alessandr0

Portas do meu server sendo escaneadas

3 posts neste tópico

Oi,

Sou novo aqui postando, mas já uso o forum a um bom tempo e sempre me foi muito util.

Agora eu estou precisando de uma ajuda mais especifica, será que você´s podem me ajudar ???

Tem um IP escaneando minhas portas do meu server, o ip é o 209.62.68.168,

218.27.62.250, e depois ele fica pulando de porta em porta.

Log do HijackThis removido por não estar relacionado com malware.

Obrigado. :D

Editado por JoseMelo

Compartilhar este post


Link para o post
Compartilhar em outros sites
Oi,

Sou novo aqui postando, mas já uso o forum a um bom tempo e sempre me foi muito util.

Agora eu estou precisando de uma ajuda mais especifica, será que você´s podem me ajudar ???

Tem um IP escaneando minhas portas do meu server, o ip é o 209.62.68.168,

218.27.62.250, e depois ele fica pulando de porta em porta.

Olá seja bem vindo alessandr0 ao LD. :legal:

209.62.68.168

Nome: SUPERAntispyware.com

Pais: EUA

Cidade: Houston

218.27.62.250

Nome: Não aparece

Pais: China

OK você pode esta com algun trojan ou coisa assim.Faça o seguinte:

Leia esse tópico Remoção de virus.<-(link)

Faça um tópico na área de Remoção de Malware.<-(link)

Fique atento nesses tópicos:

Cadê meu o tópico?.<-(link)

Tempo máximo de espera (5 dias).<-(link)

E veja se você esta com o firewall ativado , por que o firewall é responsável por examinar as informações que chegam da Internet e que são enviadas a ela. Ele identifica e ignora informações provenientes de um local perigoso e que pareçam suspeitas. Além ajudar a proteger seu PC contra Hackers, Trojans, Worms e etc.

Recoendo a usar o COMODO Firewall que é um dos melhores. OK :legal:

Caso consiga alguma solução ou melhor a sua situação poste aqui e se não tiver masi problemas click em reportar e peça para um moderador para fechar o eu tópico. OK :legal:

Editado por Dyego Bustorff

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá.

218.27.62.250

OrgName: Asia Pacific Network Information Centre

OrgID: APNIC

Address: PO Box 2131

City: Milton

StateProv: QLD

PostalCode: 4064

Country: AU

este ip parece ser australiano. Info obtida via http://tools.whois.net/whoisbyip/

Há fundamentalmente dois tipos de "whois" online: o que dá infos de ips do mundo ocidental, e o que dá infos de ips do mundo oriental. Quando um deles não dá informações sobre um ip, é porque esse ip é do outro ... bem ... mundo.

Concordo consigo, Dyego, pode ser malware. Mas, regra geral, o malware tenta ir de dentro para fora (in-out), e não o oposto. Sim, também poderiam ser tentativas de contacto com algum spyware instalado para a captação de dados. Mesmo assim, o pc infectado iria dar o primeiro passo, logo in-out.

Um parêntesis: aqui há uns três anos, o meu pc foi infectado por um worm bem chato. O antivirus na altura não o detectou, logo não o limpou. Era recente, tinha apenas uns dias, nenhum antivírus o detectava ainda. Depois de visitar uma série de fóruns sobre segurança e ler umas largas dezenas e dezenas de tópicos de fóruns, lá consegui obter a forma de tirar aquilo à unha. Pois o que impediu o worm de se espalhar - e depois, de lixar o meu pc -, foi a Sygate. Nunca deixou aquilo contactar a net. E foi o que me safou, pois um worm, é criado para, primeiro, se conseguir espalhar o mais rápido possível pelo maior número de computadores; só depois é que se volta para o computador infectado para completar o 'trabalhinho', seja ele qual for. Claro que um computador estragado logo de início pelo worm não conseguiria infectar mais nenhum computador. Foi o que me safou, repito. Phew! Cada vez que me lembro dessa! Sygate, por favor!, vem para ficar e vestir este despido Fogo de Vista.

O que suponho que talvez seja: tentativas, aleatórias ou não de escanear ips no sentido de encontrar portas abertas (de bugs, de troianos, de vulnerabilidades), no sentido de explorar ou usar essas vulnerabilidades. Há programas, chamados sniffers e/ou ip scanners que correm certas portas de muitos ips para ver se há algum bug ou vulnerabilidade.

Agora, como resolver essa situação sem revelar o nosso próprio ip?! Se se tiver algum tempo (pouco) e disposição (alguma), é muito simples, basta pôr certos sites da net a trabalhar para nós; isso não revelará o nosso próprio ip perante o caçador agora transformado em caça.

E como?

Usando um net scanner ou sniffer ONLINE que

escaneie esse ip que nos está a azucrinar.

Agora o factor psicológico: ao fazer a "retaliação", escolher a mesma (ou mesmas) portas que o ip "invasor" estava a usar.

Eis a seguir alguns sites de sniff / netscan / etc. (alguns deles, também pela sua temática, afectarão psicologicamente o "invasor").

http://www.google.pt/search?hl=pt-PT&q=onl...Pesquisar&meta=

Há alguns portscanners online que o deixarão escolher o ip a pesquisar e as portas a escanear.

Agora como "ultimate" tool, há sites que também permitem, por exemplo, um ping ou um itrace simultâneo partindo de vários ips esplhados pelo mundo:

http://www.tracert.com/ping_exe.html

(já teve bastantes mais, agora só tem dois 'pingers')

http://www.tracert.com/trace_exe.html

(esta ferramenta faz traceroutes online de vários locais do mundo simultaneamente)

Se alguém quiser experimentar, ponha o seu próprio ip. Não há crise, são ferramentas inócuas mas que, repito, psicologicamente, arrasarão com os nervos de quem estiver do lado de lá: se não saltar dos sapatos, pelo menos sujará o fundilho das calças! E tudo isto, refiro de novo, sem dar a conhecer o nosso próprio ip. Outra arma psicológica é escolher todos, ou apenas os ips enviadores de tracerouters do país do ip invasor. Refiro que há alguns que poderão não funcionar, outros que precisarão de login e password, etc.

Mas experimentem primeiro com o vosso próprio ip (é o que aparecer no aso dos dios sites acima), e verão se uma pessoa desprevenida não precisará de mudar de cuecas e calças na hora! :lol:

Quando usava os dois sites acima em ips que a Sygate indicava andarem a 'snifar' o meu, começava de mansinho, com o ping umas duas ou três vezes. Depois 'atacava' com todos os ips de traceroute, também duas ou três vezes de seguida. Depois usava de novo o ping. E, «milagre», às vezes o ip invasor já não estava online. :P

Saudações cordiais.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!


Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.


Entrar Agora

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.