Author Topic: Левые адреса  (Read 7265 times)

0 Members and 1 Guest are viewing this topic.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Левые адреса
« on: October 30, 2005, 21:20:03 »
Тут давеча в логах обнаружил, что на ftp лазают с адреса 82.177.77.28.
Провел исследование: к томским сетям не принадлежит, по ripe.net говорит следующее:
Quote
Next Section     

Query the RIPE Whois Database
% Information related to '82.177.64.0 - 82.177.95.255'

inetnum:         82.177.64.0 - 82.177.95.255
netname:         ASTA-NET
descr:           ASTA-NET Maldzinski, Ryczek S.J
descr:           64-920 Pila, ul. Sikorskiego 80
descr:           Connected by EXATEL S.A.
country:         PL
admin-c:         ZR27-RIPE
tech-c:          TK1957-RIPE
status:          ASSIGNED PA "status:" definitions
mnt-by:          TELENERGO-MNT
source:          RIPE # Filtered

person:          Zbigniew Ryczek
address:         Astra Pila
address:         ul.Mieszka I 17
address:         64-920 Pila
address:         Poland
phone:           +48 67 2151101
fax-no:          +48 67 2151102
e-mail:          [email protected]
nic-hdl:         ZR27-RIPE
mnt-by:          TPNET
source:          RIPE # Filtered

person:          Tomasz Krajewski
address:         ASTA-NET Maldzinski, Ryczek S.J
address:         ul. Sikorskiego 80
address:         64-920 Pila
address:         POLAND
phone:           +48 67 2151101
fax-no:          +48 67 2151102
e-mail:          [email protected]
nic-hdl:         TK1957-RIPE
mnt-by:          ASTA-NET-MNT
remarks:         PGPKEY-D648194C
source:          RIPE # Filtered

% Information related to '82.177.0.0/16AS20804'

route:           82.177.0.0/16
descr:           EXATEL S.A.
origin:          AS20804
mnt-by:          TELENERGO-MNT
source:          RIPE # Filtered
Попытки найти откуда такое срётся в сеть СЭлС ничего не дали. Адрес резолвится NetBIOS-именем. Кто может подсказать как найти источник входа?

Offline wtf

  • Jr. Member
  • **
  • Posts: 90
  • Karma: +0/-0
    • http://wtf.tomsk.ru
Левые адреса
« Reply #1 on: November 08, 2005, 15:07:46 »
в первые с таким сталкивась
возможно что это тело через чейнит vpn лезит ?

Offline -ud-

  • Full Member
  • ***
  • Posts: 164
  • Karma: +4/-0
    • Undeground Developing
Левые адреса
« Reply #2 on: November 08, 2005, 16:58:41 »
Quote
в первые с таким сталкивась
возможно что это тело через чейнит vpn лезит ?
[snapback]5266[/snapback]

странное у тебя представление о vpn  :)
.

Offline Victor Snezhko

  • Jr. Member
  • **
  • Posts: 72
  • Karma: +0/-0
Левые адреса
« Reply #3 on: November 08, 2005, 23:22:55 »
Quote
Тут давеча в логах обнаружил, что на ftp лазают с адреса 82.177.77.28.
Провел исследование: к томским сетям не принадлежит, по ripe.net говорит следующее: Попытки найти откуда такое срётся в сеть СЭлС ничего не дали. Адрес резолвится NetBIOS-именем. Кто может подсказать как найти источник входа?
[snapback]5126[/snapback]

да трояна небось подцепил этот на 82.177.77.28, вот и ломится, дыры ищет.
как вариант - троян томского товарища, который пытается на халяву с внешки через тебя качнуть.

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Левые адреса
« Reply #4 on: November 09, 2005, 17:39:35 »
Quote
да трояна небось подцепил этот на 82.177.77.28, вот и ломится, дыры ищет.
как вариант - троян томского товарища, который пытается на халяву с внешки через тебя качнуть.
[snapback]5279[/snapback]
Странный умный троян какой-то, который сам по логину/паролю заходит на ftp и качает со скоростью 6-7 кило в секунду  :huh:
А вот насчёт VPN у кого-то изнутри вариант отпадает - лезут с внешнего интерфейса  <_<
« Last Edit: November 09, 2005, 17:40:42 by Unit »

Offline Victor Snezhko

  • Jr. Member
  • **
  • Posts: 72
  • Karma: +0/-0
Левые адреса
« Reply #5 on: November 09, 2005, 21:25:25 »
Quote
Странный умный троян какой-то, который сам по логину/паролю заходит на ftp и качает со скоростью 6-7 кило в секунду  :huh:
А вот насчёт VPN у кого-то изнутри вариант отпадает - лезут с внешнего интерфейса  <_<
[snapback]5292[/snapback]

По паролю?! Этого не было в первом посте :)
Он его или подобрал, или это троян товарища, который знает твои пароли.
Или не троян, а сам товарищ в Польшу уехал. Или у него провайдер спутниковый в Польше :)
Я, правда, не знаю таких провайдеров.

Закрой фаерволом да посмотри кто начнёт жаловаться :)
Или пароль смени.

P.S.: кстати, а какой фтп-сервер? В них иногда дыры бывают вплоть до удалённого исполнения кода, может воспользовался кто...

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Левые адреса
« Reply #6 on: November 10, 2005, 07:40:46 »
Там виндовый WARFTPD стоит последний RC.
Закрывал фаерволом - никто не жаловался из своих. Всё-таки кто-то гадил извне. :)

Offline Rinax

  • Full Member
  • ***
  • Posts: 102
  • Karma: +0/-0
Левые адреса
« Reply #7 on: November 27, 2005, 19:24:15 »
это жулики

Offline aiM

  • Full Member
  • ***
  • Posts: 111
  • Karma: +0/-0
    • http://sevka.tomsk.ru
Левые адреса
« Reply #8 on: November 27, 2005, 21:17:33 »
давно заметил летающие нетбиосы в СЭлС, причем мирового характера... как то мимо пролетало имя kid (хихи) c резолвленым адресом принадлежащем q4.* чего то тама...
вот щас глянул. айпишник 194.135.105.87
на популярное имя darkstar отзывается 83.102.151.66...
вот теперь возникает вопрос, откуда столько хлама в сети СЭлСа
i don't think, i just do