Här bloggar Jonas Morian om politik, medier och samhällsfrågor. Publicering på bloggen sker med journalistiskt ändamål i enlighet med Tekniskt nödrop
| Rimligtvis finns bland min bloggs läsekrets en hel del människor som är mer tekniskt begåvade än jag. Till dessa ställer jag nu denna förfrågan: I går fick jag mejl från en person som vi kan låta vara anonym om att varje gång han laddar hem min blogg så får han ett meddelande från sin brandvägg/antivirusprogram att ”Ett intrångsförsök ’Portscan’ har blockerats”. Jag svarade ärligt att jag inte hade någon aning om vad detta var, och definitivt inte var något jag medvetet lagt in. Till svar fick jag då att ”Portscan betyder att datorn har utifrån varit utsatt för undersökning, scanning via internet, om det finns någon öppen port (=öppen väg in i operativsystemet) som kan användas av undersökaren”. Dessutom fick jag veta att de som sysslar med sådant ”är hackers, kriminella inkl. s.k. fildelare, marknadsförare av olika sorter och tydligen också journalister”. Jag kallar mig för det första inte journalist, men det kan vi lämna därhän. Mer väsentligt är att jag inte är speciellt tekniskt kunnig, inte ägnar mig åt fildelning och inte har något intresse av att scanna mina bloggbesökare. Jag har dock installerat ett kostnadsfritt besöksstatiskprogram som jag i min enfald trode endast höll koll på IP-adresser – inte personuppgifter. Mitt ärliga uppsåt har inte varit något annat än att skaffa mig någorlunda koll på ungefär hur många besökare min blogg har och vilka som länkar till mig. Om någon känner sig kränkt av detta så ber jag ödmjukast om ursäkt. Andra skriver intressant om teknik, metabloggande, besöksstatstik. |
skrivet av Jonas Morian om 08:04
Kommentarer om "Tekniskt nödrop"
-
Anonym skrev... (02 mars, 2007 09:48) :
-
Jonas Morian skrev... (02 mars, 2007 09:57) :
-
Johan Ingerö skrev... (02 mars, 2007 14:52) :
-
Anonym skrev... (02 mars, 2007 21:49) :
-
Anonym skrev... (05 mars, 2007 10:11) :
kommenteraFörhoppningsvis fylls kommentarfältet på av mer kunniga människor än jag, men jag kan väl ge ett första svar:
Det behöver inte vara någon port-scanning alls som pågår. Det händer att brandväggar (även erkänt bra sådana) tolkar connection attempts från vissa siter (t.ex. statistikprogrammet kanske?) som portscanning, trots att det inte är det.
Be att personen som mailade dig ger dig den information om det registrerade portscanningsförsöket som brandväggen lagrat. Det bör t.ex. innehålla tidpunk och IP-adress. På så sätt kan du reda ut vad som orsakat det hela.
Det är naturligtvis fullt möjligt att det är någon skurk som ligger bakom det hela på något sätt, men min spontana gissning är att det är brandväggen som överreagerat. Jag är nästan beredd att satsa pengar på att om jag gräver igenom mina loggar kommer jag att hitta "portscanningsförsök" från en rad legitima siter.
Tack för tipset! Personen i fråga har dock reagerat mycket kraftigt på "mina" portscanningsförsök, eller vad det nu är, och undanbett sig all vidare kontakt från mig. Så kan det gå.
Tänkre inte ge några tekniska råd, men ett hett tips är att skaffa en räknare från susnet.se istället. Den är pålitlig, skiljer på sidladdningar och unika träffar och begår inga brott mot några som helst lagar eller sociala koder.
Som tidigare har nämnts så är det med all sannolikhet inte något mysko med din blogg, utan problemet är troligen antingen att din besöksräknare är lite speciell av sig och försöker skicka en signal till de som går in på din blogg eller så är det den användarens brandvägg som är paranoid.
Rent allmänt så anser jag att förklaringstexterna på brandväggar "för vanligt folk" är katastrofala eftersom de oftast mer syftar till att skapa oro kring det fenomen de noterar än att faktiskt informera. De allra flesta paket (även på "fel portar") som skickas från en sida eller adress du faktiskt besöker aktivt är helt harmlösa, och det brandväggarna främst bör skydda mot är uppkopplingsförsök (eller portscanförsök) från adresser du inte själv har skickat något till.
Jag skulle inte tro att det är något att bry sig om. Personen i fråga har med största sannolikhet gjort ett klassiskt misstag för den som inte förstår teknik: att lita för mycket på vad förenklade verktyg och förklaringar samt semi-kunnigt folk säger åt dem.
Som redan nämnts i tråden är det antagligen en överkänslig brandvägg. Det vore intressant att veta vilken brandvägg, eftersom man då kan installera den och testa vad som händer.
Jag gick igenom loggen i Sygates brandvägg (som jag själv använder) och det som skulle kunna se ut som en portscanning är en förfrågan som går ut i samband med att flickr kontaktas. Eftersom det inte är samma IP som man kopplar upp emot (dvs din blogg) så skulle det kunna tolkas som en portscanning.
Det ser dock ut som en ganska harmlös förfrågan:
2007-03-05 09:52:19
Allowed
10
Incoming
UDP
mygateway1.ar7
[...]
C:\WINDOWS\system32\DRIVERS\ndisuio.sys [...]
Normal
1
2007-03-05 09:51:58
2007-03-05 09:51:58
Ask all running apps
(Där värdena är time, action, severity, direction, protocol, remote host, [...] application name, [...] security, occurances, begin time, end time, rule name)
Adressen mygateway1.ar7 som listas är min gateway, dvs första adressen som anropas när ett paket skickas någonstans (i det här fallet flickr)
Det behöver givetvis inte vara flickr som är "boven" i detta fall, utan kan även vara kopplingen till technorati, eller en förfrågan från e0.extreme-dm.com (som jag inte vet vad det är, men den dyker upp när man ansluter till din blogg)
Likaledes har du en koppling till web1.webtajm.com, men ingen av dessa genererar en signal tillbaks (dvs att någonting listas som incoming)
Jag vet inte om det hjälpte så mycket, särskilt som det är ett område som jag inte är expert på. Värt att notera är dock att jag kört ett antal olika brandväggar och ingen av dem har flaggat din site.