+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Профессиональные ребята.

Профессиональные ребята., RouterOS

taloot

Guest

30.05.2005 13:16:00

Привет, ребята, нужна ваша помощь. Мой роутер показывает исходящий трафик, хотя никто к нему не подключен. Думаю, спамер использует мой IP-адрес или что-то вроде того. Вот мой IP-адрес: 213.209.174.66. Ребята, если вы видите, что у меня открыты какие-то сервисы (DNS-прокси или что-то еще), дайте знать. Жду ваших ответов.

changeip Guest	#2 0 30.05.2005 17:13:00 А почему бы не добавить правила в брандмауэр, чтобы блокировать то, что ты не разрешаешь? У тебя лучший брандмауэр в мире, а ты его не используешь? Сэм.

taloot Guest	#3 0 30.05.2005 20:26:00 Большое спасибо, но как?

Hugh_Hartman

Guest

31.05.2005 01:32:00

Этот скан выглядит не очень хорошо:

IP-адрес: 213.209.174.66
Имя хоста: 1117415880.335
MAC-адрес: 00-00-00-00-00-00 (вероятно, Dial-Up)
Имя пользователя: (Никто не вошел в систему)
Операционная система: предположительно Unix
Время жизни (TTL): 47 (64) - 17 hop(ов) вдали
Имена NETBIOS (1)
1117415880.335 - Workstation Service
Открытые порты (71)
25 [ Smtp => Simple Mail Transfer Protocol ]
220 AVG ESMTP Proxy Server 7.0.321/7.0.322 [267.3.0]
110 [ Pop3 => Post Office Protocol 3 ]
13 [ Daytime => Time of day ]
22 [ Ssh => Remote Login Protocol ]
42 [ NameServer => WINS Host Name Server ]
53 [ Domain => Domain Name Server ]
79 [ Finger ]
80 [ Http => World Wide Web, HTTP ]
113 [ identd => Authentication Service ]
118 [ SqlServ => SQL Services ]
135 [ epmap => DCE endpoint resolution ]
139 [ Netbios-ssn => NETBIOS Session Service ]
156 [ Sqlsrv => SQL Services ]
161 [ Snmp => Simple Network Management Protocol ]
371 [ Clearcase ]
443 [ HttpS => Secure HTTP ]
512 [ Exec => Remote process execution ]
513 [ Login => Remote login (a la telnet) ]
514 [ Shell => cmd ]
540 [ uucp ]
515 [ printer => Printer Spooler ]
1080 [ Socks ]
1433 [ Microsoft SQL server ]
1494 [ Citrix ICA => Remote Control Software ]
1993 [ Cisco SNMP ]
1999 [ Cisco identd ]
2049 [ NFS => Network File System ]
3128 [ Proxy/Socks ]
3389 [ Terminal Services ]
5631 [ pcANYWHEREdata => Remote Control Software ]
5632 [ pcANYWHEREstat => Remote Control Software ]
6789 [ IBM DB2 ]
9100 [ JetDirect => HP Jetdirect PrintServer ]
8080 [ Http-Proxy ]
43188 [ ReachOut => Remote Control Software ]
25867 [ WebCam32 => WebCam32 Admin ]
5800 [ VNC => Remote Control Software ]
407 [ Timbuktu => Remote Control Software ]
800 [ Remotely Possible / ControlIT => Remote Control Software ]
799 [ Remotely Possible / ControlIT => Remote Control Software ]
2000 [ Remotely Anywhere => Remote Control Software ]
2001 [ Remotely Anywhere => Remote Control Software ]
119 [ News ]
311 [ AppleShare => Web-Admin ]
389 [ LDAP => Light Directory Access Protocol ]
548 [ AFP => Apple File Share ]
4045 [ lockd => NFS File Locking ]
6699 [ Napster ]
6346 [ GNUTella ]
427 [ SLP => Service Location Protocol ]
4001 [ Cisco Virtual Terminal ]
6001 [ Cisco virtual Terminal ]
8888 [ AnswerBook2 ]
9001 [ Cisco XRemote Service ]
12345 [ Netbus ]
20034 [ Netbus Pro ]
27374 [ Subseven ]
6670 [ Deep Throat ]
2583 [ Wincrash2 ]
30999 [ Kuang ]
5400 [ Blade Runner ]
44444 [ Prosiak ]
1015 [ Doly ]
31787 [ Hack’a’tack ]
17300 [ Kuang2 ]
5550 [ Xtcp 2.0x ]
9400 [ InCommand ]
5882 [ Y3k ]
23432 [ Asylum ]
12349 [ Bionet ]
17569 [ Infector ]
Предупреждения (18)
(Легенда: - High - Medium - Low - Information)
Бэкдоры
Netbus (12345)
Netbus Pro (20034)
Subseven (27374)
Deep Throat (6670)
Wincrash2 (2583)
Kuang (30999)
Blade Runner (5400)
Prosiak (44444)
Doly (1015)
Hack’a’tack (31787)
Kuang2 (17300)
Xtcp 2.0x (5550)
InCommand (9400)
Y3k (5882)
Asylum (23432)
Bionet (12349)
Infector (17569)
Misc_Alerts (1)
cfingerd util-c buffer overflow
Описание: The cfingerd package versions 1.4.3 and earlier is vulnerable to a buffer overflow in the util.c file
Bugtraq ID: http://xforce.iss.net/static/6744.php
Понедельник, 30 мая 2005 г. – 09:29 PM

engineer Guest	#5 0 31.05.2005 13:09:00 Хью Хартман, не подскажете, какой инструмент (сканер) вы использовали? Nmap, может быть…? Спасибо.

taloot Guest	#6 0 31.05.2005 21:00:00 Хартман, можешь, пожалуйста, повтори свой тест сейчас, я кое-какие правила внес.

Hugh_Hartman Guest	#7 0 01.06.2005 01:02:00 engineer—LANguard Network Scanner v (2.0 beta) сканирование taloot–сейчас в процессе

Hugh_Hartman

Guest

01.06.2005 01:13:00

yikes: IP Адрес: 213.209.174.66 HostName: IP66NET174 Resolved: ip66net174.skylogicnet.it Операционная система: предположительно Unix Time to live (TTL): 47 (64) - 17 хопов до цели Открытые порты (76) 25 [ Smtp => Simple Mail Transfer Protocol ] 220 AVG ESMTP Proxy Server 7.0.321/7.0.322 [267.3.3] 110 [ Pop3 => Post Office Protocol 3 ] 13 [ Daytime => Time of day ] 22 [ Ssh => Remote Login Protocol ] SSH-1.99-OpenSSH_2.3.0p1 42 [ NameServer => WINS Host Name Server ] 53 [ Domain => Domain Name Server ] 79 [ Finger ] 80 [ Http => World Wide Web, HTTP ] HTTP/1.0 400 Bad Request : close Content-Length: 113 Date: Tue, 31 May 2005 01:01:23 GMT Expires: Thu, 01 Jan 1970 00:00:00 GMT 98 [ linuxconf ] 109 [ Pop2 => Post Office Protocol 2 ] 111 [ SunRPC => SUN Remote Procedure Call ] 113 [ identd => Authentication Service ] 118 [ SqlServ => SQL Services ] 135 [ epmap => DCE endpoint resolution ] 139 [ Netbios-ssn => NETBIOS Session Service ] 156 [ Sqlsrv => SQL Services ] 161 [ Snmp => Simple Network Management Protocol ] 371 [ Clearcase ] 443 [ HttpS => Secure HTTP ] 445 [ Microsoft-Ds ] 512 [ Exec => Remote process execution ] 514 [ Shell => cmd ] 513 [ Login => Remote login (a la telnet) ] 515 [ printer => Printer Spooler ] 540 [ uucp ] 1080 [ Socks ] 1433 [ Microsoft SQL server ] 1494 [ Citrix ICA => Remote Control Software ] 1993 [ Cisco SNMP ] 1999 [ Cisco identd ] 2049 [ NFS => Network File System ] 3128 [ Proxy/Socks ] 3389 [ Terminal Services ] 5631 [ pcANYWHEREdata => Remote Control Software ] 5632 [ pcANYWHEREstat => Remote Control Software ] 6789 [ IBM DB2 ] 6790 [ IBM DB2 ] 9100 [ JetDirect => HP Jetdirect PrintServer ] 8080 [ Http-Proxy ] 43188 [ ReachOut => Remote Control Software ] 25867 [ WebCam32 => WebCam32 Admin ] 5800 [ VNC => Remote Control Software ] 407 [ Timbuktu => Remote Control Software ] 799 [ Remotely Possible / ControlIT => Remote Control Software ] 2000 [ Remotely Anywhere => Remote Control Software ] 2001 [ Remotely Anywhere => Remote Control Software ] 21 [ Ftp => File Transfer Protocol ] 220 MikroTik FTP server (MikroTik v2.8.26) ready 119 [ News ] 311 [ AppleShare => Web-Admin ] 389 [ LDAP => Light Directory Access Protocol ] 548 [ AFP => Apple File Share ] 4045 [ lockd => NFS File Locking ] 6699 [ Napster ] 6346 [ GNUTella ] 427 [ SLP => Service Location Protocol ] 4001 [ Cisco Virtual Terminal ] 6001 [ Cisco virtual Terminal ] 8888 [ AnswerBook2 ] 9001 [ Cisco XRemote Service ] 12345 [ Netbus ] 20034 [ Netbus Pro ] 31337 [ Back Oriffice ] 27374 [ Subseven ] 6670 [ Deep Throat ] 2583 [ Wincrash2 ] 30999 [ Kuang ] 5400 [ Blade Runner ] 44444 [ Prosiak ] 1015 [ Doly ] 31787 [ Hack’a’tack ] 17300 [ Kuang2 ] 5550 [ Xtcp 2.0x ] 9400 [ InCommand ] 5882 [ Y3k ] 23432 [ Asylum ] 12349 [ Bionet ] Оповещения (18) (Легенда: - Высокий - Средний - Низкий - Информация) Бэкдоры Netbus (12345) Netbus Pro (20034) Back Oriffice (31337) Subseven (27374) Deep Throat (6670) Wincrash2 (2583) Kuang (30999) Blade Runner (5400) Prosiak (44444) Doly (1015) Hack’a’tack (31787) Kuang2 (17300) Xtcp 2.0x (5550) InCommand (9400) Y3k (5882) Asylum (23432) Bionet (12349) Разные_Оповещения (1) cfingerd util-c переполнение буфера Описание: Пакет cfingerd версий 1.4.3 и более ранних подвержен переполнению буфера в файле util.c ID Bugtraq: http://xforce.iss.net/static/6744.php Вторник, 31 мая 2005 г. – 09:12 вечера

andrewluck

Guest

01.06.2005 07:47:00

Я использую следующие правила в цепочке Input на моём роутере, чтобы предотвратить входящие подключения из Интернета:
[admin@Net4501] ip firewall rule input>
pr Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop TCP Invalid packets in-interface=Internet connection-state=invalid action=drop log=yes
1 ;;; Drop spoofed packets src-address=192.168.1.0/24 in-interface=Internet action=drop log=yes
2 ;;; Permit local LAN traffic in-interface=Internal action=accept
3 ;;; PPTP Tunnel protocol=gre action=accept
4 ;;; Accept Internet Established in-interface=Internet connection-state=established action=accept
5 ;;; Accept Internet Related in-interface=Internet connection-state=related action=accept
6 ;;; PPTP control dst-address=:1723 protocol=tcp action=accept
7 X ;;; Accept IKE traffic src-address=:500 in-interface=Internet dst-address=:500 protocol=udp action=accept
8 X ;;; Accept IPSEC traffic in-interface=Internet protocol=ipsec-esp action=accept
9 ;;; Silent drop for TCP:445 dst-address=:445 protocol=tcp action=drop
10 ;;; Silent drop for UDP 1026-1027 in-interface=Internet dst-address=:1026-1029 protocol=udp action=drop
11 ;;; Drop & log everything else in-interface=Internet action=drop log=yes

