Dziwne "ataki" NIS

**Posty:** 71 · przez **.:JA:.** 18 Maj 2005, 15:40

Witam
Mam NIS i pojawiaja mi sie dziwne komuniklaty o ataku Dziwne jest to ze IP atakujacego to moje IP badz tez IP 00.000.00.... Zbytnio mi to nieprzeszkadza ale chcialbym sie dowiedziec o co chodzi. Spotkal sie ktos z tym?

**Posty:** 7956 · przez **Magik** 18 Maj 2005, 15:42

.:JA:. napisał(a):Mam NIS i pojawiaja mi sie dziwne komuniklaty o ataku Dziwne jest to ze IP atakujacego to moje IP badz tez IP 00.000.00.... Zbytnio mi to nieprzeszkadza ale chcialbym sie dowiedziec o co chodzi. Spotkal sie ktos z tym?

a moglbys zamiescic skrawek loga z dokladnym komunikatem?? ciezko tak gdybac ot tak......

PZDR

**Posty:** 71 · przez **.:JA:.** 18 Maj 2005, 16:25

D!eselek 1.9T napisał(a):a moglbys zamiescic skrawek loga z dokladnym komunikatem?? ciezko tak gdybac ot tak......

Jak tylko atak sie powtorzy to go umieszcze- niepomyslalem o tym. Podczas alertu byl wlaczony Azureus- moze to on spowodowal komunikat

**Posty:** 7956 · przez **Magik** 18 Maj 2005, 16:33

.:JA:. napisał(a):Jak tylko atak sie powtorzy to go umieszcze- niepomyslalem o tym

ale nie ma takiej potrzeby...NIS przechowuje logi sprzed kilku dni....

PZDR

**Posty:** 71 · przez **.:JA:.** 19 Maj 2005, 10:04

Ok mam:

Szczegóły: Wtargnięcie: Invalid UDP Destination Port
Intruz: Nazwa mojego komputera (moj adres IP)
Poziom zagrożenia: Niski
Źródłowy adres IP: Nazwa mojego komputera (moj adres IP)
Docelowy adres IP: 85.194.17.193
Źródłowy port UDP: 6881
Docelowy port UDP: 0. Ten numer portu jest nieprawidłowy.

Kliknij adres, aby zidentyfikować intruza
Szczegółowe informacje na temat tego ataku można uzyskać pod adresem centrum Symantec Security Response

Jestem po formatowaiu dysku i ataku z IP 00.000.00.0 niemam- jeszcze niepowtorzyl sie

**Posty:** 7956 · przez **Magik** 19 Maj 2005, 10:18

.:JA:. napisał(a):Źródłowy port UDP: 6881

ten porcik wykorzystuja najczesciej programy sieci torrent: od Azureusa po BitCometa?? uzywasz takowego??

BTW, ustaw Nortona na tryb stealth i "atakow" bedziesz mial tyle co ja: czyli 2 na miesiac

PZDR

Autor postu otrzymał pochwałę

**Posty:** 71 · przez **.:JA:.** 19 Maj 2005, 18:50

D!eselek 1.9T napisał(a):ten porcik wykorzystuja najczesciej programy sieci torrent: od Azureusa po BitCometa?? uzywasz takowego??

To by bylo rozwiazanie- tak jak pisalem wyzej kozystam z Azureusa
Jeszcze bym prosil o sprawdzenie loga:

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
D:\Programy\nortony\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Programy\nortony\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Trust\302KS\Mouse\mouse32a.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Trust\302KS\Keyboard\KbdAp32A.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\Marcin\Pulpit\hijackthis\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

FLMBROWSEMOUSE = C:\Program Files\Trust\302KS\Mouse\mouse32a.exe
FLMK08KB = C:\Program Files\Trust\302KS\Keyboard\MMKEYBD.EXE
WINDVDPatch = CTHELPER.EXE
UpdReg = C:\WINDOWS\UpdReg.EXE
Jet Detection = C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
Komunikator = C:\Program Files\Tlen.pl\tlen.exe
IDMan = C:\Program Files\Internet Download Manager\IDMan.exe /onboot

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

IDM Helper - C:\Program Files\Internet Download Manager\IDMIECC.dll - {0055C089-8582-441B-A0BF-17B458C2A3A8}
(no name) - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Web assistant - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}
NAV Helper - D:\Programy\nortony\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Skanuj komputer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #1: C:\WINDOWS\system32\idmmbc.dll
Protocol #2: C:\WINDOWS\system32\idmmbc.dll
Protocol #3: C:\WINDOWS\system32\idmmbc.dll
Protocol #4: C:\WINDOWS\system32\idmmbc.dll
Protocol #16: C:\WINDOWS\system32\idmmbc.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5 450 bytes
Report generated in 0,061 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Dzieki

**Posty:** 7956 · przez **Magik** 20 Maj 2005, 10:40

.:JA:. napisał(a):To by bylo rozwiazanie- tak jak pisalem wyzej kozystam z Azureusa
Jeszcze bym prosil o sprawdzenie loga:

Krotko i na temat.....czysty:)

PZDR

Dziwne "ataki" NIS

Dziwne "ataki" NIS

Kto jest na forum