alessandr0

Portas do meu server sendo escaneadas

3 posts in this topic

Oi,

Sou novo aqui postando, mas já uso o forum a um bom tempo e sempre me foi muito util.

Agora eu estou precisando de uma ajuda mais especifica, será que você´s podem me ajudar ???

Tem um IP escaneando minhas portas do meu server, o ip é o 209.62.68.168,

218.27.62.250, e depois ele fica pulando de porta em porta.

Log do HijackThis removido por não estar relacionado com malware.

Obrigado. :D

Edited by JoseMelo

Share this post


Link to post
Share on other sites
Oi,

Sou novo aqui postando, mas já uso o forum a um bom tempo e sempre me foi muito util.

Agora eu estou precisando de uma ajuda mais especifica, será que você´s podem me ajudar ???

Tem um IP escaneando minhas portas do meu server, o ip é o 209.62.68.168,

218.27.62.250, e depois ele fica pulando de porta em porta.

Olá seja bem vindo alessandr0 ao LD. :legal:

209.62.68.168

Nome: SUPERAntispyware.com

Pais: EUA

Cidade: Houston

218.27.62.250

Nome: Não aparece

Pais: China

OK você pode esta com algun trojan ou coisa assim.Faça o seguinte:

Leia esse tópico Remoção de virus.<-(link)

Faça um tópico na área de Remoção de Malware.<-(link)

Fique atento nesses tópicos:

Cadê meu o tópico?.<-(link)

Tempo máximo de espera (5 dias).<-(link)

E veja se você esta com o firewall ativado , por que o firewall é responsável por examinar as informações que chegam da Internet e que são enviadas a ela. Ele identifica e ignora informações provenientes de um local perigoso e que pareçam suspeitas. Além ajudar a proteger seu PC contra Hackers, Trojans, Worms e etc.

Recoendo a usar o COMODO Firewall que é um dos melhores. OK :legal:

Caso consiga alguma solução ou melhor a sua situação poste aqui e se não tiver masi problemas click em reportar e peça para um moderador para fechar o eu tópico. OK :legal:

Edited by Dyego Bustorff

Share this post


Link to post
Share on other sites

Olá.

218.27.62.250

OrgName: Asia Pacific Network Information Centre

OrgID: APNIC

Address: PO Box 2131

City: Milton

StateProv: QLD

PostalCode: 4064

Country: AU

este ip parece ser australiano. Info obtida via http://tools.whois.net/whoisbyip/

Há fundamentalmente dois tipos de "whois" online: o que dá infos de ips do mundo ocidental, e o que dá infos de ips do mundo oriental. Quando um deles não dá informações sobre um ip, é porque esse ip é do outro ... bem ... mundo.

Concordo consigo, Dyego, pode ser malware. Mas, regra geral, o malware tenta ir de dentro para fora (in-out), e não o oposto. Sim, também poderiam ser tentativas de contacto com algum spyware instalado para a captação de dados. Mesmo assim, o pc infectado iria dar o primeiro passo, logo in-out.

Um parêntesis: aqui há uns três anos, o meu pc foi infectado por um worm bem chato. O antivirus na altura não o detectou, logo não o limpou. Era recente, tinha apenas uns dias, nenhum antivírus o detectava ainda. Depois de visitar uma série de fóruns sobre segurança e ler umas largas dezenas e dezenas de tópicos de fóruns, lá consegui obter a forma de tirar aquilo à unha. Pois o que impediu o worm de se espalhar - e depois, de lixar o meu pc -, foi a Sygate. Nunca deixou aquilo contactar a net. E foi o que me safou, pois um worm, é criado para, primeiro, se conseguir espalhar o mais rápido possível pelo maior número de computadores; só depois é que se volta para o computador infectado para completar o 'trabalhinho', seja ele qual for. Claro que um computador estragado logo de início pelo worm não conseguiria infectar mais nenhum computador. Foi o que me safou, repito. Phew! Cada vez que me lembro dessa! Sygate, por favor!, vem para ficar e vestir este despido Fogo de Vista.

O que suponho que talvez seja: tentativas, aleatórias ou não de escanear ips no sentido de encontrar portas abertas (de bugs, de troianos, de vulnerabilidades), no sentido de explorar ou usar essas vulnerabilidades. Há programas, chamados sniffers e/ou ip scanners que correm certas portas de muitos ips para ver se há algum bug ou vulnerabilidade.

Agora, como resolver essa situação sem revelar o nosso próprio ip?! Se se tiver algum tempo (pouco) e disposição (alguma), é muito simples, basta pôr certos sites da net a trabalhar para nós; isso não revelará o nosso próprio ip perante o caçador agora transformado em caça.

E como?

Usando um net scanner ou sniffer ONLINE que

escaneie esse ip que nos está a azucrinar.

Agora o factor psicológico: ao fazer a "retaliação", escolher a mesma (ou mesmas) portas que o ip "invasor" estava a usar.

Eis a seguir alguns sites de sniff / netscan / etc. (alguns deles, também pela sua temática, afectarão psicologicamente o "invasor").

http://www.google.pt/search?hl=pt-PT&q=onl...Pesquisar&meta=

Há alguns portscanners online que o deixarão escolher o ip a pesquisar e as portas a escanear.

Agora como "ultimate" tool, há sites que também permitem, por exemplo, um ping ou um itrace simultâneo partindo de vários ips esplhados pelo mundo:

http://www.tracert.com/ping_exe.html

(já teve bastantes mais, agora só tem dois 'pingers')

http://www.tracert.com/trace_exe.html

(esta ferramenta faz traceroutes online de vários locais do mundo simultaneamente)

Se alguém quiser experimentar, ponha o seu próprio ip. Não há crise, são ferramentas inócuas mas que, repito, psicologicamente, arrasarão com os nervos de quem estiver do lado de lá: se não saltar dos sapatos, pelo menos sujará o fundilho das calças! E tudo isto, refiro de novo, sem dar a conhecer o nosso próprio ip. Outra arma psicológica é escolher todos, ou apenas os ips enviadores de tracerouters do país do ip invasor. Refiro que há alguns que poderão não funcionar, outros que precisarão de login e password, etc.

Mas experimentem primeiro com o vosso próprio ip (é o que aparecer no aso dos dios sites acima), e verão se uma pessoa desprevenida não precisará de mudar de cuecas e calças na hora! :lol:

Quando usava os dois sites acima em ips que a Sygate indicava andarem a 'snifar' o meu, começava de mansinho, com o ping umas duas ou três vezes. Depois 'atacava' com todos os ips de traceroute, também duas ou três vezes de seguida. Depois usava de novo o ping. E, «milagre», às vezes o ip invasor já não estava online. :P

Saudações cordiais.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.