Trenger hjelp/råd

[mamort]

De siste tre dagene ca. har jeg fått et stort problem med at 1000 vis av ukjente ip adresser prøver å koble seg opp mot dusinvis av forskjellige porter på maskinen min. Bruker zonealarm som brannmur slik at alt dette blokkeres fint, MEN det er så enormt mye inkommende traffik at brannmuren

 

1. Bruker nesten halve cpu kraften til å blokkere

2. Krasjer etter noen timer

 

Hvis jeg ser på nettverksstatusen så får jeg flere MB (MEGABYTES!) med innkommede traffikk bare etter ca. 5-10 min. Har brukt netstat for å verfisere at det faktisk er en drøssevis av folk som prøver å koble seg opp mot meg...

 

Hva kan jeg gjøre? Hva er årsaken? Dette har holdt på i ca. 3 dager som sagt. Har sett på loggene til zonealarm. Disse har tidligere vært på rundt 50-100 KB, de siste tre dagene har denne størrelsen økt til rundt 30 MB. (ja, du leser ikke feil)

 

Synes dette er veldig rart hvis det skulle være et angrep mot meg siden det ikke er noe spesielt med maskinen min. En mulig løsning trodde jeg var å få DHCP serveren til å bytte IP adresse, men dette viste seg å være lettere sagt enn gjort. Selv om jeg fjerner nettverkskortet fra device manager og rebooter så vil ikke IP adressen forandre seg............!

 

Løsninger/forslag ?!?

[Carnifex]

Du har ikke en eller annen P2P klient gående vel? Shareeaza, Kazaa, Emule, Edonkey etc.

[mamort]

Nei, det er nettopp det jeg også trodde det var først. Jeg har nemlig brukt blant annet sharaza før dette skjedde. MEN det har ikke vært NOE p2p eller lignende programmer som er blitt kjørt de siste 2 dagene...

[Carnifex]

Nei, det er nettopp det jeg også trodde det var først. Jeg har nemlig brukt blant annet sharaza før dette skjedde. MEN det har ikke vært NOE p2p eller lignende programmer som er blitt kjørt de siste 2 dagene...

Står det noe i loggen om de forsøker å koble seg til noe software av noe slag? Eller eventuelt en spesiell port?

[mamort]

Her er et veldig lite utdrag fra dagens log fra zonealarm:

 

Forklaring: først er det adressen som kobler til meg. Deretter min adresse

som er: 62.16.135.243

 

 

 

 

FWIN,2004/04/29,10:20:18 +2:00 GMT,140.137.125.64:2557,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.234.91.148:1896,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,81.218.184.219:3372,62.16.135.243:29818,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,218.74.65.142:1983,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,218.74.65.142:1984,62.16.135.243:445,TCP (flags:S)

PE,2004/04/29,10:20:20 +2:00 GMT,Generic Host Process for Win32 Services,239.255.255.250:1900,N/A

FWIN,2004/04/29,10:20:20 +2:00 GMT,203.218.187.235:2779,62.16.135.243:135,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,203.218.187.235:2788,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,203.218.187.235:2793,62.16.135.243:445,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,218.84.37.78:4880,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,69.158.98.252:2989,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,218.84.37.78:4881,62.16.135.243:445,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,221.171.115.64:3587,62.16.135.243:135,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,221.171.115.64:3616,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,221.171.115.64:3617,62.16.135.243:445,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.117.162:1030,62.16.135.243:2745,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.117.162:1031,62.16.135.243:135,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.53.88:2589,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.53.88:2590,62.16.135.243:1025,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.53.88:2586,62.16.135.243:2745,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.53.88:2588,62.16.135.243:135,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.53.88:2591,62.16.135.243:445,TCP (flags:S)

FWIN,2004/04/29,10:20:20 +2:00 GMT,61.33.53.88:2596,62.16.135.243:139,TCP (flags:S)

Endret 29. april 2004 av lamah

[PC^2020]

Hei, hva salgs ISP, og router har du? For å skifte ip, så kan fu fake mac adressen din og slikt.

[mamort]

Som du ser ut i fra loggen så er det heller ikke noe som gir en pekepinn. Portene 135, 1025, 455 går igjen veldig mye, men har ikke vært i stand til å finne noe spesielt om disse portene bortsett fra at de kan utnyttes av hackere til diverse ting hvis du ikke blokkerer dem...

[mamort]

Har ingen router, bare en datamaskin med XP prof. koblet til kabel modemet. Abonnementet er Telenor Avidi (eller canal digital som det nå heter)

 

Hvordan faker man en mac adresse da?

 

Som du ser av loggen ovenfor er det helt forskjellige IP adresser og helt forskjellige porter som de kobler seg opp til.... det gir ikke mening!

Zonealarm rapporter å ha blokkert 600 000 connections for bare et par dager...

 

Kan forresten legge til at jeg har kjørt Adaware med nyeste oppdatering, kjørt virusscanner og oppdatert og reinstaller zonealarm....

Endret 29. april 2004 av lamah

[Carnifex]

Har du forsøkt ipconfig /release og så ipconfig /renew?

 

Kanskje du kan ringe support og be de tvinge frem ett nytt lease for IP din? tror default lease er 8 dager for en IP adresse.. Aner ikke om det er noe de gjør, men det kan jo være verd forsøket?

Endret 29. april 2004 av Carnifex

[mamort]

Kan prøve det nå, kan vel hende jeg detter av nettet en liten stund da...

[Carnifex]

Du kan jo også ta en titt på listen her for å se om det står noe interessant:

 

http://www.pestpatrol.com/Support/About/Ab...And_Trojans.asp

[Legion]

port 135 og 445 er det blaster som bruker, mao det er en del som er infisert av den

port 1025 er sansynligvis en RPC exploit

port 139 er ms networking

 

de tre første kan du like godt blokkere, samme med port 139 dersom du ikke bruker shared folders eller samba eller slike ting

[mamort]

OK, prøvde ipconfig /release og deretter /renew

Det som skjedde var at ingenting skjedde på en stund og deretter fikk jeg opp

"An error occured while renewing interface local area connection: Unable to contact your DHCP server. Request has timed out."

 

Deretter funket ikke nettet lengre og i nettverksstatus sto det "IP invalid", etter å ha disabled og enabled nettverket begynte det å fungere etter rundt 10 min igjen.

 

Til de andre folka. Det er ikke det at det er et problem å blokkere disse portene, problemet er at det er så mange som prøver å koble seg opp mot meg at masse cpu brukes og masse programmer fungerer ikke som de skal. (de krasjer av ukjente grunner)

[Legion]

nå bruker jeg ikke zonealarm, men det må da gå an å konfigurere den til å ikke logge den type trafikk. fungere alt "normalt" dersom du slår av logging?

[Carnifex]

Hvis du sjekket den linken som jeg la inn over finner du ett gratisverktøy fra pestcontrol som tar seg av endel trojanere o.l. Kanskje det er verd forsøket. Det høres ikke morro ut dette her..

[mamort]

Zone alarm er ikke problemet. Den gjør jobben den skal gjøre, men hvis den skal blokkere hundrevis av oppkoblinger mot forskjellige porter hele tiden så vil den bruke mye cpu. Om jeg har på loggen eller ikke spiller ikke så stor rolle, har har testet. Problemet er at mange andre programmer fungerer dårlig eller ikke i det hele tatt. Et eksempel er telnet, eller oppkoblinger mot webserveren min osv. Dessuten blir nettet mitt merkbart tregere. Det er f.eks. helt umulig å spille spill over nettet nå....

[Carnifex]

Her er den saken: http://www.pestpatrol.com/Support/About/PortChecker.exe

[mamort]

Holder på å hente pestcontrol nå, selv om jeg tviler på at den finner noe. Det er jo tross alt folk som kobler opp til meg og ikke motsatt. Hva er linken til det gratis programmet du mente?

[Carnifex]

linket rett til d/l.

[mamort]

Lastet ned og kjørte den. Gikk gjennom en hel masse porter, men fant ingen "pests"... (som forventet egentlig siden zonealarm er oppe)