Klub MazdaSpeed

mazdaspeed.pl/forum
http://www.mazdaspeed.pl/forum/

PolChat – Zagrożenie?

http://www.mazdaspeed.pl/forum/viewtopic.php?f=96&t=19821

Strona 1 z 1

PolChat – Zagrożenie?

PostNapisane: 13 mar 2006, 19:06
przez GofNet
Witam

Ostatnio zwróciłem uwagę na fakt, iż często podczas wczytywania FORUM nie ładuje się PolChat (ilość osób na czacie) a strona FORUM nadal się wczytuje (w linii łączenia: www.polchat.pl).

Z ciekawości zerknąłem w ogniste oprogramowanie – czyli zapory, antywirusy i blokady i po analizie logów spostrzegłem, iż właśnie podczas powyższej operacji do komputera próbuje się z zewnątrz dostać coś/ktoś z IP 64.34.174.225 z opisem akcji/rangi: ServerBeach Emule servers and kazaa fakes. Do połączenia nie doszło/dochodzi, bo bardzo dobry, bezpłatny program PeerGuardian 2 na to nie pozwala (Blocked), ale to daje dużo do myślenia. Przecież to nie ja się łączę, tylko coś/ktoś ze mną chce się połączyć. A co może się z poziomu FORUM łączyć i po co? Sami zadajcie sobie to pytanie... NIC. A jednak... Jakiś robot zapewne zbiera sobie sukcesywnie informacje o Nas (zabezpieczenia, dane, itp.).

IP należy do:
http://www.whois.sc napisał(a):[url=http://www.whois.sc/64.34.174.225]64.34.174.225

Blacklist Status: Clear
Cached Whois: Cached today
Whois History: 3 records stored
Oldest: 2006-01-11
Newest: 2006-03-13
Record Type: IP Address
IP Location: United States – California – Los Angeles – Serverbeach
Reverse IP: No websites hosted using this IP address
Reverse DNS: polchat.pl

Peer 1 Network Inc. PEER1-BLK-08 (NET-64-34-0-0-1)
64.34.0.0 – 64.34.255.255
ServerBeach PEER1-SERVERBEACH-02 (NET-64-34-160-0-1)
64.34.160.0 – 64.34.191.255[/url]
www.dslreports.com/ip napisał(a):[url=http://www.dslreports.com/whois/64.34.174.225]Peer 1 Network Inc. PEER1-BLK-08 (NET-64-34-0-0-1)
64.34.0.0 – 64.34.255.255
ServerBeach PEER1-SERVERBEACH-02 (NET-64-34-160-0-1)
64.34.160.0 – 64.34.191.255

# ARIN WHOIS database, last updated 2006-03-12 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
--> fwhois "!NET-64-34-160-0-1@whois.arin.net"
[whois.arin.net]

OrgName: ServerBeach
OrgID: SERVER-17
Address: 5150 Broadway #620
Address: X
City: San Antonio
StateProv: TX
PostalCode: 78209
Country: US

NetRange: 64.34.160.0 – 64.34.191.255
CIDR: 64.34.160.0/19
NetName: PEER1-SERVERBEACH-02
NetHandle: NET-64-34-160-0-1
Parent: NET-64-34-0-0-1
NetType: Reallocated
Comment:
RegDate: 2005-02-03
Updated: 2005-02-03

RTechHandle: HOSTM325-ARIN
RTechName: Hostmaster
RTechPhone: +1-210-225-4725
RTechEmail: hostmaster@serverbeach.com[/url]

[url=http://www.dslreports.com/whois/64.34.174.225]OrgTechHandle: ZZ4092-ARIN
OrgTechName: ipadmin
OrgTechPhone: +1-210-225-4725
OrgTechEmail: ipadmin@serverbeach.com[/url]
Może nie są to jakieś niebezpieczne połączenia, ale są. A chyba nikt z Nas tego nie lubi, aby coś/ktoś naruszało Naszą prywatność...

Pozdrawiam
..::GofNet::..

PS. Ogólnie najczęściej występującą w logach pozycją jest Net Access Corporation z IP 209.123.109.176 lub 209.123.109.177 (linki bezpieczne – można kliknąć), ale ich nazwa chyba sama za siebie mówi – Blocked.

PostNapisane: 13 mar 2006, 19:29
przez Paweł
GofNet, imho wszystko jest w porzadku. Najprawdopodobniej twoje oprogramowanie jest przewrazliwione w kwestii pewnej puli IP lub organizacji, do ktorej nalezy serwer wykorzystywany przez Polczat.

Prawda jest, ze czasami polaczenie z tym serwerem jest utrudnione i wtedy przegladarka oczekuje na dane (jest w trybie pobierania danych), co robi niezaleznie od contentu pobranego z serwera klubowego. Jednak moze byc tez tak, ze to wlasnie twoj f/w blokuje ruch z danym IP.

Mysle, ze twoje podejrzenia mozna przeanalizowac dopiero po ujawnieniu fragmentow logow, gdzie jak piszesz nastepuje proba "dostania sie z zewnatrz do twojego komputera" – podejrzewam, ze sa to zwykle odpowiedzi serwera polczatu.

Pozdrawiam.

PostNapisane: 13 mar 2006, 19:37
przez GofNet
tco_tm napisał(a):
GofNet napisał(a):dostania sie z zewnatrz do twojego komputera
Jako sprostowanie drobne mogę dopisać, że to My się z tym adresem łączymy, a nie on z Nami, zaś w/w IP jest na liście adresów uważanych za niebezpieczne.

Właściwie od dawna ten problem "niedoczytywania" strony na FORUM występuje i żadnej tragedii nie ma, ale jak widać ów PolChat jest dosyć przeciążony.

FireWall'e oraz AntyVirus'y zagrożenie nie wykrywają. PeerGuardian 2 jest bardzo dobrym programem. Niejednokrotnie blokował próby dostania się (nie wiedzieć czemu) KRP do mojego PC – Filmów ani innych terenciaków nie ciągnę/usodtępniam <jelen> a ciekawość, to pierwszy stopień do piekła :P

Pozdrawiam
..::GofNet::..

PostNapisane: 13 mar 2006, 19:55
przez Paweł
GofNet napisał(a):Jako sprostowanie drobne mogę dopisać, że to My się z tym adresem łączymy, a nie on z Nami, zaś w/w IP jest na liście adresów uważanych za niebezpieczne.


GofNet napisał(a):64.34.174.225
[...]
Reverse DNS: polchat.pl

Pod tym IP znajduje sie serwer, z ktorym laczy sie przegladarka z otwarta strona klubowa lub forum, aby zwrotnie otrzymac liczbe osob na czacie. Mowiac inaczej 64.34.174.225 == polchat.pl. Otworz konsole i wpisz:
Kod: Zaznacz cały
ping polchat.pl
.

PostNapisane: 13 mar 2006, 19:59
przez bajer0
GofNet napisał(a):Jako sprostowanie drobne mogę dopisać, że to My się z tym adresem łączymy, a nie on z Nami, zaś w/w IP jest na liście adresów uważanych za niebezpieczne.

jest jakas lista niebezpiecznych adresow ?? tego jeszcze nie slyszalem ;p

PostNapisane: 13 mar 2006, 20:04
przez Paweł
bajer0 napisał(a):jest jakas lista niebezpiecznych adresow tego jeszcze nie slyszalem

Owszem i niestety. Ludzie lubia tworzyc takie rzeczy. :|

Najciekawszym tego przypadkiem, jest ostatnia "wpadka" TPSA, ktora wykupila pule adresow IP, ktora to pula znajdowala sie na takiej liscie (na wszelki wypadek dodam, ze nie wykosztowali sie przy tym, bo nikt inny nie chcial tego kupic). Poskutkowalo to mocno ograniczonym "Internetem" dla nowych klientow tej szacownej firmy. <lol>

Zreszta praktycznie tym samym sa od dawna znane "blacklisty" spamerow...

PostNapisane: 13 mar 2006, 20:08
przez bajer0
hehehe no to mamy kolejny przyklad NIEBEZPIECZNEGO adresu IP :]

polaczenie zwrotne z iloscia osob na chacie.... az strach sie bac :)
GofNet nie masz sie czym martwic :)

PostNapisane: 13 mar 2006, 20:18
przez GofNet
tco_tm napisał(a):Poskutkowalo to mocno ograniczonym "Internetem" dla nowych klientow tej szacownej firmy.
Dokładnie. Chodziło oczywiście o NeoStradę.
jest jakas lista niebezpiecznych adresow
Tak. Zazwyczaj jest tworzona i sukcesywnie uzupełniana przez producenta oprogramowania zaporowego. Wystarczy wejść na stroną www.astalavista.com i przy włączonym FireWall'u poszukać jakiegoś seriala/crack'a. Skończy się to blokada strony, co jest zrozumiałe ze względu na czyhającą tam ilość wirusów. Podobnie zareagują programy antywirusowe.

Do dziś śmieję się z tego, jak miałem legalną wersję programu Norton Internet Security z aktualnymi bazami i jego FireWall nie chciał mnie wpuścić na strone Totalizatora Sportowego www.lotto.pl informując o zagrożeniu hahaha.

Pozdrawiam
..::GofNet::..
Strefa czasowa: UTC + 2 [ DST ]
Strona 1 z 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/