| Форум > Архив "О Клео" > Июнь 2005 года > Вопрос к Стасу и админустрации Клео |
Вопрос к Стасу и админустрации Клео
Уважаемые господа!
Просьба объяснить, почему на прошлой неделе программа на моем компьютере фиксировала неоднократнуюю попытку залезть на мой домашний компьютер. при попытке проверить, кто это делает - появляются данные сервера Стаса??? насколько мне известно, такие данные были зафиксированы не только моим компьютером??
надеюсь, что данное недоразумение выяснится и мы получим полное объяснение. спасибо.
снеж © (13.06.2005 13:06)
Прямая ссылка
Cecile © (13.06.2005 15:06)
Прямая ссылка
аки партизан:)
Selectiv © (13.06.2005 18:06) Прямая ссылка
я немецкого не знаю, но похоже на сканирование портов...
Selectiv © (14.06.2005 00:06) Прямая ссылка
пойду чистить
Sova © (13.06.2005 19:06) Прямая ссылка
что же вы там наотправляли...
господин взломщик, пришлите и мне всё это на ЛС, развлекухи желаю:)
Selectiv © (13.06.2005 18:06) Прямая ссылка
Даже и не мечтай :)) Я мягкая и пушистая :)) Просто жалко трудов тех, кто старательно лички чистит свои. У отправителей-то копии всех послании в наличии :))
Alja (c) © (13.06.2005 22:06) Прямая ссылка
а зачем вы перекидываетесь банковскими счетами на клео? может и мне парочку реквизитов скините?:)
Selectiv © (15.06.2005 20:06) Прямая ссылка
тем более, что кто-то явно свой (полагаю с жён). со знанием дела лазит:)
Selectiv © (13.06.2005 18:06) Прямая ссылка
кто-то свой, старый...
Selectiv © (14.06.2005 00:06) Прямая ссылка
снеж © (13.06.2005 13:06)
Объяснить невозможно, т.к. непонятно:
1. Какая программа и что зафиксировала;
2. Что такое "сервер Стаса";
3. Где еще были зафиксированы такие данные.
Стас Nox © (13.06.2005 15:06) Прямая ссылка
Стас Nox © (13.06.2005 15:06) Прямая ссылка
вот скрипт пользователя яги с сылкой на ваш сервер:
Cecile © (13.06.2005 15:06)
Прямая ссылка
Cecile © (13.06.2005 15:06)
Cecile © (13.06.2005 15:06)
Ок, со вторым вопросом разобрались. nox.ru - действительно наш сервер, можем его обсудить. Если подобные проблемы возникали еще у Яги, разобрались и с 3-м вопросом. Остался первый - какая программа и что написала про nox.ru?
Стас Nox © (13.06.2005 15:06) Прямая ссылка
Стас Nox © (13.06.2005 15:06) Прямая ссылка
вот еще бы разобраться чего это ваш сервер лазит по компам а?
Яга © (13.06.2005 15:06) Прямая ссылка
Яга © (13.06.2005 15:06) Прямая ссылка
да да!! вчера неоднократно предпринимались попытки залезть на мой комп, и кода мне стало интересно кто же так назойливо интересуется моим копмом, то выяснилось следующее
domain: NOX.RU
type: CORPORATE
nserver: ns.nox.ru. 217.16.28.215
nserver: ns4.nic.ru.
state: REGISTERED, DELEGATED
org: Megapolis-University Ltd.
phone: +7 095 3320719
fax-no: +7 095 3320719
e-mail: stas@nox.ru
registrar: RUCENTER-REG-RIPN
created: 2000.05.03
paid-till: 2006.06.01
source: TC-RIPN
Last updated on 2005.06.12 19:37:38 MSK/MSD
программа которая все это мне выдала под грозной надписью " на ваш комп произошла атака" называется оч порсто маккафи файервол
Яга © (13.06.2005 15:06) Прямая ссылка
Яга © (13.06.2005 15:06) Прямая ссылка
причем это не куки лезли, потому что у меня их определяет другая программа...
Яга © (13.06.2005 15:06) Прямая ссылка
Яга © (13.06.2005 15:06) Прямая ссылка
М.б. этот файервол так на окно диалога реагирует? Т.е. открываем диалог - получаем атаку, закрываем - атака заканчивается? Дело в том, что окно диалога постоянно поддерживает связь сервером, запрашивая сведения о новых сообщениях. Файервол может на эту связь неадекватно реагировать. Общение с сервером происходит в фоновом режиме по технологии JSHttpRequest. Технология новая, позволяет при необходимости обновлять страницы без перезагрузки, и использует при этом минимум траффика.
Стас Nox © (13.06.2005 16:06) Прямая ссылка
Стас Nox © (13.06.2005 16:06) Прямая ссылка
да вот сейчас же никто ко мне не лезет.....
а вчера ну ОЧЕНЬ назойливо, поэтому и проверила, что ну ОЧЕНЬ назойливо лезло.....
Яга © (13.06.2005 16:06) Прямая ссылка
Яга © (13.06.2005 16:06) Прямая ссылка
да еще, вчера я не открывала диалог вообще....
а про лички наши еще скажу, что кто то их оч успешно взламывает, несмотря на пароли и так далее.. может озаботиться безопасностью личек а?
Яга © (13.06.2005 16:06) Прямая ссылка
Яга © (13.06.2005 16:06) Прямая ссылка
Вчера диалог Вы открывали, и не раз.
Тем не менее, проверить файервол можно и сейчас - открываете окно диалога и смотрите что он говорит.
По поводу взлома личек хочу сразу оговориться. Если кто-то подобрал или подсмотрел Ваш пароль, это взломом не считается. А вот если кто-то зашел в личку без знания пароля - пожалуйста поподробнее.
Стас Nox © (13.06.2005 16:06) Прямая ссылка
Стас Nox © (13.06.2005 16:06) Прямая ссылка
вот это как раз и не доказать имхо. кто, куда и как вошёл :-)
Cecile © (13.06.2005 16:06) Прямая ссылка
Cecile © (13.06.2005 16:06) Прямая ссылка
ну мой пароль подобрать довольно трудно я думаю, и он нигде не светился....личкой я вчера поьзовалась, да, но вроде без окна диалог?? кстати а вы откуда знаете что я его открывала?? пардон?
яга впала в ступор © (13.06.2005 16:06) Прямая ссылка
яга впала в ступор © (13.06.2005 16:06) Прямая ссылка
Каждый сервер ведет протокол поступивших запросов. Заглянув в протокол я увидел, что диалог Вы открывали. Но не в этом главный вопрос. Если прямо сейчас открыть диалог (и подождать минут 5) - сообщает ли файервол об атаке?
Стас Nox © (13.06.2005 16:06) Прямая ссылка
Стас Nox © (13.06.2005 16:06) Прямая ссылка
вот прямо сейчас сижу с открытым окном диалога,файрвол молчит
Яга © (13.06.2005 16:06) Прямая ссылка
Яга © (13.06.2005 16:06) Прямая ссылка
аки партизан:)
Selectiv © (13.06.2005 18:06) Прямая ссылка
у меня есть четкое предложение.
1. посмотреть откуда вешались гадости из чужих личек,свидетельства в корзине.
2. посмотреть,в какого ай-пи была перезарегена личка http://www.kleo.ru/club/nastya/
это раньше была личка Солнца,теперь там бред.
сопоставить. понять,один ли это человек и как минимум напрочь перекрыть ему возможность появляться на клео.
Келен © (13.06.2005 16:06) Прямая ссылка
Келен © (13.06.2005 16:06) Прямая ссылка
было бы не плохо блокировать эту страничку до приезда её хозяки, она сейчас на отдыхе.
Glafira neobychnaja © (13.06.2005 16:06) Прямая ссылка
Glafira neobychnaja © (13.06.2005 16:06) Прямая ссылка
ну пока Стас вообще не торопится ответить. я жду пока вообще хоть каких-то действий
Келен © (13.06.2005 16:06) Прямая ссылка
Келен © (13.06.2005 16:06) Прямая ссылка
1. В корзине я нашел 3 лс от Jane-Kulinarki. Все они написаны одному человеку. Если Jane не помнит кому - она может заглянуть в папку "Отправленные". М.б. это он их и выложил в форум?
2. Личка http://www.kleo.ru/club/nastya/ была зарегистрирована 1-го апреля, с тех пор не обновлялась. На момент регистрации логин и ник были свободны. Если по этому логину раньше был другой ник, значит либо владелец сам удалил свою страничку, либо она была удалена автоматически как неиспользуемая.
Стас Nox © (13.06.2005 16:06) Прямая ссылка
Стас Nox © (13.06.2005 16:06) Прямая ссылка
Стас, не далее как несколько дней назад я на этот URL отсылала сообщения Солнцу!!!!! вы уверены что дата регистрации всегда правильная? вы же не можете не видеть что неладно тут у вас?
Келен © (13.06.2005 16:06) Прямая ссылка
Келен © (13.06.2005 16:06) Прямая ссылка
я тоже кстати с ней переписывалась
Glafira neobychnaja © (13.06.2005 16:06) Прямая ссылка
Glafira neobychnaja © (13.06.2005 16:06) Прямая ссылка
Дата регистрации правильная, проверил. Страничка Солнца была раньше здесь: http://www.kleo.ru/club/nastia/ (разница в одной букве). Но сегодня ночью её запретил один из модераторов и она исчезла с сайта. Вопрос о причине блокировки я ему задал.
Стас Nox © (13.06.2005 17:06) Прямая ссылка
Стас Nox © (13.06.2005 17:06) Прямая ссылка
спасибо. а по поводу атак якобы с ваего сервера?
Келен © (13.06.2005 17:06) Прямая ссылка
Келен © (13.06.2005 17:06) Прямая ссылка
Нужна конкретика - дословное сообщение, которое выдает файрвол.
Стас Nox © (13.06.2005 17:06) Прямая ссылка
Стас Nox © (13.06.2005 17:06) Прямая ссылка
дословно с переводом на русский))))
файрвол только что заблокировал "атаку" на ваш комп с удаленного сервера, елси хотите узнать с какого именно, нажмите здесь)
Яга © (13.06.2005 18:06) Прямая ссылка
Яга © (13.06.2005 18:06) Прямая ссылка
Никакой конкретики, к сожалению, в этом сообщении нет. Остается обратиться к производителям программы, чтобы они его расшифровали. Что такое "атака"? А также (в идеале): в какой момент, на какой порт и какой запрос был получен.
И все-таки, _дословный_ текст (без перевода) мог бы дать пищу для размышлений.
Стас Nox © (13.06.2005 19:06) Прямая ссылка
Стас Nox © (13.06.2005 19:06) Прямая ссылка
ох товарищ......ну щас пойду пороюсь в протоколах, может че нарою вам конкретного, то что сохранилось
Яга © (13.06.2005 19:06) Прямая ссылка
Яга © (13.06.2005 19:06) Прямая ссылка
вот то что сохранилось в портоколах, а время указано там выше где я давала указания сайта на ваш сервер
а вот сегодня никаких атак нету
McAfee Firewall hat ein eingehendes TCP-Paket blockiert. Die mit dem Verkehr verknüpfte Remote-Adresse war 217.16.28.215. Der Remote-Port war 80 [HTTP]. Der lokale Port auf Ihrem PC war 2420 [ephemer]. Der Netzwerkadapter für den Verkehr war "VIA Rhine II Fast Ethernet Adapter".
Die binären Daten, die das Paket enthielt, lauten "00 0c 76 a2 83 98 00 90 1a a0 01 c7 88 64 11 00 11 72 00 32 00 21 45 00 00 30 00 00 40 00 2e 06 b1 fa d9 10 1c d7 ac b0 f8 35 00 50 09 74 e5 47 6f
Яга © (13.06.2005 19:06) Прямая ссылка
Яга © (13.06.2005 19:06) Прямая ссылка
Вот это уже интереснее. Завтра придет сисадмин, посмотрим вместе. Правильно ли я понимаю, что ошибку выдает вот эта программа: http://us.mcafee.com/root/package.asp?pkgid=103 ? Версия та же?
Стас Nox © (13.06.2005 19:06) Прямая ссылка
Стас Nox © (13.06.2005 19:06) Прямая ссылка
не наю я какая у меня версия то)))))
и почему это ошибку ?
Яга © (13.06.2005 20:06) Прямая ссылка
Яга © (13.06.2005 20:06) Прямая ссылка
я немецкого не знаю, но похоже на сканирование портов...
Selectiv © (14.06.2005 00:06) Прямая ссылка
В этом тексте выводится предупреждение, что Фаирволл блокировал пакет с адреса 217.16.28.215 порт 80 на порт 2420 локального компьютера, вот и все. Почему он это сделал – непонятно, т.к. приведенные сведения укладываются в стандартную схему работы протокола ТСП-АйПи.
Суть в том, что когда организуется ТСП-АйПи соединение, то вызывающий компьютер инициирует ТСП-АйПи сессию со своего компьютера на удаленный компьютер. При этом, он использует любой непривилегированный порт (с адресами больше 1024) в качестве исходящего порта. Т.е. получается соединение АйПи-адресс локального компьютера : непривилегированный порт - ТСП-АйПи удаленного компьютера : порт 80.
80-й порт зарезервирован для входящих HTTP запросов. Номер исходящего порта выбирается удаленным компьютером и может быть любым.
Ниже кусочек документации по ТСП-АйПи:
Однако в протоколе TCP порты используются несколько иным способом. Для организации надежной передачи данных предусматривается установление логического соединения между двумя прикладными процессами. В рамках соединения осуществляется обязательное подтверждение правильности приема для всех переданных сообщений, и при необходимости выполняется повторная передача. Соединение в TCP позволяет вести передачу данных одновременно в обе стороны, то есть полнодуплексную передачу.
Соединение в протоколе TCP идентифицируется парой полных адресов обоих взаимодействующих процессов (оконечных точек). Адрес каждой из оконечных точек включает IP-адрес (номер сети и номер компьютера) и номер порта. Одна оконечная точка может участвовать в нескольких соединениях.
Установление соединения выполняется в следующей последовательности:
При установлении соединения одна из сторон является инициатором. Она посылает запрос к протоколу TCP на открытие порта для передачи (active open). После открытия порта протокол TCP на стороне процесса-инициатора посылает запрос процессу, с которым требуется установить соединение. Протокол TCP на приемной стороне открывает порт для приема данных (passive open) и возвращает квитанцию, подтверждающую прием запроса. Для того чтобы передача могла вестись в обе стороны, протокол на приемной стороне также открывает порт для передачи (active port) и также передает запрос к противоположной стороне. Сторона-инициатор открывает порт для приема и возвращает квитанцию. Соединение считается установленным. Далее происходит обмен данными в рамках данного соединения.
Стас Nox © (14.06.2005 16:06) Прямая ссылка
Стас Nox © (14.06.2005 16:06) Прямая ссылка
дело в том, что ещё вчера было опубликована часть переписки Келен - там , что за проблема?
Glafira neobychnaja © (13.06.2005 16:06) Прямая ссылка
Glafira neobychnaja © (13.06.2005 16:06) Прямая ссылка
В корзине я нашел только одно сообщение от Келен. Версия та же - м.б. получатель его выложил?
Стас Nox © (13.06.2005 17:06) Прямая ссылка
Стас Nox © (13.06.2005 17:06) Прямая ссылка
уверена что нет...
Glafira neobychnaja © (13.06.2005 17:06) Прямая ссылка
Glafira neobychnaja © (13.06.2005 17:06) Прямая ссылка
уверан что не она.
Келен © (13.06.2005 17:06) Прямая ссылка
Келен © (13.06.2005 17:06) Прямая ссылка
ОК, а можно сделать опцию удаления своих отправленных ЛС?
Jane-Kulinarka © (13.06.2005 17:06) Прямая ссылка
Jane-Kulinarka © (13.06.2005 17:06) Прямая ссылка
я за, кстати!
Мышка © (13.06.2005 17:06) Прямая ссылка
Мышка © (13.06.2005 17:06) Прямая ссылка
у меня больше 100 сообщений в отправленных висит, это ж всех просить надо чистить ящики.
Мышка © (13.06.2005 17:06) Прямая ссылка
Мышка © (13.06.2005 17:06) Прямая ссылка
я сижу и прошу и что самое интересное сть такие которые прочитали и пальцем не пошвилили ((((((((
Glafira neobychnaja © (13.06.2005 17:06) Прямая ссылка
Glafira neobychnaja © (13.06.2005 17:06) Прямая ссылка
у меня после всех моих просьб их осталось "всего" около 190, причем я немного пишу
Jane-Kulinarka © (13.06.2005 17:06) Прямая ссылка
Jane-Kulinarka © (13.06.2005 17:06) Прямая ссылка
Жень, я кажется все твои удалила. Если не все, то возможно проглядела.
nafanja © (13.06.2005 17:06) Прямая ссылка
nafanja © (13.06.2005 17:06) Прямая ссылка
спасиб!
Jane-Kulinarka © (13.06.2005 17:06) Прямая ссылка
Jane-Kulinarka © (13.06.2005 17:06) Прямая ссылка
пойду чистить
Sova © (13.06.2005 19:06) Прямая ссылка
Технически сделать можно, но это не правильно по сути. М.б. получатель его специально хранит как память? М.б. у него привычка такая - никогда ничего не удалять? Вот представьте, получили Вы письмо, оно Вам почему-то запало в душу, Вы его сложили в спициальную шкатулку, а оно раз - и исчезло. Неприятно, правда?
Стас Nox © (13.06.2005 17:06) Прямая ссылка
Стас Nox © (13.06.2005 17:06) Прямая ссылка
Речь скорее всего об отправленных сообщениях, которые хранятся на страничке отправителя!
Я например не могу стереть со своей ЛС свои же отправленные сообщения.
Alja (c) © (13.06.2005 17:06) Прямая ссылка
Alja (c) © (13.06.2005 17:06) Прямая ссылка
об этом и идет речь, меня это тоже интересует!
Лемурка © (13.06.2005 17:06) Прямая ссылка
Лемурка © (13.06.2005 17:06) Прямая ссылка
что же вы там наотправляли...
господин взломщик, пришлите и мне всё это на ЛС, развлекухи желаю:)
Selectiv © (13.06.2005 18:06) Прямая ссылка
Даже и не мечтай :)) Я мягкая и пушистая :)) Просто жалко трудов тех, кто старательно лички чистит свои. У отправителей-то копии всех послании в наличии :))
Alja (c) © (13.06.2005 22:06) Прямая ссылка
:))) нет, а мне интересно, почему все в таком ужасе: Ах, сотрите все мои послания... и вообще я не хотела эту грязь писать, на самом деле я хорошая:))) Что же там все такое пишут, ну дайте и мне почитать.
Selectiv © (14.06.2005 00:06) Прямая ссылка
Selectiv © (14.06.2005 00:06) Прямая ссылка
там личные телефонные номера и еще были несколько номеров банковских счетов
Jane-Kulinarka © (15.06.2005 17:06) Прямая ссылка
Jane-Kulinarka © (15.06.2005 17:06) Прямая ссылка
а зачем вы перекидываетесь банковскими счетами на клео? может и мне парочку реквизитов скините?:)
Selectiv © (15.06.2005 20:06) Прямая ссылка
мы помогали девочке из Москвы собрать деньги на операцию ребенку и действительно переводили деньги с и на личные счета. И пока деньги там повисли, мы не удаляли инфо
Jane-Kulinarka © (15.06.2005 20:06) Прямая ссылка
Jane-Kulinarka © (15.06.2005 20:06) Прямая ссылка
тем более, что кто-то явно свой (полагаю с жён). со знанием дела лазит:)
Selectiv © (13.06.2005 18:06) Прямая ссылка
Я давно об этом гвоорила, все долго..четко планируется:(
болтуша © (13.06.2005 19:06) Прямая ссылка
болтуша © (13.06.2005 19:06) Прямая ссылка
кто-то свой, старый...
Selectiv © (14.06.2005 00:06) Прямая ссылка
ну вот, открыда окно диалог.. никаких визгов от файрволла не слышно
Яга © (13.06.2005 16:06) Прямая ссылка
Яга © (13.06.2005 16:06) Прямая ссылка
Тогда мне нужно дословное сообщение, которое выдает файрвол. Появится - присылайте.
Стас Nox © (13.06.2005 17:06) Прямая ссылка
Стас Nox © (13.06.2005 17:06) Прямая ссылка
оно на немецком))))) все равно присылать?
Яга © (13.06.2005 18:06) Прямая ссылка
Яга © (13.06.2005 18:06) Прямая ссылка
немецкий я подзабыл, но попробовать можно.
Стас Nox © (13.06.2005 19:06) Прямая ссылка
Стас Nox © (13.06.2005 19:06) Прямая ссылка
ниже написала аж по русски)
Яга © (13.06.2005 19:06) Прямая ссылка
Яга © (13.06.2005 19:06) Прямая ссылка
