/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Portscanninger faldet til normalt niveau..~
Fra : Thore


Dato : 25-10-02 10:51

....skriver CW sq i dag...:(

<snip>

Portskanninger stammer fra orm
Den kraftige stigninger i skanninger mod porte til diskdeling forleden
fra skyldes en orm, der leder efter svage passwords. Det rapporterer
sikkerhedsorganisationen SANS Institute. Nu er antallet af skanninger
faldet til normalt niveau.
Læs hele artiklen her
<http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16688>

</snip>

Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
som ZA har afvist på mine porte fra kl. 08:50...
I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(

Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)

--
Venlig hilsen / Best regards
Thore Sorensen - DK-2700 Bronshoj
(Z = spamfilter)

 
 
Klaus Ellegaard (25-10-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 25-10-02 10:50

Thore <Zdinotec@pc.dk> writes:

>Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
>som ZA har afvist på mine porte fra kl. 08:50...
>I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(

>Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)

Får ZA til at lade være med at advisere dig om ligegyldige pakker?

Mvh.
   Klaus.

Thore (25-10-2002)
Kommentar
Fra : Thore


Dato : 25-10-02 11:08

On Fri, 25 Oct 2002 09:49:32 +0000 (UTC), Klaus Ellegaard
<klaus@ellegaard.dk> wrote:

>Thore <Zdinotec@pc.dk> writes:
>
>>Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
>>som ZA har afvist på mine porte fra kl. 08:50...
>>I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>
>>Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>
>Får ZA til at lade være med at advisere dig om ligegyldige pakker?
>
Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
ligegyldige og ikke-ligegyldige pakker?
Hele den portscanningseance med 300-400 portscanninger pr. dag startede
for 10-12 dage siden. Inden den tid var det 3-10 pr. dag.
Jeg får ikke "alerten" frem på skærmen, det ville ikke være til at holde
ud. Jeg skal manuelt åbne ZA fra systray'en for at se dem...:)

Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
dag...:) Hvordan kommer jeg det? Hiver stikket ud?

--
Venlig hilsen / Best regards
Thore Sorensen - DK-2700 Bronshoj
(Z = spamfilter)

Bertel Lund Hansen (25-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 25-10-02 11:23

Thore skrev:

>Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
>dag...:) Hvordan kommer jeg det? Hiver stikket ud?

Hvis du kun kører med én computer, kan du med fordel fjerne din
'firewall' og i stedet sætte systemet sikkert op. Så er du fri
for at tænke på om du bliver portscanet.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kim Ludvigsen (25-10-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 25-10-02 11:36

Thore wrote:
>
> >
> >Får ZA til at lade være med at advisere dig om ligegyldige pakker?
> >
> Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
> ligegyldige og ikke-ligegyldige pakker?

Det er de - groft sagt - alle sammen. Din firewall har jo stopet dem, så
de ikke kan gøre nogen skade, uanset om det er en hacker, en orm eller
din internetudbyders dns-server, der har banket på. Glem alt om det -
med mindre det sløver din computer så meget, at du ikke kan bruge den.

Læs eventuelt det relevante afsnit i OSS'en på
http://a.area51.dk/sikkerhed/hjemme_net#reaktion

Du kan eventuelt også læse:
http://a.area51.dk/sikkerhed/hjemme_net#fwbesked

> Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
> dag...:) Hvordan kommer jeg det? Hiver stikket ud?

Næh, for så får du jo slet ikke nogen...

--
Mvh. Kim Ludvigsen

Kasper Dupont (25-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 25-10-02 11:54

Thore wrote:
>
> Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
> dag...:) Hvordan kommer jeg det?

Så har du jo brug for en tidsmaskine, men det kan vi desværre
ikke hjælpe dig med.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Brian R. Jensen (25-10-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 25-10-02 13:57


"Thore" <Zdinotec@pc.dk> skrev i en meddelelse
news:ck5iru8ki3rf5358eltih3psvmq528v65l@4ax.com...
> On Fri, 25 Oct 2002 09:49:32 +0000 (UTC), Klaus Ellegaard
> <klaus@ellegaard.dk> wrote:
>
> >Thore <Zdinotec@pc.dk> writes:

> Jeg vil blot tilbage til "gamle dage" hvor der var max 8-10 stk. pr.
> dag...:) Hvordan kommer jeg det? Hiver stikket ud?

Som jeg forstår dig så vil du logge de første 8-10 scanninger hver dag og så
skrotte resten?

<forslag>
Check loggen indtil du når 10 og slå den så fra
</forslag>

/Brian



Kasper Dupont (25-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 25-10-02 15:38

"Brian R. Jensen" wrote:
>
> Som jeg forstår dig så vil du logge de første 8-10 scanninger hver dag og så
> skrotte resten?
>
> <forslag>
> Check loggen indtil du når 10 og slå den så fra
> </forslag>

Det er da en mulighed. Med iptables kunne man jo
tilføje "-m limit --limit 10/day --limit-burst 10"
til sin LOG regel. Kan man gøre noget tilsvarende
med ZA?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Povl H. Pedersen (25-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 25-10-02 16:25

In article <ck5iru8ki3rf5358eltih3psvmq528v65l@4ax.com>, Thore wrote:
>>Får ZA til at lade være med at advisere dig om ligegyldige pakker?
>>
> Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
> ligegyldige og ikke-ligegyldige pakker?

Alt det ZA afviser er ligegyldigt. Det eneste ikke-ligegyldige
er det der kommer ind, eller går ud.

Du er interesseret i er, om der kommer nogen ind, og i
så fald hvad de laver.

Det er op til ZA's programmører at kigge efter scanninger så
de kan forbedre produktet.

Kent Friis (25-10-2002)
Kommentar
Fra : Kent Friis


Dato : 25-10-02 18:12

Den Fri, 25 Oct 2002 12:07:35 +0200 skrev Thore:
>On Fri, 25 Oct 2002 09:49:32 +0000 (UTC), Klaus Ellegaard
><klaus@ellegaard.dk> wrote:
>
>>Thore <Zdinotec@pc.dk> writes:
>>
>>>Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346 attack's,
>>>som ZA har afvist på mine porte fra kl. 08:50...
>>>I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>>
>>>Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>>
>>Får ZA til at lade være med at advisere dig om ligegyldige pakker?
>>
>Ja, det er fint...:) Hvordan skal jeg lige konstatere, hvad der er
>ligegyldige og ikke-ligegyldige pakker?

Alt til port 137,138,139 er typisk unødig støj, som kommer fra
diverse fejlkonfigurerede windows-maskiner.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

Thomas B. Maxe (26-10-2002)
Kommentar
Fra : Thomas B. Maxe


Dato : 26-10-02 22:37

"Thore" skrev:
(citat fra CW)
> Portskanninger stammer fra orm
> Den kraftige stigninger i skanninger mod porte til diskdeling forleden
> fra skyldes en orm, der leder efter svage passwords. Det rapporterer
> sikkerhedsorganisationen SANS Institute. Nu er antallet af skanninger
> faldet til normalt niveau.
(citat slut)
> Læs hele artiklen her
> <http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16688>
>
> Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346
attack's,
> som ZA har afvist på mine porte fra kl. 08:50...
> I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>
Det er rigtigt nok, at det store antal scanninger stammer fra orme.
Det er især BugBear og OpaServ-ormene, som giver vildt mange scanninger
efter NetBios (port 137, 139 og 445) for tiden.
Hos SANS-instuttet kan følge udviklingen. Port 137 synes at ligge nr. 1
på hitlisten - og faktisk langt over port 445, som eSec af ukendte
årsager har slået alarm over:
http://isc.incidents.org/port_details.html?port=137
http://isc.incidents.org/port_details.html?port=445

Oplysningerne i ComputerWorld er formentlig baseret på oplysninger fra
USA, hvor det godt kan være rigtigt, at antallet af scanninger er
aftagende.
Det er ikke usædvanligt, at Danmark bliver ramt et par dage senere,
fordi mange orme spreder sig som ringe i vandet, så de først efter et
stykke tid kommer væk fra deres eget "IP-nabolag".
Og så er det heller ikke usædvanligt, at det bølger lidt op og ned.
F.eks. er der allerede en håndfuld varianter af OpaServ-ormen.

> Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>
Det gør man ved at få alle internetbrugere til at blive bedre til at
forebygge, opdage og fjerne virus/orme.
Det er jo "alle de andre" og ikke dig, der har et problem.
Med andre ord: Det er ikke nogen let opgave.

Du er tilsyneladende selv beskyttet af din ZoneAlarm for så vidt angår
NetBios-orme. Jeg kan kun være enig med Kim Ludvigsen, der henviser til
denne gruppes OSS (Ofte Stillede Spørgsmål), der som udgangspunkt
anbefaler dig at gøre ingenting - måske lige bortset fra at knibe en
tåre over, at din firewall gør præcis, hvad den får besked på:
http://a.area51.dk/sikkerhed/hjemme_net#reaktion

Du bør sørge for, at du bliver fri for at klikke/kigge på "alarmer"
vedr. NetBios (portene 137, 139 og 445). Det kan måske være meget sjovt
at gemme dem i loggen, så du kan føre din egen lille statistik, hvis du
har lyst. Men lad være med at blive bekymret over det.

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste