Modemdeki Log! Attacklar

mercanx · 15-01-2009, 15:18

Merhaba
Yeni üye oldum , medmime gelen saldırılar hakkında bilgi almak ve neler yapmam gerektiğini öğrenmek istiyorum.

Teşekkürler

Log sonuçlarım

No. Time Source IP Destination IP Note
1|01/14/2009 22:25:12 |211.148.197.30:6000 |85.xx.xx.xx:xx |ATTACK
ports scan TCP

End of Logs
*****************
No. Time Source IP Destination IP Note
1|01/14/2009 22:25:12 |211.148.197.30:6000 |85.xx.xx.xx:xx |ATTACK
ports scan TCP

End of Logs
*****************
No. Time Source IP Destination IP Note
1|01/14/2009 04:17:19 |195.155.1.21 |85.xx.xx.xx |ATTACK
ping of death. ICMP(Echo)
**************************
No. Time Source IP Destination IP Note
1|01/13/2009 15:13:41 |88.225.212.49:1242 |88.xx.xx.xx:27878 |ATTACK
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=254676
ports scan TCP

End of Alert
***************
Bu şekilde uyarılar almaktayım nedir ne değildir ne yapmam gereklidir?
Modemim Zeyxel P660-HW
Burdaki bazı saldırganların IP lerine uzak masa üstü ile bağlandım biri 2008 server çıktı diğeri çince 2003 server

netr0n · 16-01-2009, 04:28

Bu konuda alınacak en iyi önlem, TCP ve UDP 135 ile 139 arası portları,
kapatmaktır. Ayrıca, service pack 3 yükleyiniz çünkü lokal güvenlik politikaları,
registyr içersine yüklenmiştir. Gerçi benim denemelerime göre, bu parametre,
erişimin yapılmasına engel olmamaktadır ama bu bağlantı yoluyla alınabilecek,
bilgileri kısıtlamaktadır.

Öncelikle butür durumlarda hacker'in yaptığı işlemleri yapmanızı öneririm..
Hacker TCP/IP taraması yaparak açık olan portunuzu yakalar.
Yani direkt olarak sizi saldırıldığını düşünmüyorum. Belirli IP Aralıklarını,
tarattığında sizin IP'niz belirmiştir o şekilde giriş gerçekleştirmeye çalışmıştır.
Sizin yapacağınız önlem; nmap veya superscan programlarını bilgisayarınıza,
indirip, (wardom da, arama yapmanız yeterli) b.sayarınıza kurmanız ve -
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=254676
Aynı şekilde IP'nizden yola çıkarak portlarınızı taratmanız..
Açık olan portlarınızı Snort programı ile kapatabilirsiniz yine aynı şekilde,
wardom da, bu programı bulmanız mümkün..

+ Pc'nizde kaspersky 2009 mutlaka kurulu olsun.
Kolay gelsin.

mercanx · 17-01-2009, 09:17

Teşekkürler netr0n

Peki şu anlamadım benim sistemimde olmayan IP ile attack oluyor sanki ağımın içindeymiş gibi.

No. Time Source IP Destination IP Note
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=254676
1|01/16/2009 11:29:56 |192.168.0.3:13828 |192.168.1.176:20892 |ATTACK
ip spoofing - WAN UDP

End of Alert

Burada ne yapılmış ya yapmışmı? Bu IP bernim sistemde var 192.168.1.176 burası bir iş yeri bunu bir an önce çözmem lazım.

netr0n · 17-01-2009, 10:41

Alıntı:

Orjinal Mesaj Sahibi mercanx

Teşekkürler netr0n

Peki şu anlamadım benim sistemimde olmayan IP ile attack oluyor sanki ağımın içindeymiş gibi.

No. Time Source IP Destination IP Note
1|01/16/2009 11:29:56 |192.168.0.3:13828 |192.168.1.176:20892 |ATTACK
ip spoofing - WAN UDP

End of Alert

Burada ne yapılmış ya yapmışmı? Bu IP bernim sistemde var 192.168.1.176 burası bir iş yeri bunu bir an önce çözmem lazım.

Tekrar selamlar.

Görüldüğü gibi sisteminize IP spoofing saldırısı düzenlenmiş..
Size saldırı yapan bu IP değildir. IP spoofing saldırıları,
online server üzerinden yapılır. Yani proxy bağlantısı ile,
bir servere bağlanıldığında, IP adresinide gizlemiş olmaktadır..
Kişi bilgisayarınıza serverırınıza girdiğinde, siz onun giriş yaptığını,
göremezsiniz sadece çıkış yaptığın proxy ile çıkış yapıldığını bulabilirsiniz..
Yani proxy olan bir server'ın giriş yaptığını size söyleyecektir..

örnek olarak IP Spoofing yapmak istediğinizde google'dan arama yaptığınızda,
size proxy girişleri hakkında aşağıdaki gibi, proxy'ler verecektir.

192.41.135.218:3127
192.41.135.218:3128
192.41.135.219:3124
192.41.135.219:3127
192.41.135.219:3128
140.109.17.180:3124
140.109.17.180:3127
140.109.17.180:3128
140.109.17.181:3124
140.109.17.181:3127
140.109.17.181:3128
140.114.79.231:3124
140.114.79.231:3127

Sizin yapmanız gereken proxy girişlerinize önlem almanız..
eğer önemli bilgiler saklıyorsanız, giren kişi IP paketlerinizi,
editleyebilir. Sizi sıkıntılara sokabilir.

IP Spoofing'i anlatmaya kalksam yaptıkları bitmez..
Bunlar sadece önlem almanız için size bir kaç örnekti..
Yapmanız gereken Tüm portlarınızı özellikle 135 ile 139,
arası portlarınıza dikkat ediniz. IP Spoofing tekniği çok kapsamlı,
bir teknik olduğu için, burada hiç durmadan yazarak size bu teknik,
hakkında bilgi verebilirim

O bulduğunuz IP bir başkasına aittir

En kısa sürede önleminizi alınız..
Ya da iyi derecede TCP/IP bilen,
bir kimseden yardım alınız sistem analinizi yaptırınız...

mercanx · 17-01-2009, 11:41

1- No. Time Source IP Destination IP Note
1|01/16/2009 11:29:56 |192.168.0.3:13828 |192.168.1.176:20892 |ATTACK
ip spoofing - WAN UDP

End of Logs
-*********************
2- No. Time Source IP Destination IP Note
1|01/17/2009 09:44:03 |192.168.1.3:16001 |88.235.XX.XX:29043 |ATTACK
ip spoofing - WAN UDP

End of Alert

Modemde Firewal var dışarıdan tüm girişleri kapadım, en son "Güvenlik > Güvenlik duvarι > Kurallar" bu bölümede yeni bir kural yazdım 192.168.0.0>192.168.0.255 IP aralığından gelen tüm istekleri girişleri LAN to LAN kuralı olarak "RED" verdim. Sonra 2. şekilde bir attack geldi yani giremedi diye düşünüyorum sizce?

netr0n · 21-01-2009, 23:23

Lütfen, SuperScan veya Nmap ile portlarınızı taratın..
UDP IP datagram uygulaması yapılıyor.. Yani paketlerinize,
ulaşılmak isteniyor.

WAN üzerinden router'ı kontrol ediniz..
Eğer WAN repeater ise ciddi sorunlar alabilirsiniz..

Dediğim gibi, portlarınızı taratınız..
Ya da, iyi derecede TCP/IP bilgisi,
olan kimselerden yardım isteyiniz

15-01-2009, 15:18	#1
mercanx Çırak Kayıt Tarihi: Jan 2009 Üye numarası: #305004 Mesaj sayısı: 4 Karma etkisi: 0 Karma: 10	Modemdeki Log! Attacklar Merhaba Yeni üye oldum , medmime gelen saldırılar hakkında bilgi almak ve neler yapmam gerektiğini öğrenmek istiyorum. Teşekkürler Log sonuçlarım No. Time Source IP Destination IP Note 1\|01/14/2009 22:25:12 \|211.148.197.30:6000 \|85.xx.xx.xx:xx \|ATTACK ports scan TCP End of Logs *************** No. Time Source IP Destination IP Note 1\|01/14/2009 22:25:12 \|211.148.197.30:6000 \|85.xx.xx.xx:xx \|ATTACK ports scan TCP End of Logs ************* No. Time Source IP Destination IP Note 1\|01/14/2009 04:17:19 \|195.155.1.21 \|85.xx.xx.xx \|ATTACK ping of death. ICMP(Echo) ********************** No. Time Source IP Destination IP Note 1\|01/13/2009 15:13:41 \|88.225.212.49:1242 \|88.xx.xx.xx:27878 \|ATTACK Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=254676 ports scan TCP End of Alert ************* Bu şekilde uyarılar almaktayım nedir ne değildir ne yapmam gereklidir? Modemim Zeyxel P660-HW Burdaki bazı saldırganların IP lerine uzak masa üstü ile bağlandım biri 2008 server çıktı diğeri çince 2003 server

Konu Araçları	Bu Konuda Ara
Printer Çıktısını Göster Sayfayı Emaille Yolla	Bu Konuda Ara: Gelişmiş Arama

16-01-2009, 04:28	#2
netr0n Banned Kayıt Tarihi: Oct 2008 Üye numarası: #271411 Yer: ίslâறbol Mesaj sayısı: 2,565 Karma etkisi: 0 Karma: 1642962	Bu konuda alınacak en iyi önlem, TCP ve UDP 135 ile 139 arası portları, kapatmaktır. Ayrıca, service pack 3 yükleyiniz çünkü lokal güvenlik politikaları, registyr içersine yüklenmiştir. Gerçi benim denemelerime göre, bu parametre, erişimin yapılmasına engel olmamaktadır ama bu bağlantı yoluyla alınabilecek, bilgileri kısıtlamaktadır. Öncelikle butür durumlarda hacker'in yaptığı işlemleri yapmanızı öneririm.. Hacker TCP/IP taraması yaparak açık olan portunuzu yakalar. Yani direkt olarak sizi saldırıldığını düşünmüyorum. Belirli IP Aralıklarını, tarattığında sizin IP'niz belirmiştir o şekilde giriş gerçekleştirmeye çalışmıştır. Sizin yapacağınız önlem; nmap veya superscan programlarını bilgisayarınıza, indirip, (wardom da, arama yapmanız yeterli) b.sayarınıza kurmanız ve - Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=254676 Aynı şekilde IP'nizden yola çıkarak portlarınızı taratmanız.. Açık olan portlarınızı Snort programı ile kapatabilirsiniz yine aynı şekilde, wardom da, bu programı bulmanız mümkün.. + Pc'nizde kaspersky 2009 mutlaka kurulu olsun. Kolay gelsin.

17-01-2009, 09:17	#3
mercanx Çırak Kayıt Tarihi: Jan 2009 Üye numarası: #305004 Mesaj sayısı: 4 Karma etkisi: 0 Karma: 10	Teşekkürler netr0n Peki şu anlamadım benim sistemimde olmayan IP ile attack oluyor sanki ağımın içindeymiş gibi. No. Time Source IP Destination IP Note Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=254676 1\|01/16/2009 11:29:56 \|192.168.0.3:13828 \|192.168.1.176:20892 \|ATTACK ip spoofing - WAN UDP End of Alert Burada ne yapılmış ya yapmışmı? Bu IP bernim sistemde var 192.168.1.176 burası bir iş yeri bunu bir an önce çözmem lazım.

17-01-2009, 11:41	#5
mercanx Çırak Kayıt Tarihi: Jan 2009 Üye numarası: #305004 Mesaj sayısı: 4 Karma etkisi: 0 Karma: 10	1- No. Time Source IP Destination IP Note 1\|01/16/2009 11:29:56 \|192.168.0.3:13828 \|192.168.1.176:20892 \|ATTACK ip spoofing - WAN UDP End of Logs -********************* 2- No. Time Source IP Destination IP Note 1\|01/17/2009 09:44:03 \|192.168.1.3:16001 \|88.235.XX.XX:29043 \|ATTACK ip spoofing - WAN UDP End of Alert Modemde Firewal var dışarıdan tüm girişleri kapadım, en son "Güvenlik > Güvenlik duvarι > Kurallar" bu bölümede yeni bir kural yazdım 192.168.0.0>192.168.0.255 IP aralığından gelen tüm istekleri girişleri LAN to LAN kuralı olarak "RED" verdim. Sonra 2. şekilde bir attack geldi yani giremedi diye düşünüyorum sizce?

21-01-2009, 23:23	#6
netr0n Banned Kayıt Tarihi: Oct 2008 Üye numarası: #271411 Yer: ίslâறbol Mesaj sayısı: 2,565 Karma etkisi: 0 Karma: 1642962	Lütfen, SuperScan veya Nmap ile portlarınızı taratın.. UDP IP datagram uygulaması yapılıyor.. Yani paketlerinize, ulaşılmak isteniyor. WAN üzerinden router'ı kontrol ediniz.. Eğer WAN repeater ise ciddi sorunlar alabilirsiniz.. Dediğim gibi, portlarınızı taratınız.. Ya da, iyi derecede TCP/IP bilgisi, olan kimselerden yardım isteyiniz

Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir)