Zdravím,
poslední dobou mi Kerio v záznamech NIPS hlásí od "medved009" misc-attack, viz obrázek. Je to jen krátký kousek z celého záznamu. Nevím, jestli jsem sám a náhodně vybranej. Neleze ještě k někomu z Vás? Zatím to Kerio chytilo, ale nerad bych, aby jednou přišlo něco horšího.

(https://forum.klfree.net/proxy.php?request=http%3A%2F%2Fwww.ukazto.com%2Fimg%2Fkerio-ugw1.jpg&hash=c03addd9acf628a375d4d868a9dbd710c5a7357c)

Nemá tady  nějakého známého, který by mu to jeho počítadlo trochu uklidil? Já o něm nic nevím.

Tak napiš medvědovi, ať si vypne ve widlích službu "bla bla SSDP bla bla" (příslušné jméno služby si najdi ve svých Widlích)

Nevím jak na medveda009, nemám na něj kontakt.
Je ale zajímavý, že jen jsem to sem dal, tak zhruba za hodinu a půl mi přestalo jít připojení. Nejdřív jsem si mylel, že jde o nějaký výpadek. Nakonec mi to nedalo a díval jsem se do Ovisu a nestačil se divit. Někdo mi změnil "alias name" na něco velmi nechutného a přestavěl mi celý ovis.
Takže to nevypadá na náhodu, ale na cílený útok a to je docela síla.
Rád bych věděl, kdo má tu možnost, dostat se do ovisu i přes moje heslo? Heslo má 13 znaků, myslel sem si, že to stačí.
Má někdo nějakej tip a řešení?

Citace: hafca kdy Duben 01, 2007, 12:25:27 ODPOLEDNE
Nevím jak na medveda009, nemám na něj kontakt.

medved009@klfree.cz

Všechny členy můžeš kontaktovat na prezdivka@kflree.cz Mail jim dojde do schránky kterou mají uvedenou v kontaktech.

CitaceNěkdo mi změnil "alias name" na něco velmi nechutného a přestavěl mi celý ovis.
Takže to nevypadá na náhodu, ale na cílený útok a to je docela síla.

Univerzální heslo k Ovislinku 1120AP si můžeš najít ve twiki. Funguje do všech originálních FW a i v některých FW 5460.
Nahraj si tam AP Pro, to se ti tam pak nikdo nedostane - nemá univerzální heslo. A podle mnohých je i lepčí.

Já tam nemám univerzální heslo, mám tam vymyšlený svoje na 13 znaků.

Citace: hafca kdy Duben 01, 2007, 02:00:08 ODPOLEDNE
Já tam nemám univerzální heslo, mám tam vymyšlený svoje na 13 znaků.

Univerzalni heslo je univerzalni prave proto, ze funguje univerzalne v kazdym ovislinku se spravnym firmwarem zaroven s uzivatelem nastavenym heslem :)

Chvíli mi to trvalo, ale už to mi s tím heslem docvaklo ;D. Jak to tak vypadá, budu muset udělat ten firmware, aby mi do toho nikdo nelezl. Jen mi vadí, že jsou mezi námi, takovýhle individua.  :o

Pro ty, které to zajímá. Před chvílí to neznámý vtipálek zopakoval.
Má někdo link na ten firmware, kde už nejde použít univerzální heslo?
Nebaví mě, pořád dělat trvrdý reset celé to znova nastavovat. A vůbec, nedalo by se zjistit, kdo má tohle na svědomí?
EditDalší průnik teď v 22:45

Citace: hafca kdy Duben 01, 2007, 08:51:24 ODPOLEDNE
Má někdo link na ten firmware, kde už nejde použít univerzální heslo?

http://www.appro.cz/

(https://forum.klfree.net/proxy.php?request=http%3A%2F%2Ftom712.webhosting.klfree.net%2Fgoogle.jpg&hash=9cfabd86ba40e0879bff64635f85114a511f0fca)

Citace: hafca kdy Duben 01, 2007, 08:51:24 ODPOLEDNE
Pro ty, které to zajímá. Před chvílí to neznámý vtipálek zopakoval.
Má někdo link na ten firmware, kde už nejde použít univerzální heslo?
Nebaví mě, pořád dělat trvrdý reset celé to znova nastavovat. A vůbec, nedalo by se zjistit, kdo má tohle na svědomí?
EditDalší průnik teď v 22:45

No, odstrihnout medveda009 neni problem, ale museli bysme si byt 100% jisti, ze ti to prenastavuje on.

Ten s tim nema IMHO vubec nic spolecnyho - spam co delaj wokna broadcastama a logovani do ovise nijak nesouvisi.

Citace: skudlik kdy Duben 02, 2007, 06:57:09 DOPOLEDNE
Ten s tim nema IMHO vubec nic spolecnyho - spam co delaj wokna broadcastama a logovani do ovise nijak nesouvisi.

Mno pak by ale s dosti vysokou pravděpodobností se mu to tam objevovalo i od více členů, ne?

Já netvrdím, že to dělá on. Možná to spolu ani nesouvisí, ale je fakt, že to přestavování ovise začalo právě po tomhle dotazu.
Jen jsem to vrátil, tak v 23:00 to přišlo zas. Tentokrát se sice nick nezměnil, ale opět přestavěno z Client na AP. Navíc tak, že budu muset udělat tvrdej reset, položka je šedivá a nejde udělat změna.
Co jsem koukal naposled večer, někdy kolem desáté do Keria, tak to je jen od něj. Ješte to ověřím až budu doma, jsem v práci.

Citace: hafca kdy Duben 01, 2007, 08:51:24 ODPOLEDNE
Pro ty, které to zajímá. Před chvílí to neznámý vtipálek zopakoval.
Má někdo link na ten firmware, kde už nejde použít univerzální heslo?
Nebaví mě, pořád dělat trvrdý reset celé to znova nastavovat. A vůbec, nedalo by se zjistit, kdo má tohle na svědomí?
EditDalší průnik teď v 22:45

Ten FW mam treba ja, spoj se se mnou pres ICQ a muzem to flashnout.
Ale to co popisujes vypada jako "samohrouceni" vlastniho OVISe, takze se poohledni po zarucaku a fakture, kdyby naaahodou ten flash FW neprezil.
Pokud by Ti to "nekdo" kurvil schvalne nemyslis ze prvni by smaznul Tvoje heslo ???

S tím heslem nevím, ale zkus mi vysvětlit jak to ten Ovis dělá, že mi můj nick přepíše na "zmrde" a jednou s velkým Z a potom s malým z. Možná je schválně, abych byl víc vytočenej. Nechtěl jsem to tady ventilovat, ale jak vidím je to nezbytné.
Snad jedině, že by mě ten Ovis hodně neměl rád ;D, navíc je hajzlik po záruce.

hafca: mrkni do PM tady (osobnich zprav).

Citace: hafca kdy Duben 02, 2007, 09:11:51 DOPOLEDNE
S tím heslem nevím, ale zkus mi vysvětlit jak to ten Ovis dělá ... snad jedině, že by mě ten Ovis hodně neměl rád ;D, navíc je hajzlik po záruce.

Tak to je určitě necima rukama, takovou pitomost si ani OVIS nevymysli ...

Univerzalni heslo zna, bohuzel, spousta lidi, ale vetsina tohle neudela ... todle bude nejakej <***> co zrovna objevil ameeeeriku ...

Citace: scorpio kdy Duben 02, 2007, 11:24:57 DOPOLEDNE

Citace: hafca kdy Duben 02, 2007, 09:11:51 DOPOLEDNE
S tím heslem nevím, ale zkus mi vysvětlit jak to ten Ovis dělá ... snad jedině, že by mě ten Ovis hodně neměl rád ;D, navíc je hajzlik po záruce.

Tak to je určitě necima rukama, takovou pitomost si ani OVIS nevymysli ...

Univerzalni heslo zna, bohuzel, spousta lidi, ale vetsina tohle neudela ... todle bude nejakej <***> co zrovna objevil ameeeeriku ...

Neexistuje zaznam na routeru(nekde)? Jenze kdo by se s tim hledal :police:

Citace: jstembera kdy Duben 02, 2007, 04:00:34 ODPOLEDNE

Citace: scorpio kdy Duben 02, 2007, 11:24:57 DOPOLEDNE

Citace: hafca kdy Duben 02, 2007, 09:11:51 DOPOLEDNE
S tím heslem nevím, ale zkus mi vysvětlit jak to ten Ovis dělá ... snad jedině, že by mě ten Ovis hodně neměl rád ;D, navíc je hajzlik po záruce.

Tak to je určitě necima rukama, takovou pitomost si ani OVIS nevymysli ...

Univerzalni heslo zna, bohuzel, spousta lidi, ale vetsina tohle neudela ... todle bude nejakej <***> co zrovna objevil ameeeeriku ...

Neexistuje zaznam na routeru(nekde)? Jenze kdo by se s tim hledal :police:

Nebude... Je to klasický HTTP a monitorovat a skladovat veškerej HTTP provoz moc únosný neni...

na routeru muzete pustit ve screenu tcpdump kdo se spojuje na http port toho Oviska... tech zas tak moc nebude (port + IP)

JJ .. to bylo i obsahem me PM  :) .. akorat pokud je to nekdo primo z hradu, tak toho v dumpu asi moc nebude .. nechtel jsem to tu psat primo aby se nam pripadnej utocnik pokud to tu cte nevylekal ...

Děkuji všem zúčastněným za rady a pomoc. Něco jsem s tím udělal a uvidím, jestli bude klid. Doufám, že ano.

To je sice moc hezke, ze jsi s tim neco udelal - nicmene kdyz uz to napises na radu Sdruzeni, tak by jsi take mohl reagovat na odpoved - a dekuji za odhaleni vinika :/

I to bych rád udělal, ale kdo je viník, to bohužel nevím. V PM nic nemám a tady jsem taky neviděl, že by někdo někoho označil za viníka. Nebo jsem někde něco přehlédnul? Jestli ano, pak se omlouvám.

meli ti prijit minimalne 2 odpovedi na tvuj email na rada@klfree.net

Tak jsem tu zas. Přenastavování Ovisu přestalo, ale ten misc-attak od medved009 travá. Psal jsem mu a odepsal, že zakázal službu UPnP, odviroval a aktualizoval Antispyware. Jenže ty ataky přetrvávají. Zajímavé jsou ty intervaly, opakuje se to na vteřinu přesně po dvaceti minutách.
Nemá někdo ještě nějaký nápad, co s tím?

Ignoroval bych to .. muze to delat fura softu o nej v kompu .. nebude to nejspis zadnej attack v pravem slova smyslu - proste to zakazat a je to ... kdybych mel resit kazdej divnej paket co jde na muj router, tak bych z toho zesedivel.

Máš pravdu, přestávám to řešit, protože to neškodí, alespoň zatím. Probíral jsem to se Scorpio a vypadá to asi na Skype. Spíš mi to zajímalo, co, jak a proč.