Атаки на win2000
4411
31
Народ, разъясните, пож. след. ситуацию. Вин2000 перестартовывает (ребутит) даже с запретом на это в реестре, с установленным свежим Avast'om. Avast (сетевой экран) пишет, что:
ХХ:ХХ:ХХ LSASS Exploit (S2K) attack from 212.192.98.189:445
а также:
XX:XX:XX: DCOM Exploit attack from 212.192.99.100:135
Вообще, эти пара адресов нас уже достали. Если ВинХР к ним равнодушен, то В2К противостоять не может и уходит в перезагрузку.
Какую защиту еще выставить В2К, чтоб он не вываливался в перезагрузку?
Тот же Avast ничего криминального не находит.
ХХ:ХХ:ХХ LSASS Exploit (S2K) attack from 212.192.98.189:445
а также:
XX:XX:XX: DCOM Exploit attack from 212.192.99.100:135
Вообще, эти пара адресов нас уже достали. Если ВинХР к ним равнодушен, то В2К противостоять не может и уходит в перезагрузку.
Какую защиту еще выставить В2К, чтоб он не вываливался в перезагрузку?
Тот же Avast ничего криминального не находит.
А заяснить тому же AVASTу, что ЛЮБЫЕ входящие пакеты, на ЛЮБЫЕ порты с этих портов блокировать?
А патчи на 2000 что не позволяет поставить?
Кто-то говорил, что AVAST - крутая прога, а она даже в свежей версии распознает, но почему-то не блокирует такие широкоизвестные типы атак... Закрывай вручную эти порты. Заодно, отруби NetBIOS на внешнем интерфейсе, если AVAST, конечно, позволяет это делать... Ну и про патчи уже сказано...
Зы... Судя по всему, это не только патчи, а целый сервис пак надо накатывать... Сейчас попробовал зарядить этот эксплойт в сетке у себя - ноль эмоций от всех машин... А там 2000 SP4 без последующих обновлений...
Зы... Судя по всему, это не только патчи, а целый сервис пак надо накатывать... Сейчас попробовал зарядить этот эксплойт в сетке у себя - ноль эмоций от всех машин... А там 2000 SP4 без последующих обновлений...
Да, Avast действительно распознает атаки, но не то ли успевает блокировать, то ли что... Кстати, похоже в нем же не срабатывает блок на IP адрес вредоносного компа. Поставил Касперского антихакера и заблокировал самые уязвимые порты. Посмотрим, что получится.
А насчет Вин2000 - для него ничего новее, кроме SP4 найти в сети- проблема. Когда он стоял на машине со свободным доступом в сеть- он сам чем-то обновлялся (и довольно много). Что это было- неизвестно. Надо пошариться в его папках, может, где записалось чего (для другого компа пригодится). Говорят, для него выйдет кучка обновлений (пакет метров на 100) и на этом все закончится....
Позже я сообщу, как Касперский справляется...
А насчет Вин2000 - для него ничего новее, кроме SP4 найти в сети- проблема. Когда он стоял на машине со свободным доступом в сеть- он сам чем-то обновлялся (и довольно много). Что это было- неизвестно. Надо пошариться в его папках, может, где записалось чего (для другого компа пригодится). Говорят, для него выйдет кучка обновлений (пакет метров на 100) и на этом все закончится....
Позже я сообщу, как Касперский справляется...
1. нет биос отруби.
2. заплатки поставь.
3. пользуйся Outpostom, тока настрой сперва.
и все будет ок...
а еще почисться чем нить типа Ad-Aware, а то вдруг...
2. заплатки поставь.
3. пользуйся Outpostom, тока настрой сперва.
и все будет ок...
а еще почисться чем нить типа Ad-Aware, а то вдруг...
как минимум одну заплатку для 2к я на сайте мелкомягких нашел... помимо sp4. но это давно было...
Сейчас читают
Обсуждение кандидатов - 2011
129697
1000
Разрешите Вас пригласить
24344
259
"Амели", коты, мистеры Бины и прочие тесты.
38869
277
что-то я не пойму как у вас и вообще что установлено? эта машина подключена к инету? она инет раздает? она одна и подключена к выделенке? в ста процентах случаях от этого всего прерасно спасает установка сп4+винапдейт и в сети это найти абсолютно не проблема, достаточно сделать винапдейт... после чего поставить например того же керио и раздавать им инет, только фаер грамотно настроить - запретив ЛЮБЫЕ входящие подключения и отвязав нетбиос от внешней карточки.... я не пойму из чего вы сделали проблему? из того что непатченную машину прибили из инета? этим как то не удивите никого, абсолютно нормальное явление, а аваст не помог - вы уверены что правильно его настроили?..... я не работал с ним.... а XP стояла прекрасно - потому что на ней ЕСТЬ встренный настроенный потупому фаер у которого две ручки - специально чтоб не перекрутили. Что вы говорили про обновления? Вы не знали ЧТО именно качала ваша машина? это не предусмотрительно имхо - а вы уверены. что она качала обновления? может вирусы или спам через нее рассылали? и потом уже установленные обновления из системы не вытащить, я конечно не отрицаю, любители изощренного секса - могут вручную доставать dll сравнивать версии их и компонентов и чуть ли не в дебаггере их встраивать.... но обычно не достать.
Кстати в одной конторе так пришлось учить нерадивого админа - он был противником патчей, считая, что они "ухудшают" систему .... полковник в прошлом.... и когда раз в полдня сервант падал - он задумчиво на него смотрел часок, потом снова включал, никаких патчей не ставил, а девашка знакомая там под лотуса лабала.... когда она долго и кропотливо чтото делала и заливала на сервант, а потом раз за разом это падало, ей было грустно..... пришлось отправит девашке пару боевых эксплойтов с минимальным интерфейсом - короче только с кнопкой kill.... через пару недель он начал накатывать патчи....
Кстати в одной конторе так пришлось учить нерадивого админа - он был противником патчей, считая, что они "ухудшают" систему .... полковник в прошлом.... и когда раз в полдня сервант падал - он задумчиво на него смотрел часок, потом снова включал, никаких патчей не ставил, а девашка знакомая там под лотуса лабала.... когда она долго и кропотливо чтото делала и заливала на сервант, а потом раз за разом это падало, ей было грустно..... пришлось отправит девашке пару боевых эксплойтов с минимальным интерфейсом - короче только с кнопкой kill.... через пару недель он начал накатывать патчи....
kerio, как и outpost - сосут... соску (а вы что подумали)
лучше поставить ISA и грамотно ее настроить. (сомневаюсь, что это получится у автора топика)
если машина раздает инет и все - лучше поставить FreeBSD.
лучше поставить ISA и грамотно ее настроить. (сомневаюсь, что это получится у автора топика)
если машина раздает инет и все - лучше поставить FreeBSD.
аргументируем особливо про керио? есть достаточно проверенная вязка для виндузятников Dlink Di604 + KWF 6.0.9 - почему она на ваш взгляд неустойчива? чем в данном случае лучше применение ISA? рельные примеры, ссылки на уязвимости, эксплойты прошу в студию.
да не, керио - продукт качественный. я, хоть и BSDник это признаю. другое дело что сама винда, ето, как его, гуано короче. 
и раздавать инет виндовой тачкой - величайшее извращение.
и раздавать инет виндовой тачкой - величайшее извращение.
Верно, а аутпост с винрутом или исой вообще некорректно сравнивать.... Это как сказать, что скутер хуже автомобиля только потому, что у скутера два колеса, а у автомобиля - четыре...
Все от задач зависит...
Все от задач зависит...
другое дело что сама винда, ето, как его, гуано короче.при моем уважении к абсолютному большинству ваших постов - можно опять же аргументировать?... я видел большое количество виндовых шлюзов - работают, видел большое количество никсовых - уложены.... и главное я считаю - это кривизна рук админа и только в этом и именно в этом... тут я настаиваю, тут хоть мега БСД ему дай - через полчаса тебе в аську стукнут новый рутовый пароль.... а просто заявлять - это рулез, а это гуана.... и сейчас кривизна винды - вопрос достаточно спорный.... хотя думаю устраивать nix vs win не стоит. При этом - мое личное убеждение сводится в этом плане - что можно и на том и на том сделать достаточно устойчивый шлюз - просто все сети делятся на те которые уже ломанули, и на те которые еще нет.....
и раздавать инет виндовой тачкой - величайшее извращение
гм... от криворукости админа зависит конечно очень многое.
ну давайте попробуем проаргументировать.
дано: админ, кривизна рук которого превышает критическую.
задача: замутить подключение локалки к инету.
простое и дешевое решение:
на машинку-шлюз ставим OpenBSD, root'овый пароль ставим СЕКУРНЫЙ (скажем 12 символов верхнего и нижнего регистров + символы типа #$&*), далее из сервисов поднимаем только SSH, в файрволе запрещаем ВСЕ, затем разрешаем только то, что ДЕЙСТВИТЕЛЬНО НЕОБХОДИМО.
теперь ломайте! вперёд, флаг в руки! сломать OpenBSD с НАСТРОЙКАМИ ПО УМОЛЧАНИЮ не удавалось еще НИКОМУ. если вам удастся - пожму вас руку и скажу, что юниха - аЦтой, а винда - рулез.
теперь скажите - что есть шлюз на винде?
нет, опытный админ конечно может поддержвать его работу - отслеживать и накатывать кучу патчей, критических обновлений.. а оно ваще надо, а? я вот по природе своей - ЛЕНИВЫЙ. нахЪ мне этот геморрой?
ну давайте попробуем проаргументировать.
дано: админ, кривизна рук которого превышает критическую.
задача: замутить подключение локалки к инету.
простое и дешевое решение:
на машинку-шлюз ставим OpenBSD, root'овый пароль ставим СЕКУРНЫЙ (скажем 12 символов верхнего и нижнего регистров + символы типа #$&*), далее из сервисов поднимаем только SSH, в файрволе запрещаем ВСЕ, затем разрешаем только то, что ДЕЙСТВИТЕЛЬНО НЕОБХОДИМО.
теперь ломайте! вперёд, флаг в руки! сломать OpenBSD с НАСТРОЙКАМИ ПО УМОЛЧАНИЮ не удавалось еще НИКОМУ. если вам удастся - пожму вас руку и скажу, что юниха - аЦтой, а винда - рулез.
теперь скажите - что есть шлюз на винде?
нет, опытный админ конечно может поддержвать его работу - отслеживать и накатывать кучу патчей, критических обновлений.. а оно ваще надо, а? я вот по природе своей - ЛЕНИВЫЙ. нахЪ мне этот геморрой?простое и дешевое решение:Как то не соответсвует это решение своей "простотой" кривезне рук админа из "дано:"
на машинку-шлюз ставим OpenBSD, root'овый пароль ставим СЕКУРНЫЙ (скажем 12 символов верхнего и нижнего регистров + символы типа #$&*), далее из сервисов поднимаем только SSH, в файрволе запрещаем ВСЕ, затем разрешаем только то, что ДЕЙСТВИТЕЛЬНО НЕОБХОДИМО
Если у него такая кривизна рук, то вряд и он так просто поставит OpenBSD, да еще и правильно поднимет на нем раздачу инета...
Касаемо извращения - тут ты весьма погорячился... Как раз криворукий легко сможет поднять винду с тем же KWM. И вообще, что такого небезопасного в виндовом шлюзе? У меня вот шлюз виндовый и что? И времени он не отнимает... Работает себе и работает... А патчи на него и сами неплохо качаются и ставятся...
Земляк... Этта... Тут, вроде, про BSD и не спрашивали. Вопрос был про W2K... Если по теме есть что сказать - вэлкам. Нету - так чего выпендриваться? 
ок... мы не будем обсуждать методику взломов, тем более что я не занимаюсь этим .... любая система неидеальна - в любой системе есть дыры.... http://www.bugtraq.ru/cgi-bin/bugtraq.mcgi?type=ds&s=openbsd .... закрыть все на вход и правильно поднять ssh и понять что именно надо поднимать - это тоже надо УМЕТЬ.... а вот тут и снова мы выясняем что я прав - потому что я не говорю - что какая то система гуана а какая то рулит и не защищаю ms- я говорю - что любую задачу должен выполнять грамотный специалист - а не ламер и тогда будет результат толковый... и этот специалист может настроить и то и другое..... кстати - насчет взлома кери http://www.bugtraq.ru/cgi-bin/bugtraq.mcgi?type=ds&s=kerio+winroute ..... потому я также могу сказать - что туже керь и ломайте.......
ИМХО человек просто еще не дорос до уровня, когда ему в общем-то без разницы на какой ОС реализовывать те или иные задачи.
Да то, что он ленивый - видно, ибо подразумевает что ломать будут ОС, когда на самом деле атаке подвергаются сенрвисы, а не ОС в целом., но подумать ему об этом лень.
Да то, что он ленивый - видно, ибо подразумевает что ломать будут ОС, когда на самом деле атаке подвергаются сенрвисы, а не ОС в целом., но подумать ему об этом лень.
http://www.bugtraq.ru/cgi-bin/bugtraq.mcgi?type=ds&s=openbsd
ну и ХДЕ там дыры? не ффтыкаю!
то PN
мое IMHO - любуюBSD поставит даже школьник.OpenBSD секурна даже с настройками по умолчанию.
опять же мое IMHO - ГРАМОТНО настроить PF-FILTER проще, чем виндовый файрвол.
если даже админ в этом - полный ноль - в инете документации -полно! затратив полдня, можно разобраться в этом досконально!
"Лучше полдня потерять, зато потом за 5 минут долететь" (с) м/ф "Крылья, ноги и хвосты"
последний аргумент - какие OS используют инет-провайдеры?
по теме, аффтару - под вынь, IMHO, наилучшее решение поставить KWF.
toAll
Все, на тему unix vs win, в этом топике больше не спорим! если сильно нада, давайте новый топик на эту тему заведём.
ну и ХДЕ там дыры? не ффтыкаю!
то PN
мое IMHO - любуюBSD поставит даже школьник.
OpenBSD секурна даже с настройками по умолчанию.опять же мое IMHO - ГРАМОТНО настроить PF-FILTER проще, чем виндовый файрвол.
если даже админ в этом - полный ноль - в инете документации -полно! затратив полдня, можно разобраться в этом досконально!
"Лучше полдня потерять, зато потом за 5 минут долететь" (с) м/ф "Крылья, ноги и хвосты"
последний аргумент - какие OS используют инет-провайдеры?
по теме, аффтару - под вынь, IMHO, наилучшее решение поставить KWF.
toAll
Все, на тему unix vs win, в этом топике больше не спорим! если сильно нада, давайте новый топик на эту тему заведём.
вы не совсем правы.
мне без разницы на OpenBSD, FreeBSD или linux'е реальзовывать те или иные задачи. а вот к решениям от мелкомягких у меня стойкая аллергия.
сервисы я использую секурные, например на почтовике у меня Qmail. то что атакам, кроме самой оси, подвергаются сервисы - и ежу понятно. поэтому на шлюзе нефиг ничего кроме SSH поднимать!
мне без разницы на OpenBSD, FreeBSD или linux'е реальзовывать те или иные задачи. а вот к решениям от мелкомягких у меня стойкая аллергия.
сервисы я использую секурные, например на почтовике у меня Qmail. то что атакам, кроме самой оси, подвергаются сервисы - и ежу понятно. поэтому на шлюзе нефиг ничего кроме SSH поднимать!
Если сильно интересует, что провайдеры и хостеры используют - скажу, что они и *nix и win разнообразный юзают.
давай новый топик заведем, а?
в прошлом я работал в конторе под названием "ИЗБА" http://isb.baikal.net/. Венда юзалась тока в бухгалтерии.ффсе остальное на фряхе крутилось.
в прошлом я работал в конторе под названием "ИЗБА" http://isb.baikal.net/. Венда юзалась тока в бухгалтерии.
ффсе остальное на фряхе крутилось.поставить и забыть имхо нельзя ни одну из осей, та же опенбсд требует обновления и накатывания патчей и пересборки ядра http://www.openbsd.org/errata.html - да даже IOS в кошках порой рекоендуют обновлять, в противном случае пусть она хоть как угодно называется результат будет один и тот же ..... другое дело что я соглашусь - реализация стека tcp и rpc в винде оставляет желать лучше, но rpc на внешнем интерфейсе не нужен и его отвязывают, а стек таки не так часто... а это опять же руки админа.... посему толковый админ сделает шлюз и будет он работать и на винде тоже, а вот когда люди от так с инета защищались на непатченной машине только антивирем и потом кричали маздай - такие ситуевины я думаю наблюдало абсолютное большинство здесь присутствующих..... в любом случае, я например параноик и перед софтовым рутером предпочитаю иметь железку и в них конфигурить, что доступ к управлению либо с определенных ипов, либо подсетей, а все остальное drop и закрывать все что можно закрыть.
PS - хоть и хотелось крови- но оффтопить думаю больше не следует и согласен с вами - что тему версус больше не развиваем.
PPS - а как юзеров учить - если у них на локальной машине KDE и openoffice? - так хоть книжку в топкнижке прикупят.... а так? и потом это надо учить каждого нового чела? ведь таки стандарт дефакто офисной клиентской тачки это вин.... ну или всех в бездисковые терминалы.... думается этот конечно пример приятный - но скорее исключение из правила....
PS - хоть и хотелось крови
- но оффтопить думаю больше не следует и согласен с вами - что тему версус больше не развиваем. PPS - а как юзеров учить - если у них на локальной машине KDE и openoffice? - так хоть книжку в топкнижке прикупят.... а так? и потом это надо учить каждого нового чела? ведь таки стандарт дефакто офисной клиентской тачки это вин.... ну или всех в бездисковые терминалы.... думается этот конечно пример приятный - но скорее исключение из правила....
Avast! не файервол, а АНТИВИРУС.
Хотя и с большими возможностями.
Соответственно и подход должен быть адекватным.
Ставить последние патчи на систему, устанавливать файервол и его настраивать,
проверять систему на "закладки" прогой тпиа Ad-Adware и т.д.
Хотя и с большими возможностями.
Соответственно и подход должен быть адекватным.
Ставить последние патчи на систему, устанавливать файервол и его настраивать,
проверять систему на "закладки" прогой тпиа Ad-Adware и т.д.
Ничеггго себе, какую волну я тут поднял. А дело вот в чем. Я вовсе сетями нашими не рулю. Ими, похоже, вообще НИКТО не рулит, потому и бесконечные проблемы. Машина с В2К, о которой шла речь, просто присоединена к локальной сети tsu.ru, имеет выход по Томску, а далее ей выход заказан. Токмо через VPN. Атаки на нее шли от компьютера из этой же сети, универовской. У нас давно уже назрел вопрос- кто и как должен за этим следить... Крайних не найдешь. И пришлось просто защищать систему. Никакой она (боже упаси) не сервер, потому для нее (неизвестно как обновленной В2К СП4) вполне достаточно касперского антихакера в связке с Авастом. Разумеется, есть и самый свежий Ad_Aware_SE. Не может универ (или не хочет) содержать нормального сетевого админа (денег жалеют, су...), оттого нам и приходится решать все проблемы самим.
Кстати, а в папках Винды2К, что самостоятельно обновлялась из сети, ничего не обнаружил (пока). Далеко, видать, запрятано. Или удалено после установки. Впрочем, от нее остался список обновлений в Advanced Uninstaller Pro. Выпишу на досуге.
Я бы все-таки, сменил эту "связку" на нормальный антивирус и нормальный файрволл. Ибо, касперскийантихакер - это пока еще не программа, а недоразумение какое-то, впрочем, как и Аваст... Как так-то?.. Классифицировать действие как атаку и дать ей произойти... У меня вон дома в локалке молодежь воюет будь здоров... И ничего, аутпост пикнет, что вот, типа, была такая вот атака вот отсюда... И ничего, дальше все работает...
может zone alarm или bitdefender спасет отца русской демократии?
Еще раз для "тех кто в танке".
Аваст - это антивирус, а не файервол.
Соотвественно и отношение к нему должно быть как к антивирусу.
Аваст - это антивирус, а не файервол.
Соотвественно и отношение к нему должно быть как к антивирусу.
А можно для тех кто в танк с первого раза залезть не может еще раз повторить?
Я, вроде как и не говорил, что считаю АВАСТ офигеть каким файрволлом. Я просто сказал, что кто-то здесь на форуме (не помню кто, а искать лениво) говорил, что АВАСТ - крутая программа... После такого - ему явный минус. Если уж берешься определять атаки - будь добр их блокировать. А если ты антивирус, то и не суйся в файволловые задачи... Тот же битдефендер (только что проверил на 2000 сп2 - старее не нашлось) запросто блокирует вышеописанное западло в настройках по умолчанию...
Я, вроде как и не говорил, что считаю АВАСТ офигеть каким файрволлом. Я просто сказал, что кто-то здесь на форуме (не помню кто, а искать лениво) говорил, что АВАСТ - крутая программа... После такого - ему явный минус. Если уж берешься определять атаки - будь добр их блокировать. А если ты антивирус, то и не суйся в файволловые задачи... Тот же битдефендер (только что проверил на 2000 сп2 - старее не нашлось) запросто блокирует вышеописанное западло в настройках по умолчанию...
Адресуй свои замечания разработчикам.
Я всего лишь пользователь этой программы.
И меня она по ряду параметров устраивает.
А фраза "крутая программа" - это уже твое.
Я лишь отметил некоторые положительные функции этого антивиря.
И еще. Если в танк не влазишь, то и нефига.
Я всего лишь пользователь этой программы.
И меня она по ряду параметров устраивает.
А фраза "крутая программа" - это уже твое.
Я лишь отметил некоторые положительные функции этого антивиря.
И еще. Если в танк не влазишь, то и нефига.
Avast- нормальная вещь, если используется нормально. Пусть она и не файрвол, но все же хоть предупредит. Кстати, обновляется тоже регулярно (и притом без проблем), хорошо чистит почту и т.д. и т.п. Когда она стоит на XP SP2- хлопот никаких. Ну а для В2К ей в помощь нужен файрвол. БитДефендер я тоже пробовал, но у него с обновлениями какая-то морока. Найдет сервер, начнет грузить, потом задумается и... повисает. Кончается ничем. И это при нормальной скоростной сети! Когда все летает. Скоро мне это надоело. Zone Alarmы (EZ Pro или ZA Pro) имеют обыкновение обновляться по полной программе, т.е. по 5 МБ каждые две недели. Согласитесь, это дурь. Поддерживать таких разработчиков неохота. Вот так и стоят Avast, AdAwareSE, а на В2К еще Каспер-антихакер. Ну и все....