Zvýšený traffic na z Netu do pc
Zdravím, nevím jak to správně napsat, ale v poslední době jsem si všimnul, že se mi nějak navýšil počet přijatých paketů, (nebo čehoto) jdoucí z Netu do pecka. Delší dobu používám prog. Net Activity Diagram, kde je to jasně vidět - viz foto. Všechny prog. jedoucí na pozadí (Scype a jim podobné) jsem vypnul, projel pecko Superantispywerem, zkouknul jsem nastavení v Msconfig - vše z nulovým výsledkem. Přikládám i výpis z prog. Hijackthis - je zajímavé, že ty poslední položky "023" se nedají zrušit. Nejsem paranoidní, ale s..e mě to.... Poradí někdo, jak s tím skoncovat ? Do reinstalu se mi nechce a taky mě to zajímá..Dík....
W7,Opera, veřejná Ip
![[fuMVr.jpg]](http://s4.postimage.org/fuMVr.jpg)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:21, on 5.10.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Program Files\Net[1].Activity.Diagram.2.3.293_CRKEXE-FFF\n ad.exe
E:\W_UTIL\Core Temp.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Opera\opera.exe
C:\Users\Pavel\Desktop\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 81.0.254.162 L2authd.Lineage2.com
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKCU\..\Run: [Net Activity Diagram] C:\Program Files\Net[1].Activity.Diagram.2.3.293_CRKEXE-FFF\n ad.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Zástupce - Core Temp.exe.lnk = E:\W_UTIL\Core Temp.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~2\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/ca bs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 6430 bytes
O4: jakkoli se štítím řešit cizí logy z hijackthis, "RunOnce" je tam proč?
O23 - ... - Unknown owner[/i]: takže vlastník system je Unknown owner, jako vtip to ujde. služby od ms nech na pokoji - popis např. starter.
Spusti tcpview a pozri sa na spojenia.
System 4 TCP Pavel-PC microsoft-ds Pavel-PC 0 LISTENING
System 4 TCP Pavel-PC wsd Pavel-PC 0 LISTENING
opera.exe 1112 TCP pavel-pc 49761 fx-in-f155.1e100.net http ESTABLISHED
opera.exe 1112 TCP pavel-pc 49773 fx-in-f155.1e100.net http ESTABLISHED
[System Process] 0 TCP pavel-pc 49760 fx-in-f167.1e100.net http TIME_WAIT
svchost.exe 744 TCP Pavel-PC epmap Pavel-PC 0 LISTENING
System 4 TCP pavel-pc netbios-ssn Pavel-PC 0 LISTENING
svchost.exe 2368 TCP Pavel-PC ftps Pavel-PC 0 LISTENING
svchost.exe 1156 TCP Pavel-PC ms-wbt-server Pavel-PC 0 LISTENING
svchost.exe 2368 TCP Pavel-PC dccm Pavel-PC 0 LISTENING
svchost.exe 2368 TCP Pavel-PC 7438 Pavel-PC 0 LISTENING
wininit.exe 432 TCP Pavel-PC 49152 Pavel-PC 0 LISTENING
svchost.exe 876 TCP Pavel-PC 49153 Pavel-PC 0 LISTENING
svchost.exe 948 TCP Pavel-PC 49154 Pavel-PC 0 LISTENING
services.exe 480 TCP Pavel-PC 49155 Pavel-PC 0 LISTENING
lsass.exe 496 TCP Pavel-PC 49156 Pavel-PC 0 LISTENING
svchost.exe 744 TCPV6 pavel-pc epmap pavel-pc 0 LISTENING
System 4 TCPV6 pavel-pc microsoft-ds pavel-pc 0 LISTENING
svchost.exe 2368 TCPV6 pavel-pc ftps pavel-pc 0 LISTENING
svchost.exe 1156 TCPV6 pavel-pc ms-wbt-server pavel-pc 0 LISTENING
System 4 TCPV6 pavel-pc wsd pavel-pc 0 LISTENING
svchost.exe 2368 TCPV6 [0:0:0:0:0:0:0:1] dccm pavel-pc 0 LISTENING
wininit.exe 432 TCPV6 pavel-pc 49152 pavel-pc 0 LISTENING
svchost.exe 876 TCPV6 pavel-pc 49153 pavel-pc 0 LISTENING
svchost.exe 948 TCPV6 pavel-pc 49154 pavel-pc 0 LISTENING
services.exe 480 TCPV6 pavel-pc 49155 pavel-pc 0 LISTENING
lsass.exe 496 TCPV6 pavel-pc 49156 pavel-pc 0 LISTENING
System 4 UDP pavel-pc netbios-ns * *
System 4 UDP pavel-pc netbios-dgm * * 1 209 2 410
svchost.exe 948 UDP Pavel-PC isakmp * *
svchost.exe 1536 UDP pavel-pc ssdp * *
opera.exe 1112 UDP pavel-pc ssdp * *
svchost.exe 1536 UDP Pavel-PC ssdp * *
svchost.exe 500 UDP Pavel-PC ws-discovery * *
svchost.exe 1536 UDP Pavel-PC ws-discovery * *
svchost.exe 1536 UDP Pavel-PC ws-discovery * *
svchost.exe 500 UDP Pavel-PC ws-discovery * *
svchost.exe 948 UDP Pavel-PC ipsec-msft * *
svchost.exe 1156 UDP Pavel-PC llmnr * *
svchost.exe 500 UDP Pavel-PC 53004 * *
svchost.exe 1536 UDP pavel-pc 53007 * *
svchost.exe 1536 UDP Pavel-PC 53008 * *
opera.exe 1112 UDP pavel-pc 55591 * *
svchost.exe 1536 UDP Pavel-PC 56278 * *
svchost.exe 948 UDPV6 pavel-pc 500 * *
svchost.exe 1536 UDPV6 [0:0:0:0:0:0:0:1] 1900 * *
svchost.exe 1536 UDPV6 pavel-pc 3702 * *
svchost.exe 1536 UDPV6 pavel-pc 3702 * *
svchost.exe 500 UDPV6 pavel-pc 3702 * *
svchost.exe 500 UDPV6 pavel-pc 3702 * *
svchost.exe 948 UDPV6 pavel-pc 4500 * *
svchost.exe 500 UDPV6 pavel-pc 53005 * *
svchost.exe 1536 UDPV6 [0:0:0:0:0:0:0:1] 53006 * *
svchost.exe 1536 UDPV6 pavel-pc 56279 * *
Pozerat sa musis ked ti tecu data nie hocikedy inak spojenie neuvidis.
A vypni si protokol IPv6 ak ho nepouzivas len to tam zbytocne strasi, v tych blbych 7 je to zapnute defaultne hoci sa to takmer nikde nepouziva.
hmm, teď jsem dal mezi pecko a Net router WR741N a problém zmizel...., není to ale pro mě řešení....protokol IPv6 jsem vypnul...
Ano problem zmizol, evidentne ti tam bezi nejaka serverova sluzba a nejaki klienti k nej nahodne pristupuju cez tvoju verejnu ip. Tym, ze si dal pred seba router tak si si tu ip odobral a prebral ju router. Tym padom uz nie je mozne vyvolat zvonku spojenie s tvojim pc.
Dobra sprava znie, ze sa nejedna pravdepodobne o virus (zombie pracuju inak), zla, ze ak nevies co to je tak vies, ze sa ti nejaka sluzba napaja na tvoje pc a "nieco" si z neho taha.
Je, ale dost mozne, ze sa jedna o nejaku legalnu sluzbu (napr steam).
No, problém je, že ty pakety jdou do počítače, ne z něj....
Steam, pokud myslíš ten, co se používá např. pro hraní HL, tak to nepoužívám....
Tedˇ mě ale napadlo - mladý si tady nainstaloval online hru, Metin2 - toto jsem dneska ráno dal pryč, ale možná že nějaký bazmek zůstal třeba v registrech....
Metin2 je klasicka klient-server hra, neposkytuje ziadne serverove sluzby.
Steam som dal len ako priklad moze to byt samozrejme hocico "serveroveho".
tak já nevím.....z těch logů, co jsem tady postnul, se nedá vyčíst nic ?, ...moc tomu nehovím....
Ani velmi nie, mas tam vela sluzieb co su v stave listening, mas moznost si zanalyzovat kazdu sluzbu zvlast (musis sa pozriet na proces, ktory je na danu sluzbu "nahooknuty") alebo si pockat kedy zacnu data od teba odtekat a potom si pozriet, ktory proces je v stave established a s akou ip sa spaja.
Zkus se podívat do SysLogu routeru, jestli náhodou nemáš nějaký DoS útok. Možná to tím nebude, ale vím o čem mluvím - já jsem kvůli tomu musel před časem změnit IP...
Kouknu, jak to poznám ?
Bude to tam napsané. Obvykle to bývá SYN-Flood (měl jsem já) nějakého magora (nebo jeho vejra) kdekoliv před i za ISP.
edit: Tak buď to router neumí (nepozná), nebo na tebe nikdo neútočí.
pokud dělám refresh, tak se mění akorát čas, výpis zůstane stejný - máš asi pravdu.... - zkusím na tom routru vypnout fw, uvidíme....
zkoušel jsem změnit i další nastavení v Advanced Security, ale v logu se objeví jenom potvrzení o změnách nastavení....
Aha. Tak to TPL neumí (zkoušel jsem - mám TPL841). Co se mne týkalo, bylo z doby, kdy jsem měl ještě TrendNet router, a ten vypisoval vše. Sorry za mlžení.
BTW: Možná existuje ulita, která je schopna DoS detekovat (bez routeru), ale to by ti poradil spíše nějaký zdejší síťový guru, což já nejsem.
Takže vše je jinak - jak praví níže fleg, při útoku se jedná o příchozí data. Nevšimnul jsem si toho. Zkus si na test nainstalovat Sygate firewall, ten zobrazuje podrobnosti o každém trafficu.
zkusím....- hmm, pod sedmičkama nejede....
Pri syn-floode data pritekaju, on pise, ze data mu odtekaju, takze tudy cesta nevede.
Jajda. Nějak jsem to zazdil - v tom případě to šacuju na vejra nebo nějaký PTP manažer.
Píšu to už potřetí - data mi do jdou do pecka, ne z něj !
Tak má mif přece jen recht
...
Tak sorry vcera vecer som uz bol asi nejaky zmoreny;o).
Prichadzajuce data by som vobec neriesil, boti vo vseobecnosti su nastaveny tak, ze prehladavju vcetky ip rozsahy, spravia sken a potom skusaju vsetky mozne utoky ako sa ti dostat do pc.
Preto mat verejnu ip adresu priamo na pc je imho blbost, urcite by som tam postavil router, resp ak uz trvas na pc tak potom riadne nastaveny firewall.
Inak nema zmysel prichadzajuce data vobec riesit, ja napriklad riesim utoky na servre cez ssh banom na par minut cez skript a viac sa nestaram. Podobne by som to riesil aj u teba alebo rovno defaultne vsetko zakazal okrem toho co priamo povolim.
tak, a poradíš mi, co a jak mám nastavit ?
Pre mna idealne a bezudrzbove riesenie je nasadit router. Ak potrebuje verejnu ip adresu nejaka aplikacia spravi sa portforwarding.
jo, je tam, teď ho ještě musím zašít někam za stůl, aby ta moje čaramůra nedržkovala, že zase mám nějaký bazmek, co žere proud.....
torrenty se zapnutým dht nepoužíváš?
v tcp view si zaškrni tlačítko vedle tlačítka A a pozoruj pouze aktivní procesy.
nikdy jsem je nepoužil....