Оповещение о сканировании портов

[AlexAgn]

Приветствую!

Друзья, подскажите(гуглил, не нашел): есть ли для Линукса визуальная система оповещения о сканировании портов? Ну вот, как для Винды, к примеру(тот же "Комодо", "Оутпост") - как только кто0то сканить начинает, сразу показывается окошко, где написано, что с такого-то адреса замечено сканирование портов. Есть ли что такое для Ubuntu? Могу, конечно, на Java программку написать, которая будет парсить логи и представлять мне их данные, но, может, есть что-то уже готовое и испытанное?

Спасибо

[sergey8888]

Только не понятно зачем вам это нужно, то что Комодо и Оутпост сообщяет о сканировании портов ничем вам не помогает и не мешает на это можно не обращать внимания, ведь это не попытка взлома вообще сканирование портов как попытка взлома не существует, скорее всего это общение установленных у вас прог отправка собранных данных и поверка обновлений ну в общем общение программ с серверами)))

[AlexAgn]

Только не понятно зачем вам это нужно, то что Комодо и Оутпост сообщяет о сканировании портов ничем вам не помогает и не мешает на это можно не обращать внимания, ведь это не попытка взлома вообще сканирование портов как попытка взлома не существует, скорее всего это общение установленных у вас прог отправка собранных данных и поверка обновлений ну в общем общение программ с серверами)))

И да, и нет... Взломать по порту, если какие-то защитные меры не предпринимались, можно и это не очень и сложно, т.к. на каком-то порту "висит" служба. Для этой службы можно найти сплойты(или, если есть знания, самому софтинку написать(или скомпилить(исходники сплойтов в инете есть(типа, на такой - то порт можно послать такое-то и т.д.))))

Вот и спрашиваю. Уже раз с таким столкнулся:(((

[sergey8888]

Все это исключительно в теории, реально я за 15 лет пользования компьютером не разу не сталкивался с реальным взломом и удаленным проникновением, все случаи которые мне попадались были исключительно страхами пользователей основанных на том что продукт по защите показывал сканирование портов, кстати первым параноиком в этом плане является Нортон, он еще с начала 2000 годов любил информировать пользователей о данном малозначащем факте, помню как сам еще когда был начинающим пользователем вздрагивал когда мне по пару раз в день нортон выдавал информацию о сканировании портов)))

[AlexAgn]

Все это исключительно в теории, реально я за 15 лет пользования компьютером не разу не сталкивался с реальным взломом и удаленным проникновением, все случаи которые мне попадались были исключительно страхами пользователей основанных на том что продукт по защите показывал сканирование портов, кстати первым параноиком в этом плане является Нортон, он еще с начала 2000 годов любил информировать пользователей о данном малозначащем факте, помню как сам еще когда был начинающим пользователем вздрагивал когда мне по пару раз в день нортон выдавал информацию о сканировании портов)))

А мне на комп залезли, удалили папку с файлами(исходники прог и psd Фотошопа по фрилансу, которые я сдал). Пароли от почты и аккаунтов от некоторых сайтов украли, предварительно для прикола несколько раз перезагрузив мой комп:-)(перед этим Комодо оповещал, что по 135 порту идет соединение с таким-то айпишником. Соединение отменял, но траф все равно шел(айпишники моей страны)). Вариант трояна отпадает: в игрушки я не играю. Уже 2 год пользуюсь одним и тем же ПО для разработки, другого не ставлю вообще. В инете захожу только на одни и те же сайты, где вирусов быть не может. До этого параноидально настраивал Винду: через реестр позакрывал порты 135-140, 445 и т.д. В "Сетях" поудалял ненужные компоненты, отключил NTLM-трафик, запретил сетевой вход, нулевую сессию. как оказалось, 135 порт закрыть практически не реально и обезопасить себя установкой обновлений с сайта "Майкрософт" тоже не поможет.

[Protopopulus]

А мне на комп залезли, удалили папку с файлами(исходники прог и psd Фотошопа по фрилансу, которые я сдал).

ну так сам на винде шару открытую оставил. Это не взлом, а прямое подключение к открытому ресурсу. А так, Firestarter, вроде бы, умеет предупреждать.

[AlexAgn]

А мне на комп залезли, удалили папку с файлами(исходники прог и psd Фотошопа по фрилансу, которые я сдал).

ну так сам на винде шару открытую оставил. Это не взлом, а прямое подключение к открытому ресурсу. А так, Firestarter, вроде бы, умеет предупреждать.

