Microsoft ds

Oglądasz wypowiedzi znalezione dla frazy: Microsoft ds

Temat: Próba wÂłamania
Użytkownik Rafal Kochanowski napisał:

Witam.
Mam nadzieję, że to odpowiednia grupa...

Pewniem koleś chce od kilku dni włamać mi się do komputera. Mam jego IP
(stałe IP, bo to Chello).

Zanim zgłoszę do to Chello chciałbym się Was poradzić, czy ten typ jest
niebezpieczny?

Mam Sygate Firewall. Trzy razy wykrył coś takiego (w odstępie około dnia
lub pół):
* Port Scan Minor Incoming ...(i dalej różne dane: IP, MAC, godzina)
* Response Major Incoming None ...(i dalej różne dane: IP, MAC, godzina)
* Active Response Disengaged Information None None ...(i dalej różne
dane: IP, MAC, godzina)

---- wynik nmap (w Linuxie): ----
Adding open port 3531/tcp
Adding open port 113/tcp
Adding open port 1025/tcp
Adding open port 559/tcp
Adding open port 5000/tcp
The SYN Stealth Scan took 131 seconds to scan 1659 ports.
Interesting ports on /bleble/ (62.179./bleble/):
(The 1625 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
90/tcp filtered dnsix
113/tcp open auth
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
220/tcp filtered imap3
285/tcp filtered unknown
348/tcp filtered csi-sgwp
368/tcp filtered qbikgdp
445/tcp filtered microsoft-ds
499/tcp filtered iso-ill
512/tcp filtered exec
558/tcp filtered sdnskmp
559/tcp open teedtap
602/tcp filtered unknown
652/tcp filtered unknown
657/tcp filtered unknown
696/tcp filtered unknown
1025/tcp open NFS-or-IIS
1395/tcp filtered iclpv-wsm
1407/tcp filtered dbsa-lm
1474/tcp filtered telefinder
1506/tcp filtered utcd
1526/tcp filtered pdap-np
1672/tcp filtered netview-aix-12
2431/tcp filtered venus-se
3531/tcp open peerenabler
4343/tcp filtered unicall
5000/tcp open UPnP
5550/tcp filtered sdadmind
9090/tcp filtered zeus-admin
12346/tcp filtered NetBus
32775/tcp filtered sometimes-rpc13
---------------------------------

Czy to co on tam ma, to są jakieś niebezpieczne hackerskie narzędzia,
czy to może po prostu mały gnojek się bawi?
Bo jeśli to drugie to go zablokuje w firewallu po prostu. Właśnie: czy
takie blokowanie jego IP w moim firewallu dużo da? Teraz mam zablokowane
i nie wiem czy on widzi mój komputer, czy nie? Co to pomaga?

Pozdrawiam i dzięki za ewentualną pomoc.

skoro masz jego ip to je zablokuj .. jeśli to dzieciak to juz bedziesz
miał spokój jeśli ktos zdeterminowany to..

POzdrawiam

Przeczytaj wszystkie posty z tego wątku

Temat: wysylane dane przez port 445, obciazenie neostrady

Grzegorz Niemirowski <gnthexfi@poczta.onet.plnapisał(a):

| wadus <wa@op.plnapisał(a):
| witam od niedawna w logach z polecenia stat pojawia mi sie cos takiego
| fragment z netstat:
| Aktywne po Ączenia
| ProtokË Adres lokalny Obcy adres Stan
| TCP maro:2857 27.36.117.69:microsoft-ds WYSąANO_SYN
| TCP maro:2858 130.204.228.183:microsoft-ds
WYSąANO_SYN
| TCP maro:2859 147.142.38.202:microsoft-ds WYSąANO_SYN
| TCP maro:2861 191.17.88.196:microsoft-ds WYSąANO_SYN
| TCP maro:2862 72.201.146.139:microsoft-ds WYSąANO_SYN
| TCP maro:2863 108.36.23.221:microsoft-ds WYSąANO_SYN
| TCP maro:2865 99.17.253.59:microsoft-ds WYSąANO_SYN
| TCP maro:2866 168.174.82.241:microsoft-ds WYSąANO_SYN
| TCP maro:2867 150.250.4.154:microsoft-ds WYSąANO_SYN
| ... i tak juz bez konca do poki nie odlacze sie od sieci
| Ustalilem ze microsoft-ds to port 445, dlaczego wogole te dane sa
teraz
| przesylane?? wczesniej tego nie mialem. przy okazji tego problemu
| pojawia sie ogromny spadek predkosci internetu. Pingujac onet czy wp,
| nieraz pakiety wogole zostaja zgubione a czas wacha sie od 40ms do
2000
| ms ci sie dzieje? poczytalem juz troche o tym porcie wie, ze jest
bardzo
| podatny na wirusy, sciagnolem wiec latki do WIN XP, skanowalem dysk 3
| roznymi programami nic nie wykrylo.
| Zostaje albo wylaczyc ten port 455 ale nie wiem jak to zrobic albo
| znalezc przyczyne.
| Porsze pomozcie

Witam ,

Mam taki sam problem :( Na niektorych komputerach udało mi sie zablokowac
port 445. Niestety niektore pozostają nieczułe :) na moje starania. Zna
ktos
moze sposb jak to zrobic raz a dobrze ??

Ewidentnie wygląda to na robala typu sasser, korgo itp.
Trzeba włączyć zaporę (systemowy firewall) na łączu internetowym.
Sprawdzić (np. polecenie msconfig), czy coś się nie dopisało
do poleceń startowych systemu (przy sasserze to np. avserve2.exe,
korgo ma nazwy losowe), wylistować procesy,
ubić podejrzane procesy i sprawdzić, czy komputer przestał nadawać.
Jeśli przestał, to wykasować analogiczny program z poleceń
startowych. Załatać dziury w systemie i powinno się uspokoić.

Witek

Przeczytaj wszystkie posty z tego wątku

Temat: wysylane dane przez port 445, obciazenie neostrady
Zainstalowac oprogramowanie antywirusowe. Mialem to samo na serwerze :-), i
okzalo sie ze byl to korgo :-).

"Robert Wąs" <albercik_@NOSPAM.gazeta.plwrote in message

Grzegorz Niemirowski <gnthexfi@poczta.onet.plnapisał(a):

Witam ,

Mam taki sam problem :( Na niektorych komputerach udało mi sie zablokowac
port 445. Niestety niektore pozostają nieczułe :) na moje starania. Zna
ktos
moze sposb jak to zrobic raz a dobrze ??

Pozdrawiam
Robert

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -

http://www.gazeta.pl/usenet/

Przeczytaj wszystkie posty z tego wątku

Temat: Przekierowanie portów na ruterze nie działa :-(
Ja sie poddaje... Ale w zasadzie zauwazylem cos dziwnego:

1. Ping:

bash-3.2$ ping -c 1 elemid.homeftp.org
PING elemid.homeftp.org (83.27.240.58) 56(84) bytes of data.
64 bytes from bcy58.neoplus.adsl.tpnet.pl (83.27.240.58): icmp_seq=1
ttl=51 time=383 ms

--- elemid.homeftp.org ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 383.498/383.498/383.498/0.000 ms
bash-3.2$

Niby lacznosc jest... Sprawdzam z czym moge sie polaczyc:

root@ein:~# nmap -v -sV elemid.homeftp.org

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-04-20
14:41 CEST
DNS resolution of 1 IPs took 5.50s.
Initiating SYN Stealth Scan against bcy58.neoplus.adsl.tpnet.pl
(83.27.240.58) [1680 ports] at 14:41
The SYN Stealth Scan took 34.33s to scan 1680 total ports.
Host bcy58.neoplus.adsl.tpnet.pl (83.27.240.58) appears to be up ...
good.
Interesting ports on bcy58.neoplus.adsl.tpnet.pl (83.27.240.58):
Not shown: 1670 closed ports
PORT STATE SERVICE VERSION
23/tcp filtered telnet
81/tcp filtered hosts2-ns
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
254/tcp filtered unknown
255/tcp filtered unknown
445/tcp filtered microsoft-ds

Nmap finished: 1 IP address (1 host up) scanned in 40.408 seconds
Raw packets sent: 1949 (85.736KB) | Rcvd: 1890
(86.940KB)

Zauwazam telnet, no to jazda:

root@ein:~# telnet elemid.homeftp.org
Trying 83.27.240.58...
telnet: connect to address 83.27.240.58: Connection timed out

Sprawdzam jeszcze raz:

root@ein:~# nc elemid.homeftp.org 23
elemid.homeftp.org [83.27.240.58] 23 (telnet) : Connection timed out

I tu zaczynaja sie moje watpliwości:

Zrzut z iptraf.

âŚ TCP Connections (SHost:Port) âââ Packets â Bytes âââââ Flags â
ââŚ82.145.82.82:36899 = 1 60 S--- â
ââ83.27.240.58:139 = 0 0 ---- â
ââŚ82.145.82.82:36902 = 3 180 S--- â
ââ83.27.240.58:445 = 0 0 ---- â
ââŚ82.145.82.82:36904 = 6 360 S--- â
ââ83.27.240.58:81 = 0 0 ---- â
ââŚ82.145.82.82:36906 = 6 360 S--- â
ââ83.27.240.58:23 = 0 0 ---- â
ââŚ82.145.82.82:1040 = 3 144 S--- â

Probowalem sie polaczyc do samby, telnetu, interfejsu routera,
pytanie dlaczego nie dostaje zadnych odpowiedzi, a
zmagania mojego komputera koncza sie na pierwszym
etapie nawiazywania sesji TCP/IP -SYNC?

Przeczytaj wszystkie posty z tego wątku

Temat: THC.net.pl

Moja opinia jest taka ze pownienes zastanowic sie nad bezpieczenstwem danych
na Tym swoim serwerze z 1 procesorem.

Hehe, ja po tym co ujrzalem, chyba nie skorzystam, nawet jesli
oferta jest SUPER ATRAKCYJNA.

1: TCP-MUX - TCP Port Service Multiplexer - FILTERED
Port State: Filtered

2: COMPRESSNET - Management Utility - FILTERED
Port State: Filtered

3: COMPRESSNET - Compression Process - FILTERED
Port State: Filtered

5: RJE - Remote Job Entry - FILTERED
Port State: Filtered

7: ECHO - Echo - FILTERED
Port State: Filtered

9: DISCARD - Discard - FILTERED
Port State: Filtered

11: SYSSTAT - System Status - FILTERED
Port State: Filtered

13: DAYTIME - Daytime - FILTERED
Port State: Filtered

15: NETSTAT - Network Status - FILTERED
Port State: Filtered

17: QOTD - Quote of the Day - FILTERED
Port State: Filtered

18: MSP - Message Send Protocol - FILTERED
Port State: Filtered

19: CHARGEN - Character Generator - FILTERED
Port State: Filtered

21: FTP - File Transfer Protocol [Control]
Detected Protocol: FTP
Port State: Open
Version: 220 PROFTPD 1.2.9 SERVER READY.

22: SSH - SSH (Secure Shell) Remote Login Protocol
Port State: Open
Version: SSH-1.99-OpenSS

25: SMTP - Simple Mail Transfer Protocol
Port State: Open

53: DOMAIN - Domain Name Server
Port State: Open
Version:

70: GOPHER - Gopher - FILTERED
Port State: Filtered

79: FINGER - Finger - FILTERED
Port State: Filtered

80: WWW-HTTP - World Wide Web HTTP (Hyper Text Transfer Protocol)
Detected Protocol: HTTP
Port State: Open
Version: APACHE/1.3.31 (UNIX) MOD_SSL/2.8.18 OPENSSL/0.9.7A PHP/4.3.8
MOD_PERL/1.27 FRONTPAGE/5.0.2.2510

110: POP3 - Post Office Protocol - Version 3
Detected Protocol: POP
Port State: Open
Version: +OK POP3 WELCOME TO VM-POP3D 1.1.7E
<22361.1091810@SERVER.THC.NET.PL

111: SUNRPC - SUN Remote Procedure Call - FILTERED
Port State: Filtered

119: NNTP - Network News Transfer Protocol - FILTERED
Port State: Filtered

135: RPC-LOCATOR - RPC (Remote Procedure Call) Location Service - FILTERED
Port State: Filtered

136: PROFILE - PROFILE Naming System - FILTERED
Port State: Filtered

137: NETBIOS-NS - NETBIOS Name Service - FILTERED
Port State: Filtered

138: NETBIOS-DGM - NETBIOS Datagram Service - FILTERED
Port State: Filtered

139: NETBIOS-SSN - NETBIOS Session Service - FILTERED
Port State: Filtered

143: IMAP - Interim Mail Access Protocol
Port State: Open
Version: * OK [CAPABILITY IMAP4REV1 LOGIN-REFERRALS STARTTLS AUTH=LOGIN]
thc.net.pl IMAP4rev1 2003.339 at Fri, 6 Aug 2004 12:50:22 -0400

161: SNMP - SNMP (Simple Network Management Protocol) - FILTERED
Port State: Filtered

162: SNMPTRAP - SNMPTRAP (Simple Network Management Protocol) - FILTERED
Port State: Filtered

194: IRC - Internet Relay Chat Protocol - FILTERED
Port State: Filtered

443: HTTPS - HTTPS (Hyper Text Transfer Protocol Secure) - SSL (Secure
Socket Layer)
Detected Protocol: HTTP
Port State: Open
Version: APACHE/1.3.31 (UNIX) MOD_SSL/2.8.18 OPENSSL/0.9.7A PHP/4.3.8
MOD_PERL/1.27 FRONTPAGE/5.0.2.2510

