Atacuri raportate de firewall

Mai fratilor am internet de la Romtelecom si folosesc firewall-ul unui antivirus Kaspersky Internet Security 6.0, abonamentul este de 1024 ADSL. De ceva timp, vreo 3 luni, primesc niste atacuri sau cel putin asa le interpreteaza firewall-ul de ma zapacesc.
Uite asha raporteaza firewall-ul:
                   1/15/2007 20:04:38 Intrusion.Win.LSASS.exploit! Attacker's IP: 86.35.54.50. Protocol/service: TCP on local port 445. Time: 1/15/2007 20:04:38.
1/15/2007 20:04:38 Intrusion.Win.LSASS.ASN1-kill-bill.exploit! Attacker's IP: 86.35.54.50. Protocol/service: TCP on local port 445. Time: 1/15/2007 20:04:38.
1/15/2007 20:06:05 Intrusion.Win.DCOM.exploit! Attacker's IP: 86.35.238.216. Protocol/service: TCP on local port 135. Time: 1/15/2007 20:06:05.
1/15/2007 20:06:54 Intrusion.Win.LSASS.exploit! Attacker's IP: 86.35.247.110. Protocol/service: TCP on local port 445. Time: 1/15/2007 20:06:54.
1/15/2007 20:06:54 Intrusion.Win.LSASS.ASN1-kill-bill.exploit! Attacker's IP: 86.35.247.110. Protocol/service: TCP on local port 445. Time: 1/15/2007 20:06:54   si asa mai departe cam la acelasi interval.
   Ce este mai ciudat este ca majoritatea IP-urilor atacatorilor sunt de la Romtelecom. S-a mai intalnit cineva cu situatia asta?
Si numai 2 tipuri de exploiti sunt folositi (cum am aratat mai sus). Ce ar fi de facut?

Edited by Scar_face, 20 January 2007 - 22:58.

E prima data cand ai net ?

Nu dar mi se pare anormal ca toate ip-urile sa apartina doar provider-ului meu.
Si va intreb ca nu cumva sa interpreteze aiurea firewall-ul anumite chestii de retea ale Romtelecom-ului.
Ce sa zic nici nu prea ma pricep, doar am intrebat.  

Scar_face, on Jan 20 2007, 22:47, said:

Si eu am dat de problema asta.
Astept si eu raspuns.  

Alexxfl, on Jan 20 2007, 22:52, said:

La mine nu e prima data cind am net dar e prima data cind am firewall (Outpost)  

vp-emanuel, on Jan 23 2007, 16:46, said:

  La tine e o problema de port scan care cred eu ca nu e la fel de periculoasa ca si exploitii aratati de mine mai sus. Insa cred ca ar trebui sa faramam capul PROVIDER-ilor care nu baneaza ip-urile de pe care se scaneaza sau de pe care se lanseaza atacuri gen exploit sau flood ori mai stiu eu ce minunatii de distractie pentru pustii de la salile de net care din teribilism sau pura distractie lanseaza astfel de "jucarii". Eu nu prea ma pricep insa cei care se pricep si sunt platiti sa ne asigure servicii de internet ar trebui sa isi protejeze reteaua (mai ales ca in cazul meu toate ip-urile vinovate apartin Romtelecom).
  Sunt constient ca poate acele ip-uri care imi apar mie pe log sunt de fapt si ele victime ale unor "infectii" insa daca s-ar face ceva de genul unei atentionari sau macar blocarea porturilor pe care se fac acele abuzuri (in cazul meu portul 445 este cel mai des folosit la atacuri).
  Ar fi bine sa discutam aceasta problema aici si sa gasim o solutie sau macar sa atragem atentia cuiva priceput care sa ne explice cam ce inseamna si cum ne putem noi proteja de asa ceva.
Ne recitim curand.

Ala incearca sa se conecteze printrun flow de-al lssas.exe...daca ai sp2 n-ai probleme...si in plus daca firerwallu il vede inseamna ca l-a si blocat..asta bineinteles daca e configurat calumea
Daca ai win xp fara nici un sp sau cu sp1...cautati patchuri sau fa upgrade la sp2

da ma si io la fel da io sunt in RDS si tot acelas antivirus si aceleasi exploituri .... bine ca KAV 6.0 antihacker are grija si opreste tot da am 400 de atacuri zilnic pe bune ... e incredibil pana acu 2 zile nam avut treaba si aveam nod32 da la un moment nu mai mergea netu si am apelat la kav si asta lea dat de cap.
desi am sp2 nu am bagat firewall ca am uitat de el pt ca nu aveam belele deloc stateam cu nod ala si ziceam ca isi face treaba dar se pare ca nu.

Scar_face, on Jan 20 2007, 23:47, said:

Problema asta nu apartine de Romtelecom. Aceleasi tipuri de atacuri apar si la mine de cateva ori pe zi si nu am internet de la RTC. Pur si simplu poti sa le ignori pentru ca nu se intampla nimik.

pipota_ss, on Sep 2 2007, 02:25, said:

nod32 e f. bun, insa e "doar" antivirus, intotdeauna ai nevoie si de un firewall.

daca va arat mail-ul primit acum vre'un an de la ROMATELECOM->CLICKNET muriti de ras...

imi zicea ceva de genu' : scanarile porturilor in retea este un lucru foarte normal(WTF?)...si apoi imi dadea o lista cu vreo 500 de porturi care sa le blochez din firewall.incompetenti.cred ca imi lua 1 luna sa configurez firewalul dupa "regulile" recomandate.am ales calea cea mai simpla...LINUX

Aveam si eu ceva asemanator...adica Zone Alarm imi zicea ca se facea port scan de la 2 ip-uri care erau de la clicknet.... si am dat allow ca erau prea multe mesaje si ma enervau si totul e ok.... adica nu mi sa facut flood sau mai stiu eu ce si scanez online cel putin odata pe saptamana cu bitdifender si nu am nimic . In rest Nod32 si Comodo Firewall Pro ( el nu a dat nici un mesaj de genul port scan from...   )

am si eu o problema cu un ,,destept,,  care imi tot scaneaza porturile (89.45.93.23), flood -ati-l  fratilor.
e din aceeasi retea in care sunt si eu dar provideru nu poate sa-i faca nimic.
spuneti-mi ,pot sa-i trimit cumva un mesaj?

crysty2k5, on Sep 2 2007, 12:44, said:

saracul de tine... creca mai ai putin si ne pui si poze cu linuxul tau...

psyhokinetik, on Dec 9 2007, 13:34, said:

Poate nu-i vinovat el. Poate are un malware care face asta si el habar n-are. Si doar providerul poate rezolva situatia. Suna la ei si insista.

Alexxfl, on Jan 20 2007, 22:52, said:

Simt ca ascunzi ceva ...spune ce stii ! Nu mai fi secretos !




Aceleasi atacuri le am si eu dar din fericire le blocheaza Zone Alarm.