Где "шара"? Отрубил службы "Сервер", "Рабочая станция", "Общие ресурсы Windows media player", вырубил через реестр 445 порт(SMB), вырубил Нетбиос через реестр, через настройки "Сети", через "Диспетчер устройств"(драйвер остановил). Правила добавил в файерволл и брандмауэр, вырубил браузер компьютеров, вторичный вход в систему. Что еще надо было сделать:-)))))?
Пользователь решил продолжить мысль [time]04 Февраль 2015, 15:31:36[/time]:Вот кто, что считает? Что еще нужно было сделать, чтобы не смогли залезть?:-) Помимо того, что сам знал, еще и нагуглил несколько советов - все сделал, результат - перехожу на Ubuntu

[sergey8888]

Вариант трояна отпадает: в игрушки я не играю. Уже 2 год пользуюсь одним и тем же ПО для разработки, другого не ставлю вообще. В инете захожу только на одни и те же сайты, где вирусов быть не может. До этого параноидально настраивал Винду: через реестр позакрывал порты 135-140, 445 и т.д. В "Сетях" поудалял ненужные компоненты, отключил NTLM-трафик, запретил сетевой вход, нулевую сессию. как оказалось, 135 порт закрыть практически не реально и обезопасить себя установкой обновлений с сайта "Майкрософт" тоже не поможет.

Может все же троян, взломали один из сайтов которыми вы пользуетесь и установили скрипт на интернет странице или нажали на ссылку которую вам прислал старый друг и заразили систему?
Ну просто что то не вериться, что кто то смог не с того не с сего удаленно проникнуть к вам 

[AlexAgn]

Вариант трояна отпадает: в игрушки я не играю. Уже 2 год пользуюсь одним и тем же ПО для разработки, другого не ставлю вообще. В инете захожу только на одни и те же сайты, где вирусов быть не может. До этого параноидально настраивал Винду: через реестр позакрывал порты 135-140, 445 и т.д. В "Сетях" поудалял ненужные компоненты, отключил NTLM-трафик, запретил сетевой вход, нулевую сессию. как оказалось, 135 порт закрыть практически не реально и обезопасить себя установкой обновлений с сайта "Майкрософт" тоже не поможет.

Может все же троян, взломали один из сайтов которыми вы пользуетесь и установили скрипт на интернет странице или нажали на ссылку которую вам прислал старый друг и заразили систему?
Ну просто что то не вериться, что кто то смог не с того не с сего удаленно проникнуть к вам 

:-) Троян - врядли) У меня на компе стояло такое: Comodo ISP(включен был HIPS в "Параноидальном режиме"), Online Armor(настроил его и Комодо, чтобы не ругались), Super Anti Spyware, WinPatrol и еще какая-то фигня. Дело в том, что, если какой-то непонятный файл что-то пытался сделать, сразу реагировал "Комодо" и ВинПатруль(hips следила за всей активностью системы). Для примера на банальное cmd -> ipconfig, у меня Комодо запрашивал разрешение на ipconfig.
При установке чего-то или обновлении, срабатывали ОнлайнАрмор, Комодо и Винпатруль

[Sly_tom_cat]

Винду ИМХО как не защищай - она все равно дырявой будет.

А в Линукс - не открывайте портов и будет вам счастье.

Для рабочей машины открытые на слушаньне внешнего адреса порты не нужны.

Если сервер - то там все службы, которые держат открытые порты должны быть своевременно (т.е. постоянно) обновляемыми. Да и за логами все равно следить надо и за новостями из сферы безопасности.

[sergey8888]

:-) Троян - врядли) У меня на компе стояло такое: Comodo ISP(включен был HIPS в "Параноидальном режиме"), Online Armor(настроил его и Комодо, чтобы не ругались), Super Anti Spyware, WinPatrol и еще какая-то фигня. Дело в том, что, если какой-то непонятный файл что-то пытался сделать, сразу реагировал "Комодо" и ВинПатруль(hips следила за всей активностью системы). Для примера на банальное cmd -> ipconfig, у меня Комодо запрашивал разрешение на ipconfig.
При установке чего-то или обновлении, срабатывали ОнлайнАрмор, Комодо и Винпатруль

В принципе зловред мог обойти и Комод и Армор, конечно ХИПС в обоих продуктах на высоком уровне, но зато антивирусный движок у комода среднего уровня, а у Армора его вообще нет так как это фаервол и в теории эту защиту можно обойти. Если бы я устанавливал на винду защиту установил бы Комодо фаервол + Авира антивирус, это было бы надежнее чем ваша связка, ну а Super Anti Spyware, WinPatrol это уже лишнее, уж очень специализированные продукты заточенные под определенное действие 
Кстати такое количество однотипных продуктов просто могли мешать друг другу работать вы этого не видели но это не значит что такого не было
Пользователь решил продолжить мысль 04 Февраля 2015, 17:54:01:

Винду ИМХО как не защищай - она все равно дырявой будет.

В принципе да, но в частности можно так организовать защиту, что не один зловред не проникнет и вариантов на самом деле не мало, я не один год занимался информационной безопасностью(исключительно на Windows) и кое что все же усвоил в данном вопросе 

[AlexAgn]

:-) Троян - врядли) У меня на компе стояло такое: Comodo ISP(включен был HIPS в "Параноидальном режиме"), Online Armor(настроил его и Комодо, чтобы не ругались), Super Anti Spyware, WinPatrol и еще какая-то фигня. Дело в том, что, если какой-то непонятный файл что-то пытался сделать, сразу реагировал "Комодо" и ВинПатруль(hips следила за всей активностью системы). Для примера на банальное cmd -> ipconfig, у меня Комодо запрашивал разрешение на ipconfig.
При установке чего-то или обновлении, срабатывали ОнлайнАрмор, Комодо и Винпатруль

В принципе зловред мог обойти и Комод и Армор, конечно ХИПС в обоих продуктах на высоком уровне, но зато антивирусный движок у комода среднего уровня, а у Армора его вообще нет так как это фаервол и в теории эту защиту можно обойти. Если бы я устанавливал на винду защиту установил бы Комодо фаервол + Авира антивирус, это было бы надежнее чем ваша связка, ну а Super Anti Spyware, WinPatrol это уже лишнее, уж очень специализированные продукты заточенные под определенное действие 
Кстати такое количество однотипных продуктов просто могли мешать друг другу работать вы этого не видели но это не значит что такого не было
Пользователь решил продолжить мысль [time]04 Февраль 2015, 18:54:01[/time]:

Винду ИМХО как не защищай - она все равно дырявой будет.

В принципе да, но в частности можно так организовать защиту, что не один зловред не проникнет и вариантов на самом деле не мало, я не один год занимался информационной безопасностью(исключительно на Windows) и кое что все же усвоил в данном вопросе 

Спасибо. Все продукты я "подружил" между собой(даже перепроверял их работу).
Подскажите тогда, пожалуйста. То, что я делал, я уже описал. Что бы Вы могли посоветовать? Спасибо

[sergey8888]

То что касается линукс, то тут все просто, как я уже не раз писал, надстройки по безопасности на браузер, плюс фаервол, тот же Gufw, его настраивать очень просто и он вполне надежно закрывает все порты, вот собственно и вся защита системы, этого более чем хватит, никакое сканирование портов не страшно)))
А если вы спрашивали о винде, то тогда тема обширная, для винды есть огромное количество способов защиты, известные как антивирус, фаервол или сидение под учеткой обычного пользователя и менее известные типа Software Restriction Policies и AppLocker)

[AlexAgn]

То что касается линукс, то тут все просто, как я уже не раз писал, надстройки по безопасности на браузер, плюс фаервол, тот же Gufw, его настраивать очень просто и он вполне надежно закрывает все порты, вот собственно и вся защита системы, этого более чем хватит, никакое сканирование портов не страшно)))
А если вы спрашивали о винде, то тогда тема обширная, для винды есть огромное количество способов защиты, известные как антивирус, фаервол или сидение под учеткой обычного пользователя и менее известные типа Software Restriction Policies и AppLocker)

А сможете ли меня проконсультировать еще в таком вопросе: вчера зашел в "Настройки" "Ubuntu". Там выбрал "Пользователи" - отобразился список со всеми учетками. выбрал мою учетку(под которой и сидел(учетка админская)) и обнаружил такое: "сеанс открыт 12:30. Сеанс закрыт 12:32. Сеанс открыт 14:00. Сеанс закрыт 14:04". Что это такое? Не подскажете? Может, это из-за установки программ? Т.е. я в терминале набрал "sudo ...", ввел пароль и в журнал это записалось, как начало сеанса? Или удаленное какое-то подключение? Спасибо

[sergey8888]

А сможете ли меня проконсультировать еще в таком вопросе: вчера зашел в "Настройки" "Ubuntu". Там выбрал "Пользователи" - отобразился список со всеми учетками. выбрал мою учетку(под которой и сидел(учетка админская)) и обнаружил такое: "сеанс открыт 12:30. Сеанс закрыт 12:32. Сеанс открыт 14:00. Сеанс закрыт 14:04". Что это такое? Не подскажете? Может, это из-за установки программ? Т.е. я в терминале набрал "sudo ...", ввел пароль и в журнал это записалось, как начало сеанса? Или удаленное какое-то подключение? Спасибо

Даже не знаю, никогда за подобным не следил, но по идее при установке программ не должно быть открытие и закрытие сеанса, такое должно быть только при переключении с одной учетки на другую 
Но это мои догадки, реально я не знаю