Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

TAJFUNRUS

Сетевые атаки Intrusion.Win.MSSQL.worm.Helkern

Рекомендованные сообщения

VladimirSS, так в том то и дело, что подобные страшные атаки определяют только 2 продукта: KIS и OUTPOST (и то аутпост вроде не в таком виде это определяет). От владельцев других фаеров я ничего подобного не слышал.

Если именно KIS определяет Helkner как атаку от l2tp-сервера, а у меня COMODO пишет IP внешнего атакующего (и на порт 1434, а не 1701), то это ведь не проблема провайдера, а реализация конкретного продукта (Aike об этом выше написал).

Есть ещё и другие срабатывания: когда связь обрывается и l2tp-сервер не получает команды от клиента о разрыве, то похоже, что этот сервер пытается восстановить соединение (у меня в таком случае идут блокировки входящих от этого сервера на UDP 1701). Но это ведь тоже не атака.

 

Сейчас посмотрел лог фаера, а там периодически есть блокировки входящих на UDP 1701 от l2tp-сервера (по логу страницы статистики я как раз через это vpn-сервер и выходил в интернет в тот момент). Страшных названий нет, просто блок входящих, а интернет в этот момент само собой работал.

В общем, не поймёшь что это такое на самом деле. То ли не понимают фаеры l2tp до конца, то ли у провайдера всё-таки есть некоторые проблемы с работой 85.21.0.255 (блок именно от него идёт, хотя 1 раз был блок от 251-го браса, но это был случай из предыдущего абзаца). Но во втором варианте всё равно ведь не признаются без достаточных доказательствах и разговорах только с инженером ТП.

 

В конце концов и мне всё равно сейчас: ну блокируются там какие-то пакеты, интернет от них у меня на данный момент медленнее не работает и особых неудобств не испытываю.

Т.е. не вижу никакой проблемы, чтобы заблокировать эти пакеты. Даже по другому скажу: входящие соединения вообще ведь надо разрешать только для конкретных приложений и по конкретным портам и протоколам, а не блокировать опасные входящие: например, разрешить входящие для торрента и остальные входящие запретить. Ну и ещё входящий пинг с dhcp-сервера разрешить, а то IP ведь не выдаст.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня есть подозрение, что провайдер и вендоры будут друг на друга перебрасывать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но по умолчанию KIS глушит атакующий комп на 60 минут. я думаю эту цифру довести до максимума и сообщения будут реже. ибо блокировка кисом этих компов на работу не влияет.

255 и 251 замечены примерно одинаково часто.

 

 

У меня есть подозрение, что провайдер и вендоры будут друг на друга перебрасывать :fool:

а чего перебрасывать? есть червяк? пров виноват. нет червя, глюк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

KIS не глушит эти атаки. Т.е. не так, он отбивает, но не блокирует IP. Ведь атаки иду по UDP, а значит реального отправителя определить нельзя. Потому KIS просто покажет балун, что атака отбита, но комп не заблокирован, т.к. адрес может быть поддельным.

Чтобы не переваливали друг на друга, нужен дамп атаки. А еще лучше - несколько дампов.

http://support.kaspersky.ru/kis2009/sysfir...l?qid=180593361

kldump -f dump1701.dmp -l 1701 -p udp

Атака была - вырубаем собирание дампа и откладываем dump1701.dmp. Можно повторить процедуру еще пару раз и все три дампа отправить в техподдержку с описанием. Можно даже с сылкой на тему, только не с начала, туда, где разговор уже предметный.

Кстати, была обнаружена несовместимость утилиты с некоторыми драйверами :) Даже тут это упоминалось у чела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мячин Д.А., если опять подключусь через 255 или 251 брасы и время будет - запущу kldump. Может что найдётся интересное.

На скорость влияния не ощущал (даже на моём 450-рублёвом тарифе).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот я и смотрю. ни разу не видел эти IP в списке блокированных

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
... время будет - запущу kldump. Может что найдётся интересное.

Запусти. Я ради интереса запустил. :rolleyes:

 

Если из-под пользователя, то:

 

File "C:\WINDOWS\system32\drivers\Logger.sys" already exist. Don't change.

Cannot register plugin driver "Logger". Execution stopped.

 

Если из-под администратора, то на картинке.

Извиняюсь за плохое качество, торопился. :lol:

post-66458-1240304414_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
... время будет - запущу kldump. Может что найдётся интересное.

Запусти. Я ради интереса запустил. :lol:

 

....

 

пошел бег по кругу.

Сетевые атаки Intrusion.Win.MSSQL.worm.Helkern

 

ну раз дамп атак не получил, кури минидамп бсода :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
пошел бег по кругу.

Нет, никакого бега и никакого круга.

Было предположение, что утилита полезная и рекомендуемая для широкого применения, но оказалось, что нет ... :D

:rofl:

 

А вообще, не очень понимаю, зачем снова подняли эту тему.

Aike все подробно расписал.

Ничего нового не прибавилось.

 

Лично я принципиальный противник какой-либо фильтрации трафика со стороны провайдера.

Лишние сообщения отключаются настройками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
...

 

Лично я принципиальный противник какой-либо фильтрации трафика со стороны провайдера.

Лишние сообщения отключаются настройками.

дык штука интерестная получается. ясно что атакует не провайдер, ясно что касперкий не может реально определить адрес атакующего, ясно что угрозы это не несет (в большинстве случаев),

но рекомендовать касперскому не шуметь не правильно, да и не пойдет он на то что б скрывать свою работоспасобность, рекомендовать провайдеру пока не доказано, что он в чем-то виноват тож нельзя. то что в сети торчит что-то - факт!!!, но и разбираться не в чем. вот только пользователь считает , что его атакуют сервера корбины. это нам наплевать, а неопытному пользователю не приятно - до паники, котрорая несет негатив провайдеру, касперскому и нам (трем тему больше года), потому как не известно до конца что это такрое. :huh:

 

ясно одно инструмент от касперского для снятия дампа полная лажа (Женя прости, но это так), пользовать снорт на 64 висте я тож не возьмусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Кстати, была обнаружена несовместимость утилиты с некоторыми драйверами sad.gif Даже тут это упоминалось у чела.

Отпишу нашей ТП, что несовместимости уже часты слишком.

 

Кстати, где Aike вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
вот только пользователь считает , что его атакуют сервера корбины. это нам наплевать, а неопытному пользователю не приятно - до паники, котрорая несет негатив провайдеру, касперскому и нам (трем тему больше года)

Каждый, впервые подключившийся к интернету, должен переболеть этой "детской болезнью".

Тем и хороши форумы, что есть где и кого спросить и обсудить.

В данном конкретном случае опасности для пользователей нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Друзья а IP-адреса показывают Китай оттуда в осном все проблемы.Вот сайт определения местонахождения IP-адреса:http://www.ip-adress.com/ip_tracer/61.145.123.141

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
softvir,

У Вас включен фаервол в настройках профиля?

Нет просто так получилось.

 

Кому интересно как избавится от проблемы зайдите на: http://virusinfo.info/archive/index.php/t-9846.html

Но вопросы все к автору он у нас доктор в таких делах

И еще: http://forum.kaspersky.com/lofiversion/index.php/t33345.html

Совет тем кто не хочет на счет этого парится: устанавливаете KIS9 2010 и он сам будет все делать только установите все настройки на максимум .И увидите вы забудите что у вас что-то было

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

softvir, по первой вашей ссылке решение проблемы конкретного человека, а не для всех. Ни в коем случае нельзя применять скрипты, написанные для других: мало того, что эффекта может и не быть положительного, так вы можете убить что-то нужное в системе, ведь скрипты пишутся по результатам анализа системы и подозрительных файлов и единого рецепта не может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10.09.2009 18:56:32 Обнаружено сетевая атака Intrusion.Win.MSSQL.worm.Helkern 124.173.184.18

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12.09.2009 19:05:05 Обнаружено сетевая атака Intrusion.Win.MSSQL.worm.Helkern 61.145.126.78

эта злобныя кетайске хакиры из гуанчджоу :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

переходи на убунту или меняй провайдера чтобы не было локалки

меня тоже этот вирус раньше из локалки атаковал. теперь нет проблем вообще с вирусами.

нет локалки - нет проблем!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть получше совет - забудьте слово интернет! ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Есть получше совет - забудьте слово интернет! ^_^

да тоже выход

я так и сделал на втором компе. - теперь вообще голова не болит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
переходи на убунту или меняй провайдера чтобы не было локалки

меня тоже этот вирус раньше из локалки атаковал. теперь нет проблем вообще с вирусами.

нет локалки - нет проблем!

Самое смешное в том, что конкретно этому экземпляру, которому посвящена эта тема, абсолютно без разницы, есть локалка или нет. :)

Он использует другие механизмы.

 

PS

Для читающих тему напомню, что обычному домашнему пользователю он не опасен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

локалка - это мегазло!

я под виндой в локалку к чужим дядям не сяду никогда

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На счет атак на 1701 порт. Я уже обращался в суппорт ЛК. Сказали, что мало кто может подтвердить ложняк и пока исправить не могут Oo.

ЛК вообще не любят исправлять баги )) Ну если только самые важные )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
На счет атак на 1701 порт. Я уже обращался в суппорт ЛК. Сказали, что мало кто может подтвердить ложняк и пока исправить не могут Oo.

ЛК вообще не любят исправлять баги )) Ну если только самые важные )))

 

Потому что это не баг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[off]Aike,

Здарова, дружище! Я уж думал, ты не вернешься.[/off]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

атаки достаточно частые :hi: порядка 2-3 раз в день

 

01.10.2009 19:29:11 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 190.210.25.161 на локальный порт 1434 Отсутствует

01.10.2009 20:32:14 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.22.244.45 на локальный порт 1434 Отсутствует

01.10.2009 23:07:03 Обнаружено: Intrusion.Generic.TCP.Flags.Bad.Combine.attack TCP от 10.11.5.85 на локальный порт 65140 Отсутствует

03.10.2009 14:57:54 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.204.137.156 на локальный порт 1434 Отсутствует

03.10.2009 23:38:47 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.23.37.51 на локальный порт 1434 Отсутствует

04.10.2009 13:12:49 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 212.50.89.128 на локальный порт 1434 Отсутствует

04.10.2009 15:18:28 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.30.22.82 на локальный порт 1434 Отсутствует

04.10.2009 21:52:15 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.22.244.45 на локальный порт 1434 Отсутствует

05.10.2009 19:19:46 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.204.137.156 на локальный порт 1434 Отсутствует

05.10.2009 23:04:43 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 61.153.247.162 на локальный порт 1434 Отсутствует

06.10.2009 1:16:23 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 91.79.21.153 на локальный порт 1434 Отсутствует

07.10.2009 23:31:58 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.204.137.156 на локальный порт 1434 Отсутствует

08.10.2009 18:25:14 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 212.252.124.15 на локальный порт 1434 Отсутствует

11.10.2009 1:32:22 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.205.231.99 на локальный порт 1434 Отсутствует

11.10.2009 14:52:11 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.30.22.82 на локальный порт 1434 Отсутствует

11.10.2009 19:08:49 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.205.231.99 на локальный порт 1434 Отсутствует

11.10.2009 20:44:17 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 212.252.124.15 на локальный порт 1434 Отсутствует

13.10.2009 22:13:37 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.23.37.51 на локальный порт 1434 Отсутствует

14.10.2009 0:08:09 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 212.252.124.15 на локальный порт 1434 Отсутствует

14.10.2009 20:45:10 Обнаружено: Intrusion.Win.MSSQL.worm.Helkern UDP от 218.205.231.99 на локальный порт 1434 Отсутствует

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как нибудь надо побороть свою лень и расписать подробно с картинками эту атаку, что бы людей она наконец перестала так волновать :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike, давай. Я потом сюда перенесу твой пост с подробным описанием - Описание основных сетевых атак

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах