06. august 2003 - 10:44Der er
25 kommentarer og 1 løsning
PC laver port scans, men hvorfor? og med hvad?
Fra min Zywall 2 får jeg med jævne mellemrum en "attack" log fil, der viser at en af mine lokale PC'er laver port scans mod websider som PC'en netop har besøgt.
Jeg kan ikke se hvilket program der gør det - det optræder fx ikke i task listen som noget ukendt. Norton Anti Virus kan ikke finde noget uautoriseret på PC'en.
Er der nogen der kender problemet? - og hvad gør man?
Portene er meget tilfældige, men oftest altid i en sekvens (eller tæt på). Jeg har vedlagt nogle eksempler på de seneste: 08/06/2003 11:10:11 |192.168.1.33:1208 |217.28.160.161:80 08/06/2003 11:10:11 |192.168.1.33:1209 |217.28.160.161:80 08/06/2003 11:10:11 |192.168.1.33:1210 |217.28.160.161:80
... men også mange andre, fx omkring 1030, 4000, 4980 og så videre..... Det ser faktisk ud til at der et mønster i at portene scannes sekventielt uden at det nødvendigvis er den samme IP-adresse de retter sig mod.
Svar til Rune: ja, det er altid mod port 80 - men ikke mod alle adresser som PC'en besøger på web'en.
Svar til The Toastmaster: Det jeg undrer mig over er at min PC kører igennem en række portnumre og retter dem mod en adresse som den netop har set på web'en. Zywall'en melder det også tilbage som et "attack", så det kan vel ikke kaldes en normal trafik. - eller tager jeg helt fejl?
har du flere maskiner i dit system ? hvis ikke så er der ikke andet for end at gå ind og se hvad der køre på dit syste..
Men jeg vil sige at den letteste måde at gøre det på er ved at instalere eks zone alarm, den vil så blokere de ting der forsøger at komme ud, du kan så se hvad der laver lort stoppe eller afinstallere lortet fra maskinen, men fjern zone alarm igen, den kan være så irreterende at køre med...
Jeg har 4 andre maskiner bag Zywall'en, men ingen af dem laver det. Indtil i forrige uge kørte Zone Alarm faktisk på netop denne maskine, men den gang fandtes problemet ikke. I mellemtiden er der ikke installeret noget.
Det kan jo være at du på tidspumkt har haft et program oppe og køre som forsøgte at komme på nettet, men du har så måske sagt det ikke må gå på nettet da det dukked på i zone alarm, der komme jo en masse lort i ens pc der spøgere om adgang til nettet, sæt det ind igen se hvad det er fjern det og fjern så zone alarm igen,,,
Desværre ikke - jeg har talt med andre i mellemtiden, men ingen kan forklare det. Det underlige er at Zywall'en kun rapporterer fejl fra den ene PC, men ikke de andre - på trods af at de accesser de samme websites og med samme software installeret.
Jeg har prøvet at køre forskellige antivirus programmer også, men heller ikke de finder noget på PC'en som ikke burde være der.
jamen stopper zone alame ikke programmet ?, det er da underligt at zone alarm giver dette program lov til at køre ud på nettet, ?? lige en ting da du afinstallerede zone alarm fjerned du så alt ? nogle gange bliver eks opsætnings filen i systemet efter softwaren er fjernet, eks en ini fil eller ligne fil, hvis du så installere det igen brugere den så den fil igen,, og hvis du nu har sagt ja til eks et program som gemmer sig og udgiver sig for at være en del af windows adgang til nettet jamen så bliver det jo ved med at spøge i dit system, fjern zone alarm igen og sæt eks sygate firewall ind og se hvad den vil give lov til, den bruger under alle omstendigheder ikke zone alarm's ( reg, ini, filer) så den vil nok starte med at blokere dit system, når så sygate komme og spøgere om det og det program må komme på netted, så skulle du gere nå en forspørgelse fra det program der laver det lort i dit system´,,,,
Nu har jeg renset PC'en for alt hvad der havde med Zone Alarm Pro at gøre. Herefter åbnede jeg et Internet Explorer vindue og lod først Zone Alarm Pro give lov til at gå på Nettet. Dernæst valgte jeg "De gule Sider" (http://degulesider.dk/yp/Dgs/Front) idet jeg tidligere havde set at den gav en bunke Alerts. Og det gjorde den også denne gang:
Det underlige er at ovenstående IP -adresse som jeg ser ud til at lave port scan mod (217.28.160.161 port 80) slet ikke optræder i Zone ALaram Pro's log, ligesom Zone Alarm Pro helle rikke stoppede noget som helst undervejs.
det passer med at der skal hentes 128 sider/billeder/stylesheets, så det er ikke port scans, men bare ganske normale surfning! din firewall er bare paranoid...
læg mærke til at alle går til port 80 /http), så jo er webserveren!
Hmmm ... jeg har ikke nogen webserver installeret - og hvorfor sker det kun far den ene PC - og ikke de andre der er ligende konfigureret?
I øvrigt er de 128 entries bare det som er grænsen i ZyWall'ens log før den mailer den til mig. Behøver jeg at sige at min mailbox svømmer over med logs - og så har jeg endda slået alerts fra, dvs. at den mailer en for hvert entry.
Jeg fik vist skrevet noget vrøvl før om at jeg ikke havde en webserver installeret - det er jo ikke til min webserver du mente at trafikken gik. Min frustration over dette problem er vist ved at tage overhånd... :-((
Jeg vil gerne lukke dette og fordele points - selv om svaret ikke er kommet frem
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.