Internetni promet na maksimum brez razloga?

S

stein

Fizikalc
16. sep 2007
19.575
1
36
Citat:
Uporabnik Radirko pravi:
Seveda ti njegov ISP tega ne bo povedal, saj ti ne sme. Je pa tako, da ce bi lastnik racunalnika na tistem (staticnem) naslovu pocel kaj zlobnega, bi po tvoji vlozeni ovadbi ISP brez tezav dokazal kdo je to bil.

Vecina prometa na tisti sliki gre od tebe (tvoj racunalnik vzpostavlja povezavo in se javlja onemu).
Klikni za razširitev
Hecno, jaz pa vidim HTTP download, ki gre od "tujca" sem.

ISP lahko dokaže stranko tudi za dinamične naslove.

Mogoče malo bolj priročna orodja, kot netstat:
http://www.nirsoft.net/utils/cports.html (download link je na dnu strani)
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
 
R

Radirko

Fizikalc
18. avg 2007
6.242
0
36
Citat:
Uporabnik stein pravi:
Citat:
Uporabnik Radirko pravi:
Vecina prometa na tisti sliki gre od tebe (tvoj racunalnik vzpostavlja povezavo in se javlja onemu).
Klikni za razširitev
Hecno, jaz pa vidim HTTP download, ki gre od "tujca" sem.
Klikni za razširitev

Ja, ampak zaceti mora to njegov racunalnik (v oklepaju sem napisal pojasnilo, da ne bi bilo nesporazumov).

TCP handshake: ti ven SYN, druga (klicana) stran tebi SYN ACK, ti nazaj ACK. Na sliki posilja ACKe njegov racunalnik, torej je moral on vzpostaviti povezavo. Zakaj ? Beats me s tako malo podatki, kot jih imamo na voljo; jaz na tistem naslovu vidim samo en streznik tipa Hello World!, kar pa ne pomeni nujno da je zadeva inertna (ce bi jaz zelel prikriti promet, bi ga tudi na tak nacin, oziroma bi tja porinil kopijo strani ISPja in po njih velikodusno sadil redirecte na prave strani, ker toliko prometa na staticno stran je malce hecno).

V glavnem, dovolj je bilo zastonj instrukcij v tej temi, vecina napisanega imam obcutek da gre itak v /dev/null. Bom spremljal od strani kaj se dogaja
smile-1.gif
 
A

airj

Pripravnik
29. sep 2008
450
0
16
Naj si kupi router in bo rešil problem enostavno, če ne zna bitdefenderju povedat, kako zablokirat (range) IP..
 
S

stein

Fizikalc
16. sep 2007
19.575
1
36
In ruter bo sam od sebe blokiral outgoing povezave? Ne bo.

Je pa res, da če gre za incoming povezave, potem je Windows Firewall car, tile Security Suite pa v najboljšem primeru nepotrebna krama, v najslabšem pa slabše kot nič.
 
D

doto

Fizikalc
25. jul 2007
3.175
0
36
Pa saj lahko že sam ugotoviš veliko. To je očitno en server, ker je gor http, https, ftp in smtp:

Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-24 18:03 CET
Interesting ports on 89-212-150-51.static.t-2.net (89.212.150.51):
Not shown: 991 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1025/tcp filtered NFS-or-IIS

Gor je očitno windows

https://bugs.apek.si/

4385364708_fa6d7343d3_o.png


Server je od apeka, drugače je naslov bugs.apek.si. FTP je odprt gor je nek testni stream za RTVSLO. ftp://89.212.150.51/

Ftp pa tudi izpiše,, kam si se povezal:
Citat:

Dobrodosli na ftp strezniku Agencije za posto in elektronske komunikacije RS. Vsak (ne)uspesen poskus prijave bo zabelezen. Zlorabe bodo kazensko preganjane.
Klikni za razširitev

Rabiš še kaj?
evil.gif
 
A

airj

Pripravnik
29. sep 2008
450
0
16
Joj.. nism rekel tega. Pravim samo, da na PCju ne bo gledal tega povečanega prometa. In če ga skrbi za varnost, da mu nekdo šari po PCju bo tudi boljše s tem..
 
F

fikus

kaktus
23. apr 2008
2.528
14
38
Fantje vi tako vse obvladate, da jaz enostavno več ne dohajam zakaj se sploh gre.

Imam še cel kup enih vprašanj.

1. Torej imam nek strežnik, ki ga nekdo uporablja zakaj, kaj približno ima od tega?
2. A ima dostop do vseh mojih datotek? Mi jih krade ali samo na moj računalnik naloži nekaj svojega in jih nato preko mojega računalnika oddaja naprej?
3. Obstoja kak programček, ki bi mi povedal katere datoteke se prenašajo
4. Zakaj mi Netstat-aon odpre okno in ga takoj zapre, da PIDa sploh ne morem videti?
5. Kako se tega vraga dobi na računalnik in kaj naj naredim, da ga po novi namestitvi windowsev ne dobim več?
6. Obstoja kak programček, ki bi odkrival takšne proxyje na računalniku?
7. Kakšno vezo ima ta Apekova stran, sem direktno iz strani kaj dobil, kako da tega ne odstranijo sami?
8. Imam lahko še kakšne probleme zaradi tega(na računalniku imam vsaj 99% stvari za katere me niti ne moti, če jih kdo vidi-za tisti procent me pa skrbi(digitalna potrdila, gesla, razni pomembnejši dokumenti, slike niti ni panike,...-bi kaj pomagalo, če jih zararam in jih dam pod geslo)
Je pametno zadevo kam prijaviti?

9. Včasih je bilo fajn, ko je bil še stari Ganymedev modem(ki ni podpiral telefonije pa tudi Sagemov) in sem samo pogledal utripanje lučke in sem takoj vedel, da se nekaj prenaša(če se ni prenašalo nič, lučka ni utripala), sedaj imam pa novejši Ganymedev modem, ki podpira telefonijo in mi potem lučka za promet nonstop hitro utripa in se ne da več tako na hitro videti ali se kaj prenaša ali ne.
Imam tudi en brezžični ruter, ki pa ga vklapljam samo zelo občasno (po potrebi, saj sem najraje na stacionarnem računalniku), a bi bilo bolje, če jaz povežem moj računalnik z internetom še preko tega ruterja in ne direktno od Ganymedejevega modema?

Upam, da si bo kdo vzel čas in mi vsaj približno odgovoril na vprašanja ter mi s tem pojasnil kako in kaj je s tem.
Že vnaprej se zahvaljujem za odgovore.
Lp
 
F

fikus

kaktus
23. apr 2008
2.528
14
38
Citat:
Uporabnik stein pravi:
In ruter bo sam od sebe blokiral outgoing povezave? Ne bo.

Je pa res, da če gre za incoming povezave, potem je Windows Firewall car, tile Security Suite pa v najboljšem primeru nepotrebna krama, v najslabšem pa slabše kot nič.
Klikni za razširitev

To se pravi, da je bolje imeti privzet Windows firewall kot pa te z AV programom?
Jaz sem pa vedno mislil ravno obratno;)
A Zonealarm oz. kaj podobnega bi bilo pametno imeti ali ne?
 
AndrejD

AndrejD

Guru
20. jul 2007
7.238
1.397
113
1. Lahko ga uporablja za vse "svoje stvari" filmčke, dadoteke, itd...
2. po vsej verjetnosti ima
3. Ne da bi vedel
4. Prvo poženi cmd in tam not vpiši komando.
5. Zdravo pamet uporabljaj. Tudi dinamični ip je koristen.
6. Se vsi dajo hitro onesposobit
7.Se nisem poglabljal v to zadevo.
8.Probleme lahko imaš ja
9. Lahko uporabiš tudi ustrezno zaščiten router. Vendar dvomim da si ga boš sam znal nastavit.


Odgovori so sicer kratki ampak upam da bo za prvo silo.
 
R

Radirko

Fizikalc
18. avg 2007
6.242
0
36
Nasoprotno, mislim da je 1-3:

1: Ne.
2: Ne.
3: Opisal sem kompleten postopek, po katerem bi videl kateri proces komunicira s tistim racunalnikom in verjetno bi se iskazalo, da je to tvoj internetni brskalnik, sicer se pa vsebina prometa vidi tudi v Wiresharku

Po 3 bi lahko s precej visjo gotovostjo sklepal na 1 in 2, brez tega sem samo 99% preprican.
 
V

virtualman

Pripravnik
20. avg 2008
79
0
6
jv slovenija
heh, tvoj računalnik je verjetno "zombi" preko katerega se napada druge računalnike, morda tudi Apek. Kakorkoli nek maliciozni program je lahko gor instaliran. Najprej si naloži gor Spybot ali Malwarebytes in preglej računalnik. nato prčekiraj računalnik s kakšno Aviro ali kakšnim drugim antivirusnim programom. Različni programi najdejo različne stvari. Ko boš siguren, da si očistil računalnik se bo zadeva verjetno nehala, če ne drugega boš vsaj siguren da je računalnik čist.
Je pa tudi možnost, da imaš v FF naložene razne dodatke, ki avtomatsko čekirajo recimo gmail ali kaj podobnega. Preveri kateri programi se avtomatsko zaženejo ob vklopu računalnika, to boš našel v Spybotu- Search and destroy, kjer izbereš "strokovni način", greš v Orodja in nato Zagon sistema. tam boš videl, kaj se vse zažene. Če je kakšna neumnost, daj kljukico ven.
lp
 
F

fikus

kaktus
23. apr 2008
2.528
14
38
Hvala vsem za odgovore, vsi, ki jih še niste, dobite zvezdice.

Sedaj računalnik bolj kot ne vedno raje ugašam, bom pa vseeno poskušal zrihtati tisti netstat -aon
Imam pa tudi tista dva programčka, ki mi jih je priporočil Stein.
Bom pa še pregledal s tem Malwarebytes-z ostalimi že sem.

Me pa zanima še par stvari:

1. Se da v Bitdefenderju enostavno blokirat določen IP?

Sicer praviš, da baje ni nič ne vem kako nevarnega ampak vseeno ne bi rad, da mi skopira digitalne certifikate...

Varnostne kopije mislim, da sem naredil vse, tako, da bom v prvi priliki vse skupaj na novo namestil.

Sem pa med bolj previdnimi uporabniki interneta in res ne vem kaj bi še lahko naredil, da takih stvari ne bi več dobil, imam pa dinamičen IP.
2. Zakaj bi bilo bolje, če računalnik ne bi imel priključen direktno na Ganymedejev modem ampak bi imel vmes še en ruter?

3. Se tega vraga lahko dobi izključno ob nameščanju kakšnega skrekanega programa ali gre tudi brez tega recimo samo ob obisku kakšne strani ali pa recimo v času, ko kdaj preko torrentov vlečem kak program, filmček)???

Brskalnik(ali pa njegovi dodatki) tega prometa ne more delat, če ga pa v času maksimalnega prometa sploh nimam zagnanega.
Tudi sicer sem šel v msconfig in v zavihku zagon odstranil praktično vse procese, ravno tako sem šel v taskmanager zaustaviti kar nekaj procesov, a je promet še vedno bil na maksimumu.
 
D

doto

Fizikalc
25. jul 2007
3.175
0
36
Jaz bi se zadeve lotil drugače. Instaliral bi kak firewall, ki mu moraš eksplicitno dovoliti kateri programi lahko komunicirajo in kateri ne. Recimo kak net limiter z vgrajenim FW bi že bil kar primeren, obstajajo pa še drugi, recimo comodo. FW te bo vprašal za vsako aplikacijo posebej, če ji dovoliš dostop na internet, ali če dovoliš, da se aplikacija odziva na zahtevke z interneta.

Ima pa netlimiter še en dober featchure. Za vsak process posebej ti izpiše kolikšen bandwith kuri. Tako da lahko hitro identificiraš problematičen process.
 
F

fikus

kaktus
23. apr 2008
2.528
14
38
Kot piše je ta Comodo tudi AV program, a naj potem Bitdefenderja odstranim in imam samo Comodo?

Ali naj imam samo Comodo firewal ter Bitdefenderjev antivirus-njegov firewall pa odstranim???

Kater program vi, ki obvladate uporabljate za antivirus in kater za firewall?

Zanima pa me tudi tisto glede APEKa, da je server APEKov-a to pomeni, da moj računalnik "npada njihovega", ali morda, da sem na njihovi strani dobil tega vraga???
Se lahko dobi iz kakšne strani kaj takega(ko jo obiskuješ)?

Netlimiter pa imam nameščen vendar mi za vse ostalo kaže koliko prometa dela kak program, za tega se pa žal ne vidi(kot da ga sploh ni, čeprav gre promet na maksimum in se ga lepo vidi na bitdefenderjevem okencu ter Wiresharku).
 
Nazadnje urejeno:
F

fikus

kaktus
23. apr 2008
2.528
14
38
Citat:
Uporabnik Radirko pravi:
Ko spet opazis promet, pozeni ukaz

netstat -aon

in isci vrstice v katerih je ali Foreign address enak 89.212.150.51 ali pa je stevilka za dvopicjem v stolpcu Local Address enaka 1221 ali 1223 (torej npr. 85.10.23.85:1223) in si izpisi stevilko, ki je napisana v teh vrsticah v stolpcu PID (najbrz bo vedno ista stevilka, ni pa nujno, morda sta dve, morda jih je se vec)
Klikni za razširitev

Promet se mi je povečal, naredil sem netstat -aon, žal pa med aktivnimi procesi nikjer ni NOBENEGA procesa s pidom 3948, ki je očitno tisti zlobni???

Izpisek netstat -aon je:
Aktivne povezave
Proto Lokalni naslov Tuj naslov Stanje PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1704
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:50000 0.0.0.0:0 LISTENING 1256
TCP 90.157.172.176:2160 89.212.150.51:80 FIN_WAIT_2 3948
TCP 90.157.172.176:2198 193.2.236.15:80 TIME_WAIT 0
TCP 90.157.172.176:2208 209.85.135.138:80 TIME_WAIT 0
TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 3192
TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 816
TCP 127.0.0.1:5152 127.0.0.1:1180 CLOSE_WAIT 816
TCP 192.168.1.2:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 1476
UDP 0.0.0.0:4500 *:* 1476
UDP 0.0.0.0:10000 *:* 1888
UDP 90.157.172.176:123 *:* 1988
UDP 90.157.172.176:1900 *:* 720
UDP 127.0.0.1:123 *:* 1988
UDP 127.0.0.1:1045 *:* 344
UDP 127.0.0.1:1598 *:* 1944
UDP 127.0.0.1:1900 *:* 720
UDP 192.168.1.2:123 *:* 1988
UDP 192.168.1.2:137 *:* 4
UDP 192.168.1.2:138 *:* 4
UDP 192.168.1.2:1900 *:* 720
 
F

fikus

kaktus
23. apr 2008
2.528
14
38
Med aktivnimi povezavami pri Netstat -aon je proces 3948 ampak, ko pogledam v task managerju pa tega procesa s tem PID ni(tako, da se zgleda določen proces, da tudi skriti v task managerju)?
 
R

Radirko

Fizikalc
18. avg 2007
6.242
0
36
Takrat se je socket ze zapiral, torej je cisto mozno, da se je medtem tvojim pregledovanjem doticni proces zakljucil. Ce si v Wiresharku spremljal promet, si lahko ogledas kaj sta se skatli pogovarjali (ali je slo za navaden HTTP request in eno vsebino s tiste strani ali ne).

FWIW, kolikor sem jaz brskal po BitDefenderju, ima opcijo resetirati VSE obstojece nastavitve in ne dovoli NOBENEGA prometa NIKAMOR, dokler uporabnik tega eksplicitno ne izbere v tistem okencu desno spodaj (Yes/No/Allow oz. nekaj podobnega). Ne vem ali je to tudi v novi verziji - mislim da sem jaz gledal 8.0, bilo je ze par let nazaj - a ne vidim razloga zakaj tega tudi novi ne bi imel.
 
F

fikus

kaktus
23. apr 2008
2.528
14
38
Radirko a tega vraga dobim s kakšnimi skrekanimi programi ali je to možno dobiti tudi samo z navadnim obiskom kakšne spletne strani?

Bom za foro res resetiral Bitdefender, čeprav on sploh ne zazna tega prometa(v Bitdefenderju za vsak proces kaže če dela kakšen promet a pri tem prometu ne pokaže ničesar.

Kater Firewall in Av pa vi uporabljate?
 
Za odgovor se prijavite ali registrirajte.
Na vrhu Bottom