://projects.gnome.org/sabayon/
http://live.gnome.org/Sabayon