Elikkä tämmönen ongelma:

Asensin Visual Zone-ohjelman koneeseen, sillä se kuulemma kannattaa asentaa, jos omistaa Zone Alarm:in. Näyttää siltä, että koneeseeni yritetään hakkeroida vähän väliä, vähän joka puolelta. Ilmoitanko siis tunkeutumisista hakkereiden internet-yhteyden palveluntarjoajille, vai jollekin muulle ? Jos ilmoitan, niin mitä tietoja he tarvitsevat, kaikki nekö jotka Visual Zone tunkeutujasta näyttää ?

Ei hakkeri vaan krakkeri.
Hakkeri = Hyvis
Krakkeri = Pahis

Mulla oli sama ongelma tuntuu jotenkin, että mikään hakkeri/kräkkeri ryhmä ei yritä hyökätä sun kimppuun vaan kyseessä on joku bugi vaan. Kannattaa lukee kaikki FAQ:t läpi. Eihän sulla tullut hyökkäyksiä ennen kun asensit ton.

Sanon siis "oli" koska koska nykyään käytän sygate personal fire wallia.

Siis olen lukenut FAQ:ita Visual Zone:sta, ja niissä sanottiin esim. ettei Zone Alarm näytä tietoja hyökkäksistä yhtä yksityiskohtaisesti kuin Visual Zone, vaikkakin Zone Alarm ilmoittaa hyökkäyksistä, tai ei jos säätää ''optionin'' ilmoituksien antamisen hyökkäyksistä pois. Visual Zone:sta olen nähnyt jopa kartalta tietokoneeseeni tunkeutujien tarkan sijainnin, sekä maata että paikkakuntaa myöten, todella tarkat tiedot. Kuten myös esim. heidän sähköpostiosoitteensa, tai juuri mainitsemani heidän nettiyhteyden palveluntarjoajansa.

Hyökkäyksiä koneeseeni on tullut esim. Suomesta. Eivät nuo minusta bugeilta vaikuta ! Enkä nyt mainosta ohjelmaa, kun kysyn, että miksi ihmeessä Visual Zone valehtelisi kaikki nuo tiedot hyökkäyksistä ja niiden tekijöistä ?

Joistain harhailevista pingeistä ilmoittaminen (joita taidat nyt tarkoittaa) on turhaa sekä tyhmää. Mutta jos samasta IP:stä _oikeasti_ koko ajan mäiskitään, niin... Ja ne mihin voi ilmoittaa on yleensä mallia abuse@palveluntarjoaja.asd, esim. siis abuse@sonera.fi.

Siis itsestäänkö ne hyökkäykset tulevat näistä ei niin usein-hyökkäilevistä osoitteista, kait ne jokin sieltä lähettää ? No ainakin Amsterdamista samasta IP-osoitteesta on tullut useita hyökkäyksiä, ja mainittakoon vaikka, että aika useita esim. Ylivieskasta ja vaikka Rovaniemeltä päin, jos tuohon Visual Zone:n hyökkääjän tarkan sijainnin paljastavaan toimintoon on uskomista.

Missä se raja sitten kulkee, että monenko samasta IP-osoitteesta tulevan hyökkäyksen jälkeen täytyy ilmoittaa kyseisen osoitteen hyökkääjästä palveluntarjoajalle ?

Joo mäkin asensin tuon VisualZonen, taitaa olla yhtä tyhjän kanssa. Kaikki hyökkäykset tulee sen mukaan aina Hollannista.

Tähän mennessä mulle on tullut useita hyökkäyksiä Suomen puolelta Rovaniemeltä ja joltain toiselta munapäältä Ylivieskasta.

Muita paikkoja joista mulle on tullut useita hyökkäyksiä samasta IP-osoitteesta ovat Berkshire (Englanti),Kingston Upon Hull (Englanti), Amsterdam NL, Amsterdam Pohjois-Hollanti, AS ZAPADOCESK CZ (sori väärinkirjoitetut (?) valtiot).

Ovatko nuo Visua Zone:n ja ZoneAlarm:in näyttämät hyökkäykset siis kaikki torjuttuja hyökkäyksiä, vai mistä sen tietää, onko joku todella murtautunut koneeseeni ? Onko noista suurista hyökkäysmääristä aihetta huolestua, mitä tässä nyt pitäis tehdä ?

Eei eheii ne läheskään kaikki ole mitään haggs0r-straikkeja. Harhailevia pingejä ja muuta sellaista kuten sanoin. Mullakin - kun en pidä palomuuria deny unknownissa - tulee koko ajan jotain, ja ikä ja terveyshän siinä menisi jos koko ajan kattelisin jollain IP-osoitteen haku kartalta-ohjelmalla ja huolehtisin. Kai siinä ZoneAlarmissakin on joku blokkaa tuntemattomat-toiminto, käytä sitä.

Siis katsos kun hakkerit ja karekkerit (kummatkin muuten pahiksia) asentavat makroja servereihin jotka sitten etsivät reikiä satunnaisesti koneista. Ja jos reika sattuu olemaan ne ajat subdoorin ja troijalaisen koneeseen ja tällöin valloittavat koneen.

Sitä kautta ne voivat ujuttaa virusksia ja muuta sontaa koneeseen ja tekevät sinunkin koneesta serverin, mutta ei niistä yksikään minun koneelle pääse hyökkäyksiä tulee päivässä keskimäärin 10-20, mutta Norton Internet Security estää ne 100% joten minulla on aivan sama vaikka kokonainen hakkeri legioona puskisi päälle.

Lainaus:18.10.2003 Sarjatuli kirjoitti:
...mutta ei niistä yksikään minun koneelle pääse hyökkäyksiä tulee päivässä keskimäärin 10-20...

Yllättävän vähän, joku 100-2000+ olisi omalla kohdalla lähempänä.

Blasterin aikana noin 5 tunnin surffailun ja pelaamisen yms. jälkeen oli zonealarmissa n.5000 "hyökkäystä", eli lähes kaikki oli pingattu porttiin 135.

Ilmottaako ZA kaikki pingauksetkin?
Mä käytän Sygate personal firewallia ja ei todellakaan tollasia määriä tule.
Palomuurin ei pidä ilmottaa ping tarkistuksista mitenkään.
On täysin normaalia että IP-osotettasi pingataan.
Kysehän on vain viiveen tarkastamisesta.
Liki 5000 "hyökkäystä" ei voi olla totta.

Lainaus:18.10.2003 ttm69 kirjoitti:
Ilmottaako ZA kaikki pingauksetkin?
Mä käytän Sygate personal firewallia ja ei todellakaan tollasia määriä tule.
Palomuurin ei pidä ilmottaa ping tarkistuksista mitenkään.
On täysin normaalia että IP-osotettasi pingataan.
Kysehän on vain viiveen tarkastamisesta.
Liki 5000 "hyökkäystä" ei voi olla totta.

Noista "hyökkäyksistä" 99.9% on pingejä. Jos joku true cracker haluis tunkeutuu mun koneelle niin sitä ei mitkää zonealarmit pysäyttäis.

Kyllä palomuuri saa mun puolesta ilmoittaa pingaukset. Ei siitä mulle mitään haittaa ole.

No kyllä on v-maista jos pingauksetkin näkyy.
Mulla ainakin ilmottaa vaan todelliset hyökkäykset(esim. port scanning).
Noita on tullut puolenvuoden aikana lokista tarkistettuna 7 kpl.
Ja pingaus on edelleen täysin normaalia!
Se nyt kumminkin on verkkoviiveen tarkistus.

Jos olen oikein käsittänyt, niin Sygate personal firewallin system träyssä olevan ikonin koneelle päin osoittava nuoli vilkkuu aina punaisena kun se blokkaa jotain. Siitä näkee hyvin kuinka usein se blokkaa niitä pingejä ym pientä. Vasta kun se blokkaa jotain suurempaa, niin sitten se palaa punaisena.

Lainaus:18.10.2003 Newbie kirjoitti:
Blasterin aikana noin 5 tunnin surffailun ja pelaamisen yms. jälkeen oli zonealarmissa n.5000 "hyökkäystä", eli lähes kaikki oli pingattu porttiin 135.

Porttiin 135 tunkee varmaan trafiikkia noiden rpc-virusten valloittamien koneiden suunnalta - lienevät siis tahattomia 'hyökkäyksiä'. Tiedä sitten saisko noiden koneen omistajia informoitua, vaikkapa ko. ISP:lle meilaamalla (tuskin).

Kokeilkaapa tekin Visual Zonea jotka ette sitä ennen ole kokeilleet, niin saatte hyökkäyksistäkin vähän paremman käsityksen.

Pelkkien blokattujen pakettien perusteella ei kannata alkaa miettimään onko kimppuusi hyökätty. Monesti kyseessä on täysin viattomia paketteja, jotka ovat tulleet teikäläisen osoitteeseen täysin vahingossa. Eli kaikki palomuurin hälyytykset eivät ole hyökkäyksiä. Itseasiassa tutkimusten mukaan vain muutama prosentti palomuurin blokkaamista paketeista oli vihamieliseltä taholta.. Tosin blaster & co ovat varmaankin muuttaneet tätä prosenttia suhteellisen reippaasti negatiivisempaan suuntaan.

Jokainen blokattu paketti ei välttämättä ole hyökkäys, esim. jos sinulla on palomuurista blokattu ICMP-viestit (verkon reititystä ja seurantaa helpottavat paketit kuten ping), tulee lokia pitkä lista helposti. Nyrkkisääntönä voidaan todeta, että mitä vähemmän hyväksyttyjä aukkoja palomuurissasi on, sen enemmän blokkauksia syntyy. Todelliset hyökkäykset ovat sitten taas hieman vaikeampia juttuja. Yleensä ne tulevat sellaisten ohjelmien portteihin, joissa on tunnettuja heikkouksia kuten windowsin RPC:n käyttämä portti 135. Ne ovat niitä "yhteydenottoja", jotka voi määritellä todellisiksi hyökkäyksiksi. Kaiken kukkuraksi yleinen sähköinen "kohina", väärin/huonosti konffatut reitittimet, peer to peer softat tms. aiheuttavat turhien pakettien lentelyä verkossa.

Se miten voi selvittää yrittääkö joku todella hyökätä sinun kimppuusi vai selvittää onko sinulla vain Kazaa jakoa, onnistuu IDS (Intruder Detection System) sovelluksilla. Näitä on monia eri tyyppisiä ratkaisuja mutta monet IDS softat, jotka on tarkoitettu yksittäisille koneille, toimivat tutkimalla palomuurin lokia. Esimerkiksi linuxille saatavissa oleva IDS softa Snort, tutkii palomuurin lokia ja vertaa sitä sen tietokantaan erityyppisistä hyökkäyksistä. Se osaa esimerkiksi kertoa yrittääkö joku skannata koneensi portteja (kaikkia porttiskannaus ohjelmien toimintaa ei ole niin helppoa huomata), suorittaa DoS hyökkäystä tai muuta haitallista toimintaa. Käsittääkseni myös Zonealarmin pro versio osaa tehdä samanlaista analyysiä. Monia muita ekstroja on visual zonen tyyliset graafiset paikannusohjelmat, jotka näyttävät mistä päin maailmaa mikäkin iippari tulee.

EDIT: Ei Squid vaan Snort

Lainaus:20.10.2003 Monty kirjoitti:

...Monia muita ekstroja on visual studion tyyliset graafiset paikannusohjelmat, jotka näyttävät mistä päin maailmaa mikäkin iippari tulee.

Visual Zone kyllä näytti, mistä päin ja keneltä hyökkäykset tulivat.

