Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

TAJFUNRUS

Сетевые атаки Intrusion.Win.MSSQL.worm.Helkern

Рекомендованные сообщения

На Корбине всего пару дней хотелось бы понять что происходит

 

Время Описание атаки Источник Протокол Лок. порт

26.04.2008 22:30:14 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.255 UDP 1701

пару раз такое встречал

находясь на форуме происходят непонятные перегрузы системы без выхода в инет

 

Что это за муть

Стоит KIS 701 325 , Vista 64 настройки согласно ваших правил ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

TAJFUNRUS, Пользуйся поиском по форуму!

Таких вопросов много!

Правильно настрой KIS, отключи оповещение об этой атаке.

Это проблема пораноидальности Каспера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Корбине всего пару дней хотелось бы понять что происходит

 

Время Описание атаки Источник Протокол Лок. порт

26.04.2008 22:30:14 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.255 UDP 1701

пару раз такое встречал

находясь на форуме происходят непонятные перегрузы системы без выхода в инет

 

Что это за муть

Стоит KIS 701 325 , Vista 64 настройки согласно ваших правил ;)

Вас атакует vpn server :) 1701 порт зто стандартный порт для протокола l2tp.Настраивайте KIS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

просмотрел форум прежде чем задать вопрос, может и неуглядел

прегруз откуда епрст комп чистый на форуме только и вишу бум разбираться

 

 

 

Вас атакует vpn server ;) 1701 порт зто стандартный порт для протокола l2tp.Настраивайте KIS

 

Тихо сам ссобою :)

 

Ладно, создал правило с 85.21.0.255 UDP 1701 запретить посмотрим чего получится

 

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ладно, создал правило с 85.21.0.255 UDP 1701 запретить посмотрим чего получится

TAJFUNRUS, таким правилом ты заблочишь себе VPN L2TP.

Вот посмотри, какие правила для VPN в фаере COMODO - Comodo FAQ - и у себя по аналогии сделай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ладно, создал правило с 85.21.0.255 UDP 1701 запретить посмотрим чего получится

 

Перейди на обычный vpn, сервера корбины перестанут тебя атаковать и блокироваться Каспером.

Атаки не пропадут, но уже будут приходить с реальных китайских адресов при блокировке которых не будет отваливаться инет.

В выше названном факе данные атаки просто разрешены, в принципе это атака на сервер и обычному юзеру до лампочки, пропускать или нет решать конечному пользователю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
На Корбине всего пару дней хотелось бы понять что происходит

 

Время Описание атаки Источник Протокол Лок. порт

26.04.2008 22:30:14 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.255 UDP 1701

Нам тоже хотелось бы понять логику горячечного бреда продукта Касперского. Если узнаете у разработчиков, отпишите. А пока рекомендую отключить функции сомнительной полезности, а лучше, продукт целиком. Это моё личное мнение, без официоза.

 

Yuri*, чушь, полная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Yuri*, чушь, полная.

 

Чушь про что, по обычному vpn атаки идут с разных инетовских адресов, по l2tp адрес один, сервер корбины с которым установлена сессия. Можно это отнести и к кривизне монитора Каспера, хотя при переходе на Корбину я вообще первый раз столкнулся с данными атаками, у старого провайдера до юзеров они просто не добирались.

 

---------

А пока рекомендую отключить функции сомнительной полезности, а лучше, продукт целиком. Это моё личное мнение, без официоза.

---------

Данный продукт буквально месяц назад проскакивал в теме про зараженный сайт что то типа мегафильма.

Как обычно в начале тоже самое, в конце отправьте скорее разработчикам Нода сигнатуру.

Мое личное мнение, останусь при своем мнении и не буду навязывать его другим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Yuri*,

Чушь про что, по обычному vpn атаки идут с разных инетовских адресов, по l2tp адрес один, сервер корбины с которым установлена сессия.

Абсолютно не понял смысла написанного. Протоколы разные, добросовестность их реализации "продуктом" может сильно отличаться. Сравнивать код от Касперского с кодом Cisco Systems смешно - ребята просто не своим делом занимаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Yuri*,

Абсолютно не понял смысла написанного. Протоколы разные, добросовестность их реализации "продуктом" может сильно отличаться. Сравнивать код от Касперского с кодом Cisco Systems смешно - ребята просто не своим делом занимаются.

 

Это то что выдает монитор Каспера.

Последняя атака на сегодня с адреса 202.101.235.100

inetnum: 202.101.192.0 - 202.101.255.255

netname: CHINANET-JX

 

К корбине помоему никаким боком, если переключаюсь на l2tp то только то что написано выше.

Меня лично не напрягает, разницы между этими соединениями для себя не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В выше названном факе данные атаки просто разрешены, в принципе это атака на сервер и обычному юзеру до лампочки, пропускать или нет решать конечному пользователю.

Yuri*, я даже не понял, какие это я атаки разрешил ? Это соединение с vpn-серверами, а не атаки (там исходящие соединения разрешены только). Если данные соединения не будут разрешены, то и в интернет нельзя будет выйти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо что ответили,

тут ещё одна фишка всплыла соединяясь по протоколу l2tp какие то странные

перегрузы компа появились(находясь на форуме без выхода в инет -как пример,я даже каспера откл на поиск конфликта) + как я уже писал неоткрывались некоторые страницы в инете ,а если открывались то через раз ,откатился на просто VPN всё исчезло и перегрузы и страницы все открываются, видимо надо ещё регулировать l2tp(Москва) !!!

;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

TAJFUNRUS, а что регулировать? Проблемы-то не у нас, а у вас с касперскими и прочим системным мусором. Проверяйте на чистой системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Yuri*, я даже не понял, какие это я атаки разрешил ? Это соединение с vpn-серверами, а не атаки (там исходящие соединения разрешены только). Если данные соединения не будут разрешены, то и в интернет нельзя будет выйти.

 

Вероятно не доглядел, только заставить таким образом монитор Касперского не реагировать на подобное и не блокировать соединение:

27.04.2008 22:32:42 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 218.106.91.25. Протокол/сервис: UDP на локальный порт 1434. Время: 27.04.2008 22:32:42

Где адрес при соединении по l2tp исключительно сервер корбины, вряд ли получится.

Или разрешить все входящие, либо сменить антивирус, либо выбрать стандартное соединение.

 

-------

какие то странные перегрузы компа появились

-------

 

Система явно требует переустановки, кроме отрубания l2tp Каспером, других последствий не должно быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
27.04.2008 22:32:42 Intrusion.Win.MSSQL.worm.Helkern! IP-адрес атакующего: 218.106.91.25. Протокол/сервис: UDP на локальный порт 1434. Время: 27.04.2008 22:32:42
Так значит Каспер понимает данную атаку как вот такую:
26.04.2008 22:30:14 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.255 UDP 1701
Смешно :lol: Разработчики заслужили шоколадку с мясом и деревянную медаль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так значит Каспер понимает данную атаку как вот такую:Смешно :rolleyes: Разработчики заслужили шоколадку с мясом и деревянную медаль.

 

Были и 1701, лень в логе копаться, дело не в портах, а в адресе.

 

Ой извиняюсь, давно уже l2tp не пользовался, по обычному соединению лог выглядит как выше, по l2tp тоже самое но вместо адреса подставить адрес сервера Корбины с которым установлено соединение и порт 1701. То есть по l2tp атаки с инета отсутствуют как класс, но начинает якобы атаковать сервер Корбины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

TAJFUNRUS, а что регулировать? Проблемы-то не у нас, а у вас с касперскими и прочим системным мусором. Проверяйте на чистой системе.

На чистой ситеме с нуля всё и проверялось системный мусор это это ваша беда и протоколы тоже ваши

я говорю о том что вижу выдумывать тут нечего как то вы странно реагируете я бы сказал болезненно

 

видимо Vista64 SP1 недружна c l2tp на форум зашел (виста с нуля голая)минут 20 синий экран какой то там демедж ,а на простом vpn нормально да и Каспер нормально реагирует , останусь на просто vpn ,да кто му же у меня на l2tp одна странича в инете, точнее один сайт не открывался полность на

vpn всё открывается ....

Я себе и вам мозги несобираюсь компостировать, я нарисовал вам картинку происходящего и неболее того

Для меня vpn вариант дружелюбный, спасибо за ответы

 

:rolleyes:

 

Иногда вот такое приходится видеть ,вместо открываемой страницы на форуме

 

capture04282008135306zb7.th.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У мя тож каспер раньше порол какую-то хрень о каких-то атаках, там просто кое где галочку нужно убрать, типа оповещать пользователя о сетевых атаках или как то так, и все будет в шоколаде :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Kahak,

ага после аваста у меня чуть аську не угнали через троян.

нод32 находит, но ничего не делает, так же как и др. веб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У мя тож каспер раньше порол какую-то хрень о каких-то атаках, там просто кое где галочку нужно убрать, типа оповещать пользователя о сетевых атаках или как то так, и все будет в шоколаде :)

 

Протокол l2tp?

Не верю, потому как монитор считает что атака идет с адреса сервера Корбины с которым установленна сессия, блокирует атаку, а заодно и vpn соединение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Inetman если человек дурак не какой антивирус не поможет...

К тебе не относится)

 

кашпировский вообще мне не нравится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Протокол l2tp?

нет, обычный впн

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решил сделать запрос в техподдержку Каспера:

2008.05.12, 14:59 - Мой запрос:

 

Добрый день, вечер!

Подключился к Корбине, замучили сетевые атаки:

11.05.2008 19:37:35 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.253 UDP 1701

12.05.2008 13:15:43 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.255 UDP 1701

12..05.2008 13:39:23 Intrusion.Win.MSSQL.worm.Helkern 85.21.0.255 UDP 1701

Подключён через VPN L2TP протоколу.

tp.corbina.net(85.21.0.253, 85.21.0.254, 85.21.0.255) IP корбиновских серверов.

Выходит меня атакует корбиновский сервер к которому я подключён?

Полный бред..

Значит сетевой экран определяет соединение как Intrusion.Win.MSSQL.worm.Helkern блокирует порт и соединение

VPN, после двух трёх атак соединение VPN умирает.

Что можно сделать, что бы сетевой экран определял правильно соединение и не блокировал сеть?

 

2008.05.12, 15:08 - Екатерина Пушкарева:

 

Здравствуйте.

 

Посмотрите , пожалуйста , рекомендации на нашем сайте :

http://support.kaspersky.ru/viruses/computers?qid=208635774

 

С уважением,

Служба технической поддержки

ЗАО "Лаборатория Касперского"

 

2008.05.12, 20:51 - Мой запрос:

 

Отключение оповещение о сетевых атаках не решает проблему с блокировкой IP сервера корбины 85.21.0.253, 85.21.0.254, 85.21.0.255 UDP 1701. Сетевой экран блокирует и

VPN становится недоступным пока не перегрузешь компьютер.

 

 

2008.05.13, 10:05 - Виталий Беляков:

 

Здравствуйте.

 

Предлагаем Вам два варианта решения проблемы:

 

1. Отключите систему обноружения вторжений (Настройка--Сетевой экран), либо установите параметр "добавить атакующий компьютер в список блокирования на" в значение "0 мин." В этом случае Сетевой будет игнорировать атаки червя Helkrn. Здесь важно учитывать, что этот червь может быть опасен только для серверных операционных систем, на которых установлена SQL-база. В других случаях он не представляет абсолютно никакой опасности.

 

2. Создайте дамп сетевых атак и пришлите его нам (http://support.kaspersky.ru/faq/?qid=180593361). На основе присланных Вами данных мы найдём решение проблемы, однако это может занять довольно длительное время.

 

С уважением,

Служба технической поддержки

ЗАО "Лаборатория Касперского"

 

Надо создавать дамп сетевых атак, через пару лет пришлют решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, я там ответил. Повторяю, если кто-то считает, что атаки ложные, то ничего не стоит собрать дамп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а может впн сервер звражен

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

почему нет

вполне может быть

 

отчёт каспера

15.11.2008 13:23:59 UDP от 85.21.0.251 на локальный порт 1701 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern

15.11.2008 12:19:46 UDP от 85.21.0.251 на локальный порт 1701 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern

 

08.11.2008 20:27:29 UDP от 85.21.0.253 на локальный порт 1701 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern

 

07.11.2008 17:29:40 UDP от 85.21.0.253 на локальный порт 1701 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern

07.11.2008 14:33:38 UDP от 85.21.0.253 на локальный порт 1701 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если атаки продолжаются, пожалуйста, соберите дамп атак. В Вашем случае нужно вот так сделать:

kldump.exe -f dump1701.dmp -l 1701 -p upd

Когда атака воспроизведется, пришлите мне в ПМ дамп.

У мене нет такой проблемы - я за роутером.

 

А под червем могут, в принципе, подразумеваться и вполне легитимные пакеты. Просто поведение схоже. В любом случае, IDS KIS не заблокирует сервер и связь не разорвется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах