Tomsk Sysadmins Forum

Разное => Томская сеть, фирмы и т.д. => Topic started by: Unit on October 30, 2005, 21:20:03

Title: Левые адреса
Post by: Unit on October 30, 2005, 21:20:03
Тут давеча в логах обнаружил, что на ftp лазают с адреса 82.177.77.28.
Провел исследование: к томским сетям не принадлежит, по ripe.net говорит следующее:
Quote
Next Section     

Query the RIPE Whois Database
% Information related to '82.177.64.0 - 82.177.95.255'

inetnum:         82.177.64.0 - 82.177.95.255
netname:         ASTA-NET
descr:           ASTA-NET Maldzinski, Ryczek S.J
descr:           64-920 Pila, ul. Sikorskiego 80
descr:           Connected by EXATEL S.A.
country:         PL
admin-c:         ZR27-RIPE
tech-c:          TK1957-RIPE
status:          ASSIGNED PA "status:" definitions
mnt-by:          TELENERGO-MNT
source:          RIPE # Filtered

person:          Zbigniew Ryczek
address:         Astra Pila
address:         ul.Mieszka I 17
address:         64-920 Pila
address:         Poland
phone:           +48 67 2151101
fax-no:          +48 67 2151102
e-mail:          [email protected]
nic-hdl:         ZR27-RIPE
mnt-by:          TPNET
source:          RIPE # Filtered

person:          Tomasz Krajewski
address:         ASTA-NET Maldzinski, Ryczek S.J
address:         ul. Sikorskiego 80
address:         64-920 Pila
address:         POLAND
phone:           +48 67 2151101
fax-no:          +48 67 2151102
e-mail:          [email protected]
nic-hdl:         TK1957-RIPE
mnt-by:          ASTA-NET-MNT
remarks:         PGPKEY-D648194C
source:          RIPE # Filtered

% Information related to '82.177.0.0/16AS20804'

route:           82.177.0.0/16
descr:           EXATEL S.A.
origin:          AS20804
mnt-by:          TELENERGO-MNT
source:          RIPE # Filtered
Попытки найти откуда такое срётся в сеть СЭлС ничего не дали. Адрес резолвится NetBIOS-именем. Кто может подсказать как найти источник входа?
Title: Левые адреса
Post by: wtf on November 08, 2005, 15:07:46
в первые с таким сталкивась
возможно что это тело через чейнит vpn лезит ?
Title: Левые адреса
Post by: -ud- on November 08, 2005, 16:58:41
Quote
в первые с таким сталкивась
возможно что это тело через чейнит vpn лезит ?
[snapback]5266[/snapback]

странное у тебя представление о vpn  :)
Title: Левые адреса
Post by: Victor Snezhko on November 08, 2005, 23:22:55
Quote
Тут давеча в логах обнаружил, что на ftp лазают с адреса 82.177.77.28.
Провел исследование: к томским сетям не принадлежит, по ripe.net говорит следующее: Попытки найти откуда такое срётся в сеть СЭлС ничего не дали. Адрес резолвится NetBIOS-именем. Кто может подсказать как найти источник входа?
[snapback]5126[/snapback]

да трояна небось подцепил этот на 82.177.77.28, вот и ломится, дыры ищет.
как вариант - троян томского товарища, который пытается на халяву с внешки через тебя качнуть.
Title: Левые адреса
Post by: Unit on November 09, 2005, 17:39:35
Quote
да трояна небось подцепил этот на 82.177.77.28, вот и ломится, дыры ищет.
как вариант - троян томского товарища, который пытается на халяву с внешки через тебя качнуть.
[snapback]5279[/snapback]
Странный умный троян какой-то, который сам по логину/паролю заходит на ftp и качает со скоростью 6-7 кило в секунду  :huh:
А вот насчёт VPN у кого-то изнутри вариант отпадает - лезут с внешнего интерфейса  <_<
Title: Левые адреса
Post by: Victor Snezhko on November 09, 2005, 21:25:25
Quote
Странный умный троян какой-то, который сам по логину/паролю заходит на ftp и качает со скоростью 6-7 кило в секунду  :huh:
А вот насчёт VPN у кого-то изнутри вариант отпадает - лезут с внешнего интерфейса  <_<
[snapback]5292[/snapback]

По паролю?! Этого не было в первом посте :)
Он его или подобрал, или это троян товарища, который знает твои пароли.
Или не троян, а сам товарищ в Польшу уехал. Или у него провайдер спутниковый в Польше :)
Я, правда, не знаю таких провайдеров.

Закрой фаерволом да посмотри кто начнёт жаловаться :)
Или пароль смени.

P.S.: кстати, а какой фтп-сервер? В них иногда дыры бывают вплоть до удалённого исполнения кода, может воспользовался кто...
Title: Левые адреса
Post by: Unit on November 10, 2005, 07:40:46
Там виндовый WARFTPD стоит последний RC.
Закрывал фаерволом - никто не жаловался из своих. Всё-таки кто-то гадил извне. :)
Title: Левые адреса
Post by: Rinax on November 27, 2005, 19:24:15
это жулики
Title: Левые адреса
Post by: aiM on November 27, 2005, 21:17:33
давно заметил летающие нетбиосы в СЭлС, причем мирового характера... как то мимо пролетало имя kid (хихи) c резолвленым адресом принадлежащем q4.* чего то тама...
вот щас глянул. айпишник 194.135.105.87
на популярное имя darkstar отзывается 83.102.151.66...
вот теперь возникает вопрос, откуда столько хлама в сети СЭлСа