[MrX]

Я не понял!!! Почему удалили мой пост о том, что с вашего сайта совершаются атаки на компы а??????? Или вы этим и занимаеетсь??? Вас же пользуют как лохов!!!!! :evil:

[cenzored]

ага!
тёмные делишки.. ууууу
:twisted:

[MrX]

Я говорю - отлавливаются регулярно попытки просканить порты с данного форума. Не знаю, кто этим занимается... може тправда тревога ложная, но прошу сообщить тогда в чем здесь дело!

[Mischa]

Я , вроде, как админ тут. Плиз, напиши на мыло, что тряслось, видно, я что-то проспал, в том числе и Твое сообщение

[MrX]

Тааак! А кто же его удалил тогда а? А ведь его удалили! Значит реально кто-то пользует ваш сайт и старается замести следы! Значит так, использую Outpost Firewall 3.5, иногда (уже несколько раз было) поступает сообщение - сайт www.demure.ru сканирует порты 8O (в смысле мои, и указывается номер портов), а также указывается IP адрес атакующего - вот его я как раз писал в прошлом посте, а сейчас я историю логов затер в проге и уже не воспроизведу его. Вот так.

[TOXA]

Ну вы в следующий раз обязательно напишите какие порты он сканит, а то если это что-то левое, вроде 5567 3456, вобщем порты на которых нет сервисов, то это глючит аутпост(за ним такое водится), а если будут например порты нетбиоса 139,445 или что то похожее, то будет уже повод для размышлений.

[MrX]

Обязательно! 8O Только пожалуйста тогда поддерживайте тему вверху!

[Mischa]

Дорогой MrX!

Заявляю Тебе совершенно честно и откровенно! Демур.ру НИКАКИЕ хосты не сканирует!
Я просмотрел все свои логи за несколько месяцев-ни одного скана!
А ай-пи -дело второе. Перестань вносить смуту в ряды!
В следующий раз я жду более обоснованныезаявления: Копии лог файлов и мне на почту. Простые голословные выкрики будут удаляться!

[MrX]

Дело ваше, я говорю, что видел, но если кто-то подаст на вас в суд или приедут спецслужбы на квартиру - извиняйте. Но тогда скажите на милость - кто же удалил мою предыдущую тему на эту тему? Если Миша или Дима - тогда понятно, боятся шумихи, испорченной репутации...а если нет? Подумайте..ведь там-то я как раз и указывал все логи...

[Mischa]

MrX сказал:

Дело ваше, я говорю, что видел, но если кто-то подаст на вас в суд или приедут спецслужбы на квартиру - извиняйте.

Ну дык ЧТО Ты видел???
Ты ж ничего толком не объяснил.

Любой сайт от хостинг-провайдера - это прочти всегда виртуальный хостинг, то есть на одном IP несколько сайтов. То есть сказать, что это был наш сайт по IP-не всегда верно. Да и оутпост не пишет имя сайта, а только IP при атаках.
Да может это и не скан был, а блок каких-нибудь потенциально-опасных скриптов,-все зависит от степени параноидальности установок в файрволле.

Из Твоих выкриков я ничегошеньки не понял. Когда атака повторится,-срочно присылай лог-файлы.

[MrX]

Нет, ты не прав - именно имя сайта он и пишет. И имя, и IP (не знаю, чей правда этот IP), пришлю обязательно, но я говорю же - я УЖЕ писал, и тот пост оказался удален. Логи я потом затер (зря конечно, теперь не могу повторить). Кем, если не тобой? Вот и думай. И потом - что такого неяного я написал? Ну ладно - повременной ход событий. Появилось сообщениео том, что сайт www.demure.ru сканирует порты (именно так - сайт был указан). Портов было несколько (10XX - все начинались с 10 а последние 2 цифры я не помню). Потом - IP-адрес атакующего (дословно) - xxx.xxx.xxx.xxx (цифры я тоже не помню). Потом - блокировка атакующего на 5 минут (ну это тоже понятно). И Миша - неужели ты такой наивный, что думаешь, что опытный хакер, тренирующийся во взломах сайтов на таких сайтах, как наш или использовании их в качестве прокси-серверов, как баз для атаки на другие сайты или компьютеры не сможет в два счета затереть все логи, все следы своего присутствия? И я уже в третий раз спрашиваю тебя - КТО удалил мой первый пост на эту тему? Если ты или Дима - то это понятно, так и скажи. А если нет? Ты сам сказал в начале, что ты что-то видимо пропустил - значит ты не видел моего первого поста. И кто же его удалил, не понимаешь? Настройки Оутпоста моего совсем не параноидальные, как раз наоборот - он реагирует только на опаснные действия.

[Mischa]

Ну, оутпост заблокировал, а Ты смог при этом посещать этот сайт?

Стер, скорее всего, Дима.

Еще раз говорю, по мере поступления сообщать. Просто так не кричать.

[MrX]

Нууу блин... говорю же в какой раз уже - я сразу же и написал, а пост оказался стертым. Появится Дима - обязательно спроси его. Блокирует на 5 минут только, потом можно опять заходить.

[Mischa]

У меня вообще большие сомнения о какой-либо возможности скана в данном конкретном случае!

Скажи, MRX!
Ты через что выходишь в Интернет и смотришь этот сайт?
Как минимум, через Прокси Сервер, причем один и тот же.(Все Твои 264 сообщения были отправлены через один и тот же IP)

Скажи, а какой у Твоего компа IP, частный или публичный? Хотя, это и не важно.

Демур.ру Твой компьютер вообще НЕ ВИДИТ и понятия не имеет о Твоем реальном личном IP!
А если так, то каким образом, если Ты сам не инициализировал соединения по каждому из портов пройдет запрос по этим портам на Твой компьютер???
Ответ-никак!
Это возмжно только в том случае, если эти порты у Твоего провайдера жестко завязаны и перенаправляются независимо ни от чего на Твой компьютер. В чем я ( да и Ты) сомневаюсь.

Так шта, если Ты не покажешь, что я неправ, вся эта ветка-полная туфта и Твои локальные ошибки, не имеющие никакого отношения к сайту.

[Mischa]

У товарища на компьютере локальный приватный адрес, лежащий в диапазоне 172.16.0.0–172.31.255.255.
Такие адреса из Интернета просто так не видны.

Для разъяснения. Все придумано для экономии денег при выдачи IP-адресов, действующих в Интернете.

Провайдер услуг Интернета устанавливает на одном видимом из Интернета Компьютере так называемую службу-посредник, прокси.

Остальные компьютеры абонентов получают частные, неразрешенные в Интернете адреса, есть зафиксированные диапазоны.

Человек хочет запросить информацию из Интернета, посылает свой запрос через прокси -сервер.
Происходит соединение с прокси. Адрес и порт компьютера-клиента заносится в специальную динамическую таблицу. Сами пакеты с его запросом пересобираются: там маскируется запрашивающий адрес на легальный в Интернете, т.е. IP-самого прокси.
Сам прокси теперь за нашего клиента посылает запрос к цели, которую запросил клиент. При этом наша динамическая таблица пополняется IP и портами нового соединения.
И ждет ответа. При получении ответа, прокси смотрит в своей динамической таблице, по IP и порту, он определяет, кому перенаправить пакте.

Если сам клиент не инициировал соединение с Интернет сервисом по портам или порту. То при попытке сканирования компьютера абонента все запросы приходят на прокси, он смотрит в свою таблицу, а там по поводу перенаправления на компьютер "жертвы" ничего не стоит. Естественно, он отбрасывает эти пакеты, так как не знает, куда и кому их перенаправлять.

Таким образом, такой скан без первичного участия "жертвы" невозможен!

Возможность, что в таблице прокси у провайдера жестко прописаны перенаправления на компьютер жертвы мы отбрасываем, это и понятно!

P.S. Я немного смешал в кучу NAT и Web-Proxy

[MrX]

Ладно, можно списат ьконечно на ошибки все, кроме удаленноой теме. Появится Дима, спросим его и если он удалил - тогда ладно. А если нет - проблемы ваши, я умою руки и все. Удалите тему и ладно.

[TOXA]

Mischa все правильно написал, только одно уточнение это все таки не прокси, а так называемый сервис трансляции адресов (NAT), а прокси это грубо говоря тачка в инете, на которой запущена служба и мы можем прописав ее IP PORT в браузере ползать по сайтам "как бы" анонимно . А вобще аутпост глючный я уже говорил это, я когда раньше его использовал, то сталкивался с ситуациями как: заходим на сайт, опа вас атакуют и сайт заблокирован, приходится лезть разблокировать вручную. К тому же если у вас стоял бы троян например, то он бы работал постоянно, а не 1 раз и MrX мог бы еще раз увидеть в логах попытки сканирования. Ну конечно еще остается вариант, что после того поста все убрали по быстрому =). Вобщем пока нет логов говорить бесполезно.

[MrX]

Ага, ну я ж и грю - нужно высянить, кто же удалил самый первый пост. Потому как удалить его могут только трое, а двое уже точно вне подозрений.

[Mischa]

TOXA сказал:

Mischa все правильно написал, только одно уточнение    это все таки не прокси, а так называемый сервис трансляции адресов (NAT), а прокси это грубо говоря

Ну дык я об этом и написал, что смешал два этих понятия в одно, см. выше..

[TOXA]

Хех я когда начал писать свой пост еще не было твоего P.S.