Niinhän minä sanoin. Ja usko pois, se perustuu ihan IP avaruuksiin ja niitten jakautumiseen eikä sosiaaliturvatunnukseen tai kengännumeroon

Lainaus:20.10.2003 Monty kirjoitti:

Näitä on monia eri tyyppisiä ratkaisuja mutta monet IDS softat, jotka on tarkoitettu yksittäisille koneille, toimivat tutkimalla palomuurin lokia. Esimerkiksi linuxille saatavissa oleva IDS softa Squid, tutkii palomuurin lokia ja vertaa sitä sen tietokantaan erityyppisistä hyökkäyksistä. Se osaa esimerkiksi kertoa yrittääkö joku skannata koneensi portteja (kaikkia porttiskannaus ohjelmien toimintaa ei ole niin helppoa huomata), suorittaa DoS hyökkäystä tai muuta haitallista toimintaa. Käsittääkseni myös Zonealarmin pro versio osaa tehdä samanlaista analyysiä. Monia muita ekstroja on visual studion tyyliset graafiset paikannusohjelmat, jotka näyttävät mistä päin maailmaa mikäkin iippari tulee.

Squid on itseasiassa välityspalvelin. Jos haluaa IDS:n Linux:lle niin voi ladata Snort:n.

Nyt meni puurot ja vellit sekaisin.. siis Snortista minun piti selittää eikä Squidistä. Hyvä että huomasit!

Lainaus:20.10.2003 Monty kirjoitti:
Niinhän minä sanoin. Ja usko pois, se perustuu ihan IP avaruuksiin ja niitten jakautumiseen eikä sosiaaliturvatunnukseen tai kengännumeroon

Siis eikö minun tarvitse ollenkaan huolestua, jos jostain samasta IP-, sähköposti-osoitteesta tai kartalta nähtävästä paikasta tulee koko ajan hyökkäyksiä ?

En vieläkään saanut täysin selvää vastausta, että mistä oikeasti tiedän kun joku on murtautunut koneeseeni ? Entä jos joku vaan tunkeutuu koneeseen ja sekottelee mun tiedostoja ja lähtee sitten pois, eihän sellaista voi huomata ?

Kyllä sinun kannattaa olla huolissaan mutta yritin lähinnä sanoa että kaikki palomuurin antamat hälyytykset eivät ole todellisia hyökkäyksiä, joissa joku paha tyyppi haluaa vallata koneesi.

Snortin kaltaisella softalla pystyt selvittämään mitkä yhteydenotto yritykset ovat todella hyökkäyksiä ja pystyt keräämään tehokasta lokia joka käy todistusaineistosta (kyllä palomuurin loki käy myös yhtä hyvin). Sama ip:kään ei välttämättä aina ole edes varma tunniste. IP väärentäminen on yleinen tapa välttää jäljittämistä ja NATin takana olevat verkot näkyvät aina ulkomaailmaan kuin kaikilla NATin taka olevilla koneilla olisi yksi yhteinen IP. Hyvä tapa selvittää eri ip:n tai sähköpostin takana olevia tahoja (esim. ISP) on käyttää esim. ripeä osoitteessa http://www.ripe.net .

Tässä on esim. ripe query peliplaneetan ip:stä 195.197.53.208

http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=195.197.53.208+&do_search=Search

Sitä että onko joku murtautunut koneellesi vai ei, on hieman vaikea selvittää. Lähinnä sinun kannattaa tarkastella pyöriikö koneellasi tuntemattomia prosesseja (esim. firedaemon.exe jota jotkut kräkkerit käyttää kaapattujen koneiden etähallintaan) ja onko koneestasi avoinna tuntemattomia yhteyksiä ulkomaailmaan. Yhteydet nettiin selviää winkkarilla näppärästi netstat komennolla komentokehoitteesta (start -> run -> cmd -> netstat). Erilaisia palveluja voit taas tarkastella winXP/windows 2000 manage ominaisuuden kautta helposti valikosta services (my computer -> oikea hiiren naksautus -> manage/hallitse)

Toivottavasti tuosta on apua. Tärkeintä on että virustorjunta ja palomuuri on kunnossa koska ne auttaa ehdottomasti myös troijalaisia sekä muita pahaa tekeviä kräkkäys työkaluja vastaan. Paras juttu on ehkä kuitenkin se että on huolestunut ja pyrkii aktiivisesti suojaamaan omaa laitteistoaan, koska keinoja kyllä on.