Intrusión Portscan

17/01/2004 - 19:27 por Gulliver | Informe spam

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)

16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))

15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))

MAS.

Han habido muchos días que la intrusión ha sido detectada y bloqueada hasta
que el día 15/01/2004 según consta en detección de intrusiones y en el visor
del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que no
hago bien?
¿Podeis ayudarme, por favor?
Lluís

Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response

Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response

Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or
is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for open
ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports on
users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find unprotected
computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by vulnerable
applications, or they may simply cycle through all of the target computer's
65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information about
networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet Security
are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None

Siga el debate

23 respuestas

Tengo una respuesta

DRAGON AGE™: INQUISITION – Matadragones

Leer las respuestas

#1 JM Tella Llop [MVP Windows] ·

17/01/2004 - 19:33 | Informe spam

Sobren cortafuegos externos (es decir el de XP vale perfectamente) con tal de seguir las sguientes normas:

* Sentido Comun: no instalar ningun siftware desconocido en nuestra maquina. No ejecutar nada recibido por correo aunque se conozca al destinario. Tener los parches de WU al dia...

Y es así de simple. Soy contrario a los firewall de terceros por los siguientes motivos:

1) Cualquier error en una respuesta, o una mala respuesta... y adios.
2) Demasiadas vulnerabilidades. Una busqueda en google te puede ayudar a ver los agujeros que puedan tener las diferentes versiones de firewall -y encima te daran los exploits para atacar-. (curiosamente no encontrarás ninguno para XP).
3) El Sentido COmun tendrás que seguir teniendolo..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Gulliver" wrote in message news:O0M$

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)

16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))

15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))

MAS.

Han habido muchos días que la intrusión ha sido detectada y bloqueada hasta
que el día 15/01/2004 según consta en detección de intrusiones y en el visor
del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que no
hago bien?
¿Podeis ayudarme, por favor?
Lluís

Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response

Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response

Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or
is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for open
ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports on
users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find unprotected
computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by vulnerable
applications, or they may simply cycle through all of the target computer's
65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information about
networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet Security
are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None

Leer las otras respuestas

Preguntas similares

Busqueda sugerida :