Regards
Andrew

jarosoup

Guest

#10

01.06.2005 14:15:00

В будущем тебе лучше по умолчанию всё отбрасывать и принимать только тот трафик, который действительно нужен. Не хочу это говорить, но ни один файрвол сейчас не поможет. Дело безнадёжное. Ему либо серьёзно поработать, либо форматирование делать.

taloot Guest	#11 0 01.06.2005 17:43:00 Ох, чувак, я настроил правило для файрвола, работает отлично. Но когда добавляю `action=drop` в конце, вообще здорово – всё блокируется. Но через какое-то время оно исчезает, я вообще не понимаю почему??

andrewluck

Guest

#12

01.06.2005 19:35:00

История системы покажет, если правило удаляется и кем. Можно установить действие по умолчанию для цепочки Input в "Drop". Смените пароль как можно скорее и проверьте, не были ли добавлены дополнительные аккаунты. С уважением, Andrew.

sten Guest	#13 0 01.06.2005 21:19:00 Поскольку ваша сессия уже разрешена и находится в таблице состояний. Вероятно, ваш набор правил неполный.

taloot Guest	#14 0 02.06.2005 10:33:00 Похоже, админ удалил это. Какие-нибудь идеи, Стен? Думаю, ты прав, но как это исправить??!!

andrewluck Guest	#15 0 02.06.2005 17:49:00 Смените пароль администратора. С уважением, Эндрю.

taloot Guest	#16 0 04.06.2005 04:09:00 Я его поменял, и теперь всё отлично работает, кстати. Никто мою пароль не знает, только я, и эта довольно сложная, очень-очень сложная, ха-ха.

hitek146

Guest

#17

04.06.2005 04:59:00

Неважно, насколько сложный у тебя пароль, если кто-то записывает твои нажатия клавиш. Я согласен с jarosoup: если пароль администратора скомпрометирован, то дело уже совсем плохо. Лучше начать заново. Как только система проникает на такой уровень, очень сложно исправить каждое нарушение и убедиться, что ты убрал абсолютно все. Достаточно оставить одну крошечную брешь, чтобы вся эта история начала повторяться заново… Hitek

andrewluck

Guest

#18

04.06.2005 08:39:00

Обычно я бы с вами согласился, если бы это была обычная система. Но это же роутер, он не должен быть уязвим для установки бэкдоров. Сомневаюсь, что за этими подозрительными открытыми портами действительно что-то есть. С уважением, Эндрю.

sten

Guest

#19

04.06.2005 09:05:00

Эти дни маршрутизаторы Cisco постоянно подделывают. RouterOS построен на Linux, и в основе лежит всё ещё среда Linux. Не невозможно там добавить бэкдоры. Я бы поспорил, что это довольно просто, как только найдёшь способ выполнить свой код (то есть, найти дыру). Однако в данном случае, я думаю, пользователь что-то неправильно настроил.

taloot Guest	#20 0 04.06.2005 11:56:00 Ребята, вот что со мной произошло. Когда я использовал свой старый пароль, действие "drop" пропало. Но это произошло только после того, как я разрешил порт 23 telnet. Когда я заблокировал telnet, остальное оставалось заблокировано?! Есть какие-нибудь идеи? С новым паролем, даже если telnet-порт открыт, действие "Drop" не пропало. Другими словами, хакер не может ничего сделать извне, и когда я блокирую telnet, он тоже не может.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры