Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

pascuale

виры в локалке

Рекомендованные сообщения

Хочу сказать насчет Short Fragments это не вирус это фрогментная атака пакетами. Действие: Компьютер не может правельно обработать пакеты у которых должно быть продолжение но его нет.

 

Lsass его можно убить с помощью ProcViewer но в случаи убийства появится картинка что через 40сек комп перезагрузится, это можно выличить таким образом: закрываеш процесс и в командной строке пишеш shutdown -a.

 

Сканирование портов может провацировать любой вирус который работает по системе переполнения буфера (DDoS). Вирус посылает с вашего компьютера покеты на любые компьютеры и требует от них ответа, через пару минут комп виснит или огненая стенка начинает кричать "СКАНИРОВАНИЕ ПОРТОВ!!!"

 

Если хотите узнать на каком порту что у вас работает то качайте сканер портов (Он имеет информацию о вирусах и программах) с сайта: http://scanport.h15.ru/forum

 

Чтобы увидеть ситевую активность и посматреть какие программы у вас стартуют вместе с компьютером то качайте: AScontrol3.0.2

 

Если что скажите свой ftp я вам скину эти проги

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... Ну короче очень я терь доволен, тока вот даж на русском не могу понять хде уведомления об атаках отключить :angry:

Двойной щелчок по А в кружкЕ в трее, выбираешь сетевой экран, жмёшь настроить, убираешь галку о предупреждениях :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так хочу предупредить хозяина IP 10.215.136.217!!!

Если ты еще будеш меня DDos'ить я тебе покажу что такое 1mb пакет!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

gold goblin, да у него просто вирус может. А ты за хакера злобного его держишь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

!Shoorf, При вирусе Ddos прямой не выполнить.

Атака продолжалась минут 20 потом я не выдержил и повесил его комп. После того как он перезагрузился стали приходить сообщеня типа: Ну прости оставь меня впокое я только учусь.

Я не хотел тебя атаковать прости.

Ну и так далее парень короче извенялся, я его простил.

 

P.S. редко кто в наше время сознается в чем либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот тут его действия подпадают под действие УК...

одно дело - когда какая зараза завелась, другое - намеренное деяние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

gold goblin, если так, то это другое дело. При таком раскладе это действительно серьезно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хозяин IP 10.215.136.217 Посматри логи фаервола (Если он есть)

Какие ip вчера к твоему кому пытались приконектица через 80 порт,

И конект продолжался 20-25 минут.

Поесню. Вчера почитал на староннем форуме что в сети корбина (Да и не только в ней) можно использовать спец вирус который делает из компа цели прокси сервер на 80 порту.

Так что это может быть подстава.

 

Свет другим: поглядывайте почаще за конектом к 80 порту.

 

Dimaska за использование командной строки не сажают!!!

 

DdoS можно выполнить командой ping

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хозяин IP 10.215.136.217 Посматри логи фаервола (Если он есть)

Какие ip вчера к твоему кому пытались приконектица через 80 порт,

И конект продолжался 20-25 минут....

 

"...вы тут самые умные, да-а? Это вам кто-нибудь сказал, или вы сами решили? " (С Кин-дза-дза)

 

как уже было сказано выше: вполне возможно хозяин этого айпи тетечека-бухгалтер которая ынтырнет использует тока для того чтобы на сайтах знакомств сидеть да почту пользовать))

а всякие там "логи", "айпи" и "файрволлы" имеют для нее такое же непонятное значение как и "форум Кобина-Телеком"))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

shripe, Эта бабулька по твоему просто извинялась через команду telnet за просто так???

И повтарюсь прямой DdoS Вирусы провадить не могут!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорее всего это был какой-то начинающий хакер,юзающий паблик сплоит(MS03-39,MS09-39,MS03-043 и т.д)-ламер короче.Вычислить его-раз плюнуть.

В корбине примерно 8-10% юзверей с галимой виндой(безфаерной и не пропатченой)(их спокойно можно грохнуть скачав паблик сплоит с milw0rm.com).

На счет вируса прокси:чаще всего используют хорошо закриптованный pinch(pinch3.ru) так что его засечь достаточно сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да есть у меня на примете один такой, просто интересно не он ли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да есть у меня на примете один такой, просто интересно не он ли.

он случаем не с Димитрова?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12.02.2007 17:09:49 LSASS Exploit (SXP) attack

from 10.120.18.114:445

12.02.2007 18:16:04 DCOM Exploit attack

from 10.120.18.114:135

12.02.2007 18:16:11 LSASS Exploit (SXP) attack

from 10.120.18.114:445

12.02.2007 18:57:02 DCOM Exploit attack

from 10.120.18.114:135

12.02.2007 18:57:12 LSASS Exploit (SXP) attack

from 10.120.18.114:445

12.02.2007 19:00:50 DCOM Exploit attack

from 10.120.26.19:135

12.02.2007 20:59:36 DCOM Exploit attack

from 10.120.18.114:135

12.02.2007 20:59:43 LSASS Exploit (SXP) attack

from 10.120.18.114:445

12.02.2007 21:21:34 DCOM Exploit attack

from 10.120.26.19:135

12.02.2007 22:32:01 DCOM Exploit attack

from 10.120.39.39:135

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

читал, много думал. ;)

вопросы: где посмотреть свой ип? разве встроенного файрволла не хватает+обновления автоматом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Kenzo: снизу - где часы появляются 2 компика мигающих. по ним мошью кликни 2 раза - появится окно, в нем свой ип и ищи.

или по-другому: пуск-выполнить-cmd-ipconfig /all

выдаст несколько строк. там и ищи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

k0mat0z, Твой фаервол поймал эксплойды.

Никто к тебе не конектился. (Или конектился но фаервол не поймал)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мне это не о чём не говорит... просто сам факт... что

что-то происходит ((:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

k0mat0z, Эксплойт это программа которая использует уезвимость в другой программе для выполнения програмного кода внутри ее.

Тебя атакавали 2 эксплойтами:

LSASS Exploit этот эксплойт использует дырку в процессе lsass.exe

DCOM Exploit а это если я не ошибаюсь эксплойт дающий доступ к командной строке. И использующий в ней дырку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, если кто знает, что значит атака RPC DCOM???

 

А так же, что значит, "узел подменяет свои IP-адреса"???

 

Эти надписи мой Firewal выдает по 20 раз за вечер???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
;) по поводу атак читай посты выше/раньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да,эти школьники начитались статей за 2002-2003 год и атакуют каким-то старьем. Лучше бы Си учили и делом занимались.

 

Хотя с другой может это супер-хакер захватывающий от нечего делать компы в локалке хоть и довольно примитивным образом, но целенаправленно для проведения ddos на корбиновский сервер статистики и форум :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот ещё один "школьник" - 10.215.35.17!!!

Честно говоря запарило после каждой атаки востанавливать подключение. <_<

 

И ещё один -10.215.187.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что за хрень мне касперский каждый вечер выдает:

"Сетевая атака Scan.Generic.UDP с адреса 10.215.168.211

Атака с этого адреса идет пачками стабильно каждую ночь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще один нашелся- брутфорсил ftp, после 5 попытки был забанен в 23.00, щас 8.00 а он все долбится на интерфейс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах