троян?

← →
Ketmar (2003-08-12 08:04) [0]

странно. коннекчусь с нетом, через 50-60 секунд мне винды сообщают, что у них рухнул RPC-service, и щаз они ка-а-ак зашатдаунятся! и шатдаунятся. до этого идёт какой-то странный обмен с Сетью, хотя никто ничего не качает. всю ночь так. обидело это меня, поставил свой любимый Tiny Personal Firewall. выяснилось, что лезет какой-то диалапщик с прова на какой-то виндовый порт, после чего наблюдается бабах. странно. запретил -- вроде попустило.
вопрос: чего стОит внутренний файрвол хренового релиза?! очередной бесполезный код в бесполезной системе... ненавижу.

← →
Digitman (2003-08-12 08:59) [1]

будь любезен, опиши подробней ситуацию - какой порт и при каких условиях подвергается "атаке"

похоже, та же беда (нюк ?) вчера вечером постигла одну из моих знакомых, не слишком искушенную в комп.делах

привожу почти дословно :

Что значит непредвиденная остановка службы Удалённый вызов процедур (RPS) ????

У меня проблемы с виндой, хотелось бы поконсультироваться... В инет выхожу на 5 минут, и винда валится... Что такое NT AUTORITI\SISTEM????

← →
ZZ (2003-08-12 09:03) [2]

Пусть патч для RPC скачает и всего делов... Или еще вроде можно DCOM отрубить в dcomcnfg (настройки по умолчанию).

← →
Dehumanizer (2003-08-12 09:13) [3]

и еще сходи и почитай http://www.proantivirus.com/info/1/180_1.html

← →
Ketmar (2003-08-12 09:21) [4]

2Digitman:
ой, да забыл я нафиг порт. мне TPF что-то сказал, а я же спать хочу! вот и запретил нафиг все входящие как жидо-масонские происки.
есть подозрение, что это не нюк, а очередная "фича" хренового релиза.
а ситуация именно та. авторити всех мочит %-)
просплюсь -- попрбую врубить глюк взад (вырубить файрвол) и посмотреть. если сниффер найду у себя в завалах, конечно. интересно же %-)

2ZZ:
DCOM зачем-то нужен. зачем -- не помню (машина не моя). патч качать лень (он же огромный, наверняка %-).

2Dehumanizer:
ммать! точно, msblast наличествует. блин, ненавижу чужие тачки! у меня-то всегда стоял файрвол и рубал всех непрошенных гостей по голове топориком %-)
сенькс за ссылочку.

← →
app (2003-08-12 09:34) [5]

http://vil.nai.com/vil/content/v_100547.htm
Нафига открыт порт 135?

← →
Ketmar (2003-08-12 09:36) [6]

да. msblast. кажется, он не деструктивный, что приятно. цитата из кода: "billy gates why do you make this possible ? Stop making money and fix your software!!" %-)
подробное описание эксплойта есть, или надо дизасмом ковырять? в принципе, 11 кб -- не много, можно и отдизасмить, но лень %-)

← →
ZZ (2003-08-12 09:36) [7]

Ketmar
Ну насчет DCOM там помутить можно.. хотя я просто его прикрыл (делать нефига было :))
А патч меньше метра весит (даже меньше юзерско/провайдерского метра = 1000Kb :)

← →
Ketmar (2003-08-12 09:37) [8]

>app © (12.08.03 09:34) [5]
нафига машина не моя? мои обычно закрыты не хуже форта Нокс %-)

← →
Digitman (2003-08-12 09:39) [9]

> есть подозрение, что это не нюк

ну как же ? самый что ни на есть нюк, думаю ! коль червяк "прописался" на машинке и открыл порт для удал.управления, самое простое что может сделать любой неленивый "кулхацкер" (коль файрвол отсутствует или не исполнят должные ф-ции по блокировке) - послать удаленно систему в шатдаун

что , скорей всего, и наблюдается в оных случаях

← →
Ketmar (2003-08-12 09:39) [10]

>ZZ © (12.08.03 09:36) [7]
да фиг с ним, с патчем. порт уже закупорен %-)

2app:
окуда ж мне знать, что хреновый (т.е. от хренового релиза) встроенный файрфол защищает только баги и эксплойты от юзера, а не юзера от багов и эксплойтов? думал, что хоть такую простую вещь в некрософте уж могут правильно написать! ан фиг -- апшипси.
вот и не ругай после этого их...

← →
panov (2003-08-12 12:19) [11]

>Ketmar © (12.08.03 09:39) [10]

Я пользуюсь AtQuard. Пока не подводил.

← →
Ketmar (2003-08-12 12:21) [12]

а я Tiny Personal Firewall. но то я, а то хозяин тачки, на которой я щаз сижу...

← →
Digitman (2003-08-12 13:21) [13]

только что по СМИ прошла инфа, что атаке червя "blaster""а вчера-позавчера подверглись десятки тыс. компов (в 1-ю очередь - в США), качавших "обновы" с сайта Майкрософт ! Именно - те самые симптомы : шатдаун при входе в сеть..

о как !

← →
Ketmar (2003-08-12 13:27) [14]

ага. новенькая тварь. была... %-) таки да -- ко мне оно ночью приползло. где-то часа в 2 %-)

← →
Скорбящий (2003-08-12 14:32) [15]

ещё не плохая штуковина Ad-Aware6. Рэкомендую

← →
BizonWar (2003-08-12 14:34) [16]

http://www.rambler.ru/db/news/msg.html?s=5&mid=3689320

← →
Ketmar (2003-08-12 14:35) [17]

нафиг не надо. всех лишних TPF порубает, а потом я руками вынесу %-)

← →
Вадим (2003-08-12 14:41) [18]

Такая же фигня ночью была.

← →
Andreyy (2003-08-13 15:08) [19]

Корпорация Microsoft вновь сообщила о проблемах в операционных системах
семейства Windows NT. 26 марта софтверный гигант выпустил бюллетень
безопасности MS03-010, в котором описывается очередная дыра в системе
безопасности операционных систем семейства Windows. Причина уязвимости
кроется в реализации протокола Remote Procedure Call (удаленный вызов
процедуры - RPC), с помощью которого программа, работающая на данном
компьютере, может выполнять программный код на другой машине.

В модуле Endpoint Mapper службы RPC, ответственном за обработку запросов,
приходящих по протоколу TCP/IP, имеется ошибка, способная приводить к
отказу процесса, а вслед за ним и всей службы, ответственной за поддержку
RPC. В результате, перестают работать все приложения и службы, использующие
данный протокол, а также некоторые COM-функции. То есть, используя дыру,
хакер может провести DoS-атаку на систему.

Уязвимость имеется в ОС Windows NT 4.0, Windows 2000 и Windows XP. Она
получила рейтинг важной (important), что означает необходимость установки
патча при первой возможности. Однако, если заплатки для Windows 2000 и XP
уже выпущены Microsoft (ссылки на них можно найти в бюллетене
безопасности), то пользователи Windows NT 4.0 заплатки не получат. По
сообщению Microsoft, эффективно заделать дыру в этой ОС не позволяют
некоторые архитектурные ограничения. Чтобы обезопасить компьютеры под
Windows NT 4.0 от атаки, Microsoft рекомендует системным администраторам
заблокировать доступ к уязвимому для атак порту 135 с помощью брандмауэра.

Другие новости на эту тему можно найти в разделах (Embedded image moved to
file: pic22735.gif) Безопасность (Embedded image moved to file:
pic09793.gif) Дыры и уязвимости в ПО

Источник: Microsoft

троян? Найти похожие ветки