Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

TAJFUNRUS

Сетевые атаки Intrusion.Win.MSSQL.worm.Helkern

Рекомендованные сообщения

Книжки тоже от Жени?:) Или в новой редакции книжки с названием "Правда и только правда"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Тролль.

Интересно чей? Даниловский или Нодовский. А интересно откуда такие слухи ползут, и говорят это люди в полне образованные в этом плане.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, откуда столь дебильные мысли в мозгах людей берутся, по поводу того что антивирусные компании сами вирусы пишут?

 

Видать в секретных госструктурах есть информация насчет антивирусных компаний, которой никто не знает, даже сами сотрудники компаний :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дрова пригодны были для установки ручками-поставил

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так вообщем-то что решили с этим Хелькерном?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что с ним можно решать? Только дампы атак собирать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну интересно же, а то вон и ВПН сервера обвинили в распространении. По сути очень "красивый" червь, автор явно не был школьником с дельфи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну интересно же, а то вон и ВПН сервера обвинили в распространении. По сути очень "красивый" червь, автор явно не был школьником с дельфи.
Aike,да ну... если это червь такой, то почему у меня в COMODO ни разу не было атак со стороны vpn-сервера ? По теории вероятности должна была быть хоть раз.

Получается, что такие черви атакуют исключительно тех, у кого Касперский и Аутпост: типа умные черви такие, можно сказать разборчивые и шибко привиредливые :lol:

И возникает вопрос: "а был ли мальчик ?" Понятно, что без дампов нечего говорить, но всё-таки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WIGF, пакеты идут. А вот как их понимает каждый фаер (пример: Аутпост и п2п). И каждый ли фаер будет обращать внимание на атаку, которой подвержен древний SQL? В общем, без дампа мы переливаем из пустого в порожнее. Предлагаю вообще положить на эту тему, пока не будет дампов хоть от кого-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этот червь ничего плохого не делает, если не установлен SQL\MSDE 2000 до SP3, приходит пакет на порт 1434, который ясен фиг закрыт, и все. Ну а Касперский и Аутпост просто об этом сообщают, тоесть Ваш комп так же атакуется этим червем (само собой не с впн сервера).

Даже если им заразиться, достаточно перезагрузить компьютер и все в порядке будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
...приходит пакет на порт 1434, который ясен фиг закрыт, и все. Ну а Касперский и Аутпост просто об этом сообщают, тоесть Ваш комп так же атакуется этим червем (само собой не с впн сервера)...
В том то и дело, что у меня так и пишет, что заблокированы входящие на порт 1434 с такого-то IP, но не от vpn-сервера. Если фаер смешивал эти атаки (или путал) с соединениями от vpn-сервера (в начале этого топика об этом писали), то в этом-то и ненормальность.

 

В общем, без дампа мы переливаем из пустого в порожнее. Предлагаю вообще положить на эту тему, пока не будет дампов хоть от кого-нибудь.
Вот это верно. Подождём реальных дампов (может кто предоставит) и посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Червь генерирует рандомные айпи, плюс ко всему пакет UDP а не TCP, ни о каком настоящем обратном адресе речи и быть не может, и все те атаки с впн сервера это лишь признак того что UDP пакет попал в сегмент где находятся настоящие vpn адреса, и народ видит заветные 85.21.*.255 или как там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

короче какойто м**** червей распространяет

привлекайте сотрудников корбины

пусть отследят

оборудование их

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже час гоняю kldump -f dump1701 -l 1701 -p udp с подключенным l2tp соединением и выключенным виндовым фаерволом, ничего нету.

А если сниффать то на 1701 только пинги от l2tp приходят.

 

Вообщем, ничего не пришло, а половину ночи сидеть и ждать мне не хочется, посему выкладываю свое видение проблемы:

 

  • Если запустить сниффер и лазить по инету, то будет видно что обмен данными проходит с впн-сервером udp пакетами по 1701 порту, из чего делаем вывод №1 - PPP-Кадры(блок данных в котором уже соеденены IP и TCP, а так же находятся данные приложений, например браузера) помещаются в l2tp кадры (они на одном уровне работают) и отправляются в сеть.
  • Outpost и Kaspersky, работают с сетью на низком уровне, из чего делаем вывод №2 - Эти продукты способны увидеть злые кадры(не пакеты, блоки данных)

Злой пакет Helkern, стучится на наш внешний IP (тот который приадлежит VPN-серверу), впн сервер его принимает, производит инкапсулирование этого пакета в свой l2tp кадр и отправляет нам. У нас на компе стоит Kaspersky, котрый видя что приходит что-то злое, бьет тревогу, о чем незамедлительно сообщает пользователю что вот, с адреса VPN-сервера и порта 1701 нас пытаются атаковать Helkern'ы(ведь пакет приходит с впн-сервера и порта 1701, а у Kaspersky'ого задачи оповещать пользователя, а не анализировать пакеты откуда они там на самом деле приходят). Дальше блокировки понятно какого адреса.

 

Почему COMODO никогда не ругался на впн сервер, можно предположить что его сетевые функции находятся несколько выше уровнем чем у аутпоста или касперского, соотв. система развернет l2tp кадр, передаст его выше, где COMODO его уже и схватит, но схватит он уже непосредственно tcp\ip пакет, а не сырой кадр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike, спасибо, познавательно <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike, спасибо

а куда корбиновский фаер смотрит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Aike, спасибо

а куда корбиновский фаер смотрит

если тот, что в личном кабинете настраивается то :

Сильная

Фильтрация всех входящих TCP-соединений. Преимущества: сильная защита от внешних атак из Интернет. Могут не работать: ftp в не-пассивном режиме, dcc в irc, прямая передача файла в icq и некотрые другие программы. Недостаток: все равно надо использовать "заплатки" и файрволл, чтобы предотвратить вторжение из локальной сети.

Средняя

Фильтрация входящих TCP-соединений на порты: с 0 по 1024 (кроме www (80), ftp (21), smtp (25), pop3 (110), ssh (22)). Преимущества: защита от известных Интернет-червей. Недостаток: остальные порты открыты, и вторжение на компьютер может быть произведено. Надо использовать "заплатки" и файрволл, чтобы предотвратить вторжение из локальной сети.

и Отключена

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по описанию, корбиновский фаервол не фильтрует UDP пакеты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Судя по описанию, корбиновский фаервол не фильтрует UDP пакеты.

ну хорошо хоть эта фигня добровольная, у других провайдеров бывает обязаловка.

а udp он и не фильтрует иначе вообще гимор был.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS, ну это я уточнил Ваш ответ для KOLANICH'a,

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а куда корбиновский фаер смотрит

Никуда.

Он вообще не работает.

Где есть наглядные доказательства его работы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

77xaker, а чем не доказательство отсутствием в этом разделе форума тем об атаках LSASS и DCOM к примеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Никуда.

Он вообще не работает.

Где есть наглядные доказательства его работы?

 

Nmap Online

 

Судя по описанию, корбиновский фаервол не фильтрует UDP пакеты.

Не фильтрует. Вот он, собственно:

permit tcp any any established
permit tcp any any eq www
permit tcp any any eq ftp
permit tcp any any eq smtp
permit tcp any any eq pop3
permit tcp any any eq 22
deny   tcp any any range 0 1024
permit ip any any

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

djet, ну вот, тогда KOLANICH зря упоминал о нем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

85,21,0,251 (1701) у меня тож за 40 сек отжрал полгига трафика,(инет тормазил жутко) откикал его теперь вродь успокоился.Но вот хз када начнёт заново. Блин надо чёто решать с этим((((((((((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11den11, с чем решать ?

85.21.0.251 - это один из l2tp-серверов провайдера. Его надо закрыть что-ли, потому какая-то программа почему-то его определяет как источника атаки ? Если вас пугают блокировки l2tp-соединений - используйте pptp и не будет блокировок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11den11, с чем решать ?

85.21.0.251 - это один из l2tp-серверов провайдера. Его надо закрыть что-ли, потому какая-то программа почему-то его определяет как источника атаки ? Если вас пугают блокировки l2tp-соединений - используйте pptp и не будет блокировок.

не надо его закрывать, такая же фигня сыпется и с других. надо наверно писать в тп корбины и лк, чтоб разобрались уже с этой проблемой. мне лично пофиг, но неопытные пользователи нервничают и достают этой темой давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах