Ir para conteúdo

Foto

Portas do meu server sendo escaneadas


  • Por favor, faça o login para responder
2 respostas neste tópico

#1
alessandr0

alessandr0

    Novato

  • Novato
  • Pip
  • 1 posts
Oi,
Sou novo aqui postando, mas já uso o forum a um bom tempo e sempre me foi muito util.
Agora eu estou precisando de uma ajuda mais especifica, será que você´s podem me ajudar ???

Tem um IP escaneando minhas portas do meu server, o ip é o 209.62.68.168,
218.27.62.250, e depois ele fica pulando de porta em porta.

Log do HijackThis removido por não estar relacionado com malware.

Obrigado. :D

Editado por JoseMelo, 27 agosto 2008 - 18:33.


#2
Dyego Bustorff

Dyego Bustorff

    Monitor - ARIS

  • ARIS-LD
  • 1.483 posts
  • Sexo:Masculino

Oi,
Sou novo aqui postando, mas já uso o forum a um bom tempo e sempre me foi muito util.
Agora eu estou precisando de uma ajuda mais especifica, será que você´s podem me ajudar ???

Tem um IP escaneando minhas portas do meu server, o ip é o 209.62.68.168,
218.27.62.250, e depois ele fica pulando de porta em porta.


Olá seja bem vindo alessandr0 ao LD. :legal:

209.62.68.168

Nome: SUPERAntispyware.com
Pais: EUA
Cidade: Houston

218.27.62.250

Nome: Não aparece
Pais: China

OK você pode esta com algun trojan ou coisa assim.Faça o seguinte:

Leia esse tópico Remoção de virus.<-(link)

Faça um tópico na área de Remoção de Malware.<-(link)

Fique atento nesses tópicos:

Cadê meu o tópico?.<-(link)

Tempo máximo de espera (5 dias).<-(link)

E veja se você esta com o firewall ativado , por que o firewall é responsável por examinar as informações que chegam da Internet e que são enviadas a ela. Ele identifica e ignora informações provenientes de um local perigoso e que pareçam suspeitas. Além ajudar a proteger seu PC contra Hackers, Trojans, Worms e etc.

Recoendo a usar o COMODO Firewall que é um dos melhores. OK :legal:

Caso consiga alguma solução ou melhor a sua situação poste aqui e se não tiver masi problemas click em reportar e peça para um moderador para fechar o eu tópico. OK :legal:

Editado por Dyego Bustorff, 30 agosto 2008 - 22:33.


#3
Anthmann

Anthmann

    Banido

  • Banido
  • PipPipPipPip
  • 2.566 posts
  • Local:PORTUGAL
Olá.

218.27.62.250
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

este ip parece ser australiano. Info obtida via http://tools.whois.net/whoisbyip/
Há fundamentalmente dois tipos de "whois" online: o que dá infos de ips do mundo ocidental, e o que dá infos de ips do mundo oriental. Quando um deles não dá informações sobre um ip, é porque esse ip é do outro ... bem ... mundo.

Concordo consigo, Dyego, pode ser malware. Mas, regra geral, o malware tenta ir de dentro para fora (in-out), e não o oposto. Sim, também poderiam ser tentativas de contacto com algum spyware instalado para a captação de dados. Mesmo assim, o pc infectado iria dar o primeiro passo, logo in-out.
Um parêntesis: aqui há uns três anos, o meu pc foi infectado por um worm bem chato. O antivirus na altura não o detectou, logo não o limpou. Era recente, tinha apenas uns dias, nenhum antivírus o detectava ainda. Depois de visitar uma série de fóruns sobre segurança e ler umas largas dezenas e dezenas de tópicos de fóruns, lá consegui obter a forma de tirar aquilo à unha. Pois o que impediu o worm de se espalhar - e depois, de lixar o meu pc -, foi a Sygate. Nunca deixou aquilo contactar a net. E foi o que me safou, pois um worm, é criado para, primeiro, se conseguir espalhar o mais rápido possível pelo maior número de computadores; só depois é que se volta para o computador infectado para completar o 'trabalhinho', seja ele qual for. Claro que um computador estragado logo de início pelo worm não conseguiria infectar mais nenhum computador. Foi o que me safou, repito. Phew! Cada vez que me lembro dessa! Sygate, por favor!, vem para ficar e vestir este despido Fogo de Vista.

O que suponho que talvez seja: tentativas, aleatórias ou não de escanear ips no sentido de encontrar portas abertas (de bugs, de troianos, de vulnerabilidades), no sentido de explorar ou usar essas vulnerabilidades. Há programas, chamados sniffers e/ou ip scanners que correm certas portas de muitos ips para ver se há algum bug ou vulnerabilidade.

Agora, como resolver essa situação sem revelar o nosso próprio ip?! Se se tiver algum tempo (pouco) e disposição (alguma), é muito simples, basta pôr certos sites da net a trabalhar para nós; isso não revelará o nosso próprio ip perante o caçador agora transformado em caça.
E como?
Usando um net scanner ou sniffer ONLINE que
escaneie esse ip que nos está a azucrinar.
Agora o factor psicológico: ao fazer a "retaliação", escolher a mesma (ou mesmas) portas que o ip "invasor" estava a usar.
Eis a seguir alguns sites de sniff / netscan / etc. (alguns deles, também pela sua temática, afectarão psicologicamente o "invasor").
http://www.google.pt...Pesquisar&meta=
Há alguns portscanners online que o deixarão escolher o ip a pesquisar e as portas a escanear.

Agora como "ultimate" tool, há sites que também permitem, por exemplo, um ping ou um itrace simultâneo partindo de vários ips esplhados pelo mundo:
http://www.tracert.com/ping_exe.html
(já teve bastantes mais, agora só tem dois 'pingers')
http://www.tracert.com/trace_exe.html
(esta ferramenta faz traceroutes online de vários locais do mundo simultaneamente)

Se alguém quiser experimentar, ponha o seu próprio ip. Não há crise, são ferramentas inócuas mas que, repito, psicologicamente, arrasarão com os nervos de quem estiver do lado de lá: se não saltar dos sapatos, pelo menos sujará o fundilho das calças! E tudo isto, refiro de novo, sem dar a conhecer o nosso próprio ip. Outra arma psicológica é escolher todos, ou apenas os ips enviadores de tracerouters do país do ip invasor. Refiro que há alguns que poderão não funcionar, outros que precisarão de login e password, etc.
Mas experimentem primeiro com o vosso próprio ip (é o que aparecer no aso dos dios sites acima), e verão se uma pessoa desprevenida não precisará de mudar de cuecas e calças na hora! :lol:

Quando usava os dois sites acima em ips que a Sygate indicava andarem a 'snifar' o meu, começava de mansinho, com o ping umas duas ou três vezes. Depois 'atacava' com todos os ips de traceroute, também duas ou três vezes de seguida. Depois usava de novo o ping. E, «milagre», às vezes o ip invasor já não estava online. :P

Saudações cordiais.
Remoção Gratuita de Malware do LD: 1º PASSO - INSTRUÇÕES <-- link || 2º PASSO - SECÇÃO DE REMOÇÃO GRATUITA DE MALWARE <-- link
Por favor clique em REPORTAR para a Moderação fechar o seu tópico, quando o achar resolvido.
http://deriel.com/ (Otimizado para IE, nos outros fica uma... miséria...)
Spam e etc: http://www.deriel.com/emails/ips.txt
Imagem Postada
Link --> http://periciaeseguranca.blogspot.com/
http://www.animalwheeling.com/
http://www.jpbar.blogspot.com/




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos