From: Serdar KOYLU (skoylu@altavista.com)
Date: Fri 12 Jan 2001 - 19:30:50 EET
On Fri, 12 January 2001, Devrim Sipahi wrote:
>
> biraz ayrintilara gireyim.
> kullandigim sistem 98
> linux ile ipmasq yaparak cikiyorum. linux un ip si ile dolasiyorum.
> trojan ile masq arkasi gorulebiliyor mu?
Portscan gibi seylerle masq. arkasini goremezsiniz. Ama programin eristigi port (sizin W98 makinenizdeki programin kullandigi port) client olarak (TCP SYN isaretini gonderen taraf) calisiyorsa, ki oyle gorunuyor, masq. uzerinden bu programa erisilebilir. Basitce
ipchains -A input -p tcp -s 0/0 -d 64.12.25.0/24 5190 -j DENY
ile bu durumu etkisizlestirebilirsiniz. Firewall aslinda bu islere yarar zaten.. Fakat baska arkadaslarinizda da bu durumun olmasi birhayli vahim. Adminlere bir kontrol etmelerini salik veririm, bir backdoor bile olabilir.. Eminim ki bu konularda benden daha iyi bilgiye ve altyapiya sahip arkadaslarimiz vardir bu listede..
> su an netstat ile baktigimda
> 64.12.25.217:5190
> olarak goruyorum.
> icq kullanan birkac arkadasima sordum; onlarda da ayný sey sozkonusu
> Tedirgin olmaya basladim..
Bu adres ICQ ile hic alakasi olmayan (en azindan resmiyette) bir adres. Devamli degismesi ve domain kaydinin bulunmamasi Dial-up olma ihtimalini yukseltiyor. Her halukarda orada bir dolap donuyor ama ne ? Kestirmek cok zor.
Bu nedenle tedirgin olmakta haklisiniz. Fakat hasbelkader sizi ICQ listesine uye yapmis biriside olabilir. Bu en iyi niyetli dusunce.
Bence en azindan, port adreslerinin hep ayni kalip kalmadigina bakin. Eger hep ayni kaliyorsa trojan ihtimali cok cok buyuk. Bu arada bende ayni sekilde bir WinME clientten (Server RH6.2 + ipmasq) yaziyorum su an, ICQ2000b TR online, fakat boyle bir adrese baglanti yok.
Bence guvenlik, oncelikle her seyden suphe etmekle baslar, pozitif bilimler gibi..
Saygi ve sevgiler..
>
> Serdar KOYLU <skoylu@altavista.com> wrote:
> On Fri, 12 January 2001, Devrim Sipahi wrote:
>
> >
> > merhabalar
> > kicq kullanyyorum.
> > netstat -t komutu ile kurulu tcp baglantilarina bakiyorum.
> > sadece konustugum kisilerin ip leri gorunuyor.
> >
> > win98 ile icq kullandigimda netstat ile bakiyorum
> > fazladan bir ip daha gozukuyor:64.12.25.218 (son sayy degisiyor)
> > Bu normal bir sey mi
> >
>
> 64.12.25.218 ? Bu adres bilinen bir adres degil, yani bir domain adi yok.
> ACA-IT Object Solutions - HOLLANDA'ya ait bir IP blogu (Netmask
> 255.255.255.0). Burasida buyuk ihtimalle (%99.999) ISP veya Hosting sirketi
> gibi birsey. Bu durumda bir trojan hadisesi yasiyor olmaniz buyuk bir ihtimal.
> Bence bunu kullanan programi ortaya cikarip en kisa zamanda
> etkisizlestirmelisiniz. Eger kullanilan portu belirtebilirseniz iyi bilinen
> Trojanlardan biri olup olmadigini belirleyebiliriz, eger bilinmeyen bir
> trojansa bunun icin gerekli onlemleri alabiliriz. Yaniliyorda olabiliriz ama
> bu ihtimal cok dusuk. Bir diger ihtimal ICQ veya baska bir programdaki
> BackDoor. Guvenlik uygulamalari isteyen arkadaslara bu tur bilgiler hayati
> onem arzediyor.
>
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/