445: MICROSOFT-DS - Microsoft-DS - FILTERED
Port State: Filtered

593: HTTP-RPC-EPMAP - HTTP RPC Ep Map - FILTERED
Port State: Filtered

1080: SOCKS - Socks - FILTERED
Port State: Filtered

2222: UNREG-AB2 - Allen-Bradley unregistered port
Detected Protocol: HTTP
Port State: Open
Version: DIRECTADMIN DAEMON V1.22.2 REGISTERED TO PIOTR KLOC

3128: Unknown - FILTERED
Port State: Filtered

3306: MySQL
Port State: Open

5432: POSTGRES - Postgres Database Server
Port State: Open

6346: gnutella-svc - FILTERED
Port State: Filtered

6347: gnutella-rtr - FILTERED
Port State: Filtered

6665: IRCU (6665-6669) - FILTERED
Port State: Filtered

6666: IRC-SERV - irc-serv / IRCU (6665-6669) - FILTERED
Port State: Filtered

6667: IRC - irc / IRCU (6665-6669) - FILTERED
Port State: Filtered

6668: IRC - irc / IRCU (6665-6669) - FILTERED
Port State: Filtered

6669: Vampyre / IRCU (6665-6669) - FILTERED
Port State: Filtered

9898: MonkeyCom - FILTERED
Port State: Filtered

31337: Unknown
Port State: Open

31338: Unknown
Port State: Open

Przeczytaj wszystkie posty z tego wątku

Temat: Dziwne połączenia...
Dziwne połączenia...
Witam wszystkich, mam problem z wirusami. Instalacja jest świeża, prawie
żadnych zainstalowanych programów.

Pojawiają się dziwne połączenia na portach microsoft-ds i epmap, generowane
przez jeden z procesów svchost.exe. Poza tym przy pierwszym uruchomieniu
internetu w danej sesji momentalnie włączają się programy cmd.exe i ftp.exe,
przy czym ten drugi z miejsca zaczyna coś ściągać.

Wklejam loga z HJT
_______________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 20:13:00, on 2006-05-20
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32Mam2Pan.Exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe
C:Documents and SettingsKrzysPulpitPrcView.exe
C:Program FilesCakewalkSONAR 3 Producer EditionSONARPDR.EXE
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsKrzysPulpitHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O4 - HKLM..Run: [Mam2Pan] Mam2Pan.Exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program
FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800-840
dslmon.exe
____________________________________________________

Mam2pan.exe to sterownik karty dźwiękowej.

Niby nic tu nie ma, ale martwi mnie to co pokazuje netstat:

Protokół Adres lokalny Obcy adres Stan
TCP studio:epmap 0.0.0.0:0 NASŁUCHIWANIE
TCP studio:microsoft-ds 0.0.0.0:0 NASŁUCHIWANIE
TCP studio:1025 0.0.0.0:0 NASŁUCHIWANIE
TCP studio:1028 0.0.0.0:0 NASŁUCHIWANIE
TCP studio:5000 0.0.0.0:0 NASŁUCHIWANIE
TCP studio:epmap 83.5.18.175:4811 USTANOWIONO
TCP studio:netbios-ssn 0.0.0.0:0 NASŁUCHIWANIE
TCP studio:microsoft-ds 83.5.45.244:1189 ODEBRANO_SYN
UDP studio:microsoft-ds *:*
UDP studio:isakmp *:*
UDP studio:1037 *:*
UDP studio:1055 *:*
UDP studio:1056 *:*
UDP studio:1092 *:*
UDP studio:ntp *:*
UDP studio:netbios-ns *:*
UDP studio:netbios-dgm *:*
UDP studio:1900 *:*
UDP studio:ntp *:*
UDP studio:1900 *:*
UDP studio:2026 *:*

A konkretnie najbardziej wpisy typu;

C:Documents and SettingsKrzys>netsat
Nazwa 'netsat' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,
program wykonywalny lub plik wsadowy.

C:Documents and SettingsKrzys>netstat

Aktywne połączenia

Protokół Adres lokalny Obcy adres Stan
TCP studio:epmap 83.5.18.175:4811 USTANOWIONO
TCP studio:epmap 83.5.43.44:2333 USTANOWIONO
TCP studio:microsoft-ds 83.5.2.94:1958 USTANOWIONO
TCP studio:microsoft-ds 83.5.221.146:3684 ODEBRANO_SYN

Ktoś ma pomysł co to może być?
Pozdrawiam Przeczytaj wszystkie posty z tego wątku

Strona 4 z 4 • Zostało wyszukane 192 wypowiedzi • 1, 2, 3, 4

Microsoft ds

Odnośniki

Oglądasz wypowiedzi znalezione dla frazy: Microsoft ds