Jump to content
asf

Пакеты на порт 60171 из KASPERSKY-RTCOMM

Recommended Posts

Последние несколько дней в логах Outpost обнаруживаются заблокированные пакеты с адреса 81.176.69.85, который, по данным whois, относится к KASPERSKY-RTCOMM (Kaspersky Labs). Пакеты идут с порта 80 ко мне на порты 60171 и 59939 с интервалом около 2-х минут. Что бы это могло быть? Какими проблемами чревато их блокирование?

 

На машине, кроме Outpost 2009, стоит еще и KAV 2009.

Спасибо.

Edited by asf

Share this post


Link to post

В KAV 2009 участие в Kaspersky Security Network включено?

Share this post


Link to post
В KAV 2009 участие в Kaspersky Security Network включено?

Если это "настройка/обратнаясвязь/я согласен участвовать в Kaspersky Security Network" - то нет, не включено.

Share this post


Link to post

Ну вот это и ответ на ваш вопрос

Что бы это могло быть?

 

Share this post


Link to post
Ну вот это и ответ на ваш вопрос

А оно что, так и ломится ко всем, кто его НЕ включил? А как оно узнаёт, что ломиться надо именно ко мне, т.е. мой IP?

Share this post


Link to post
А оно что, так и ломится ко всем, кто его НЕ включил? А как оно узнаёт, что ломиться надо именно ко мне, т.е. мой IP?

esli razobratsa,to nedolzno lomitsa,t.k. otkliu4ena funkcija.no vidat kasperskomu po odnomu mestu na eto,glavnoje infu polu4it liubym sposobom.

Share this post


Link to post
Administrator>nslookup forum.kaspersky.com
Non-authoritative answer:
Name:    forum.kaspersky-labs.com
Address:  81.176.69.85
Aliases:  forum.kaspersky.com

Share this post


Link to post
Address: 81.176.69.85

Aliases: forum.kaspersky.com

Да, это я уже тоже увидел. Но это не снимает вопроса. Нафига оно ко мне ломится? Я его не приглашал. Функция отключена. Откуда у этого сервера мой IP? В какой момент этот IP был передан, потому что я блокировал Outpostom всю активность KAV за исключением исходящих на 80 за

обновлениями на EE-KASPERSKY-HOUSING:

 

212.47.219.80 - 212.47.219.95

195.222.17.32 - 195.222.17.63

 

Сколько времени оно будет еще ломиться на этот IP. Как быть в больших сетях за натом, где засветить может любой юзер. И главное, что надо заблокировать, чтобы засветка не происходила?

Если кто знает, поделитесь плз. секретом. :)

Share this post


Link to post

Пакеты с forum.kaspersky.com:80 - это ВЫ ДАННЫЙ ФОРУМ ЧИТАЕТЕ. А Веб-антивирус проверяет трафик вашего браузера, поэтому Outpost думает, что пакеты предназначены KAV.

Share this post


Link to post
Пакеты с forum.kaspersky.com:80 - это ВЫ ДАННЫЙ ФОРУМ ЧИТАЕТЕ. А Веб-антивирус проверяет трафик вашего браузера, поэтому Outpost думает, что пакеты предназначены KAV.

Да не. Пакеты эти идут всегда. Форум тут совершенно не при чем. Когда я их заметил, я вообще сюда не ходил. Круглосуточно идут. Примерно так это выглядит в логе:

 

15:27:06 Блокировать IN TCP 81.176.69.85 80 мой_IP 60171 ACK Заблокировано

15:25:45 Блокировать IN TCP 81.176.69.85 80 мой_IP 59939 ACK Заблокировано

 

Кроме того, эти соединения Именно Входящие, а браузер таких не открывает, ну и потом они заблокированы, как бы браузер смог работать. Заметьте, это соединения не от меня на 80 порт, а с 80-го ко мне. Это какая-то не активность самого KAV (вернее Лаборатории). Кстати, порты 60171 и 59939 всегда одни и те же, даже если бы это работал браузер, они были бы случайными. Причем об этой активности KAV, похоже, знающие не очень хотят рассказывать. Ну да ладно, будет одной тайной больше... :)

 

Share this post


Link to post

Ну и идут пакеты-Вы их(файер Агнтитума) блокируете. И ведь никаких неприятностей не наблюдается?

Вот скажите пожалуйста,а на порт 1025-1026 пакеты по протоколу ТСP/UDP c удаленных мест поступают(и блокируются?)

И еще-порт номер 0-на него какая-то деятельность оказывается?

 

Share this post


Link to post
Ну и идут пакеты-Вы их(файер Агнтитума) блокируете. И ведь никаких неприятностей не наблюдается?

Неприятности могут быть потом. :)

Я ведь хотел узнать не только про эти пакеты, но также (а теперь и прежде всего) про засветку моего IP. Потому что понятно, что если такие пакеты идут, то значит существует механизм, который рассказывает серверу, что вот есть такой клиент. Понаблюдав за логами, увидел следующее. Сразу после запуска KAV/KIS отсылают несколько UDP пакетов на четыре адреса, например так:

 

AVP.EXE OUT UDP 91.103.67.144:7022

AVP.EXE OUT UDP 195.222.17.38:7024

AVP.EXE OUT UDP 69.80.234.203:7024

AVP.EXE OUT UDP 195.222.17.35:7024

 

Адреса эти могут меняться, но они всегда частично из IP-диапазонов ЛК:

EE-KASPERSKY-HOUSING: 195.222.17.32 - 195.222.17.63, 212.47.219.80 - 212.47.219.95;

KL-NET: 91.103.64.0 - 91.103.67.255.

Или это какой-нибудь публичный хостинг:

69.80.224.0 - 69.80.255.255 - ALPHARED (американский хостинг)

85.12.0.0 - 85.12.63.255 - NL-EUROACCESS-20050304 (голландский хостинг)

Это - то, что успел заметить, могут быть и другие.

 

Т.е сразу после запуска оба продукта ЛК отсылают о нас некую информацию, после чего, там фиксируется наш IP и к нам начинают приходить вышеозначенные пакеты. Такой вид засветки делает бессмыссленным анонимизацию трафика через прокси, возможно, что и Tor здесь ничего не сможет поделать. А какого рода неприятности из этого могут проистечь, каждый может определить сам, исходя из специфики своего бизнеса.

 

Я очень рад, что поставил себе Outpost, иначе я ничего бы этого не узнал, но до этого я год использовал KIS, который все это время отсылал куда-то все эти данные (о чем я был в полном неведении). Например, теперь где-то имеется статистика моих перемещений. Никаких неприятностей действительно не наблюдается, пока... :)

Edited by asf

Share this post


Link to post

Несколько часов назад (~4) деинслаллировал KAV, пакеты продолжают поступать!!!

Более того их стало больше и они теперь идут на более широкий диапазон портов. Примерно так:

 

16:37:46 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50607 ACK Заблокировано Детектором атак

16:37:41 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50606 ACK Заблокировано Детектором атак

16:37:41 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50601 ACK Заблокировано Детектором атак

16:37:41 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50607 ACK Заблокировано Детектором атак

16:37:41 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50601 ACK Заблокировано Детектором атак

16:37:41 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50606 ACK Заблокировано Детектором атак

16:37:36 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50601 ACK Заблокировано Детектором атак

16:37:36 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50606 ACK Заблокировано Детектором атак

16:37:36 Блокировать IN TCP 81.176.69.85 80 Мой_IP 50607 ACK Заблокировано Детектором атак

16:34:13 Блокировать IN TCP 81.176.69.85 80 Мой_IP 60171 ACK Заблокировано Детектором атак

 

Такое поведение узла Outpost расценивает как атаку (сканирование портов) и блокирует его на 5 минут. Поэтому даже доступ в форуму для меня теперь проблема (адрес то тот же). :)

 

16:37:36 81.176.69.85 Узел заблокирован на 5 мин. SCAN

16:42:36 81.176.69.85 Атакующий разблокирован

16:57:52 81.176.69.85 Узел заблокирован на 5 мин. SCAN

17:02:52 81.176.69.85 Атакующий разблокирован

 

Конечно после не значит - вследствие, но как бы там ни было, а такое поведение Вашего хоста (81.176.69.85) считаю неприличным. Подскажите, как мне избавиться от его назойливого внимания?

Спасибо.

 

Share this post


Link to post

 

Особенно меня порадовала фраза "и после смены IP tor'ом да и вообще постоянно", так что форум тут не при чем. Форумы так не умеют. :) А вот про исходящие UDP вопрос никто не поднимал? Не подскажете?

Share this post


Link to post

К сожалению, не подскажу.

Да и про входящие с форума тоже.

Outposta нет и неохота ставить, мне и встроенного б/м стало хватать. С ним спокойней.:)

А продукты касперского уже побольше года как не рискую себе ставить.

На форум хожу по необходимости, что бы знать о проблемах.

А узнать чем закончится вся история - интересно.

Попробуйте с чистой системы, на которой каспера не стояло зайти на форум.

Share this post


Link to post
Несколько часов назад (~4) деинслаллировал KAV, пакеты продолжают поступать!!!...

Очень интересно, спасибо!

Share this post


Link to post
Последние несколько дней в логах Outpost обнаруживаются заблокированные пакеты с адреса 81.176.69.85, который, по данным whois, относится к KASPERSKY-RTCOMM (Kaspersky Labs). Пакеты идут с порта 80 ко мне на порты 60171 и 59939 с интервалом около 2-х минут. Что бы это могло быть? Какими проблемами чревато их блокирование?

Это ошибка эвристики детектора атак Outpost. Можете почитать это о схожей ситуации.

Фигурально выражаясь, пакеты вывалились из сетевой сессии Outpost'а(видимо, по тайм-ауту) и были приняты за отдельные входящие пакеты на машину.

Share this post


Link to post
Это ошибка эвристики детектора атак Outpost. Можете почитать это о схожей ситуации.

Фигурально выражаясь, пакеты вывалились из сетевой сессии Outpost'а(видимо, по тайм-ауту) и были приняты за отдельные входящие пакеты на машину.

Я тоже сначала так думал, но мистика в том, что по рассказам некоторых пользователей Outpost продолжает их регистрировать даже на следующее утро (когда заново включается комп, и они даже ещё не заходили сюда)... Это уже ОЧЕНЬ серьёзная ошибка детектора атак, если верить... Это кэш или что?

Я раньше не обратил внимание, но топик называется 'Replying to Пакеты на порт 60171 из KASPERSKY-RTCOMM' и я вдруг вспомнил, что прочитал характеристику служб рткома на spamtest.ru:

RTComm continues to refuse to disconnect some of the world's worst spammers and spam gangs. They also ignore requests sent to "abuse@rtcomm.ru" concerning spam and abuse issues.

Попытка на перевод:

RTComm продолжает отказываться разъединить некоторых из худших спаммеров и спаммерских бригад в мире. Они также игнорируют запросы, посланные в "abuse@rtcomm.ru" относительно спама, и проблем эксплуатации с нарушением установленных режимов.

Я знаю, что это звучит как нелепый вопрос, но не спаммеры ли в данном домене что-то там спуфят?

 

Paul

Edited by p2u

Share this post


Link to post
Я тоже сначала так думал, но мистика в том, что по рассказам некоторых пользователей Outpost продолжает их регистрировать даже на следующее утро (когда заново включается комп, и они даже ещё не заходили сюда)... Это уже ОЧЕНЬ серьёзная ошибка детектора атак, если верить... Это кэш или что?

Это бага детектора атак агнитума, как и было сказано hoho'й выше.

Смотрите. Представим, что юзеры говорят правду, т.е. по какой-то причине о их машине прознали злобные спамеры, и соотв-но, пытаются чем-то напакостить, залить что-то, одним словом, установить с машиной пользователя соединение по собств. воле.

И Outpost, эдакий Д'артаньян на белом коне, блокирует эти попытки. Но, если пользователи не имеют сетевого интерфейса с "реальным" IP-адресом, то попытки установить данное входящее соединение технически невозможны, не сроутятся такие пакеты во внутреннюю сеть к пользователю, не дойдут они до оутпоста.

Собсно, по этой самой причине, и был выдуман пассивный режим работы ftp-сервера, когда сервер сам открывает порт для DATA-соединения и ждет установления соединения от пользователя, а не пытается соединиться с собственного 20-го TCP-порта на некий известный рендомный порт клиента - активный режим(эта возможность улетучилась с разрастанием сети Internet, с появлением понятий подсетей и принятием/введением правил роутинга для них).

По опыту могу сказать, что не стоит верить всему, что говорят пользователи.

 

PS:

16:34:13 Блокировать IN TCP 81.176.69.85 80 Мой_IP 60171 ACK Заблокировано Детектором атак

Уважаемый, вы покажите хотя бы старший октет "Мой_IP", всё сразу станет ясно, баг это или действительно к вам кто-то просится.

 

Share this post


Link to post

Попахивает жаренным...надо бы установить Аутпост,и посмотреть,что там КИС творит,интересно,такое творится только в КАВ?

Share this post


Link to post
хххх (23:10:36 3/01/2009)

Опа

 

хххх (23:10:40 3/01/2009)

Это правда )

 

**** (23:11:03 3/01/2009)

Что именно?

 

хххх (23:14:21 3/01/2009)

Много трафика туда идёт

 

**** (23:14:51 3/01/2009)

У ТЕБЯ ТОЖЕ?

 

хххх (23:15:26 3/01/2009)

да

У этого человека нету Аутпост,просто совпадение?

Edited by Просто_Юзер

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.