Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> LSASS Exploit (SXP), DCOM Exploit, чёт меня поддостало ...
Rumata | Профиль
Дата 3 Ноября, 2005, 19:02
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



поскольку последнее время приходиться висеть и на ADSL подключении и на диал_апном то слегка поддостали сообщения антивируса о том что кто-то к нам ломиться вот под такими именами, естесвенно блокировка срабатывает налету, IP атакующих всегда (почти) разные, так что можно предположить что атакуют уже зараженные машины. так что это за звери ? хотя я уже однажды описывал методы борьбы, но повторенье, мама заикания, лучше повторить в очередной раз - отсуствие антивируса на машине, социальное преступление.

Водителям бронетанковой техники посвящается. По многочисленным просьбам радиослушателей разъясняю медленно и один раз, тем, кто все понял - ничего не будет.

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:

user posted image

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.

Расписал все по нотам камрад olegart

Мы с Тамарой ходим парой, так и эта пара эксплоитов шляеться тоже парами, действия LSASS примерно одинаковы с вышеописанным. для этого сплоита рекомендую ознакомиться с этим материалом, еще раз убедиться, воспользовавшись поиском по этому форуму, что уже лечили сие, также кому лень ходить искать

Цитата
Опасность:Worm.Win32.Sasser.a/b
В сети появился новый червь Worm.Win32.Sasser.a/b
ЛезетЬ в дыру в службе LSASS Microsoft Windows.
Регит себя в ключе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve.exe = %WINDIR%\avserve.exe
После заражения сканить IP(ftp TCP 5554 на такие же дыры и таким образом размножается.

Заплатки:

Для русской версии WinXP:

http://download.microsoft.com/download/2/f...732-x86-RUS.EXE

Для английской версии WinXP:

http://www.microsoft.com/downloads/details...;displaylang=en


если пришел писец, тогда качаем софтину и пытаемся радоваться жизни, до следующего заражения, поскольку антивирус & файервол до сих пор еще не стоят на машине, или стоят, но базы лень обновлять, или лень поискать альтернативное платному антивирусному ПО, хотя простой, русифицированный Avast!Home вполне сносно справляеться с этими двумя сплоитами.

еще раз говорю, Интернет перестает быть сетью для чайников которые не способны защитить свой любимый домашний контупер, или рабочее место на котором есть доступ к сети Интернет


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
59/59561   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
Morgul |
Дата 4 Ноября, 2005, 1:59
Quote Post



Unregistered









А как Оутпостом порты закрывать?
10/   
sheonfg |
Дата 4 Ноября, 2005, 2:27
Quote Post



Unregistered









Цитата
А как Оутпостом порты закрывать?


outpost.exe -p 135,139,445 -close
13/   
Rumata | Профиль
Дата 4 Ноября, 2005, 9:58
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



аутпост по моему блокирует подобное безобразие по умолчанию


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
1/59561   

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0607 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top