Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
Как спасти NT4-Server+6Spa от SMBnuker-a
 
#1
Это нравится:0Да/0Нет
04.04.2003 22:32:27
MS больше сервис паки  для  страшки NT4 не делает:(

Как спасти машину от этой напасти подскажите плиз.
 
 
 
#2
Это нравится:0Да/0Нет
05.04.2003 10:53:20
Только firewalом
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#3
Это нравится:0Да/0Нет
06.04.2003 23:17:15
У меня по корпоративным стандартам Lotus Domino должен быть на NT4.0, а персонального фаервола для него по стандартам не предусмотрено.

Я удалил Server и Workstation, оставив голый TCP/IP.

Также задизэблил все сервисы, кроме самого Domino и event log.

Теперь ему никакой смбнюкер не грозит :)
 
 
 
#4
Это нравится:0Да/0Нет
07.04.2003 10:38:49
Ну это слишком жестоко :)
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#5
Это нравится:0Да/0Нет
07.04.2003 16:36:49
Я не могу закрыть нетбиосовские порты так как у меня на этой машине организован нетбиосовский файлсервер :(

может есть другие варианты ?

Почему MS молчит на эту тему :(((

For lOOSky для защиты от этого нюка Вам бы хватило лишь застопить сервайс "сервер" ИМХО.
 
 
 
#6
Это нравится:0Да/0Нет
07.04.2003 16:38:56
Я не могу закрыть нетбиосовские порты так как у меня на этой машине организован нетбиосовский файлсервер :(

может есть другие варианты ?

Почему MS молчит на эту тему :(((

For lOOSky для защиты от этого нюка Вам бы хватило лишь застопить сервайс "сервер" ИМХО.



P.S простите за две дописки просто забыл залогинется :)
 
 
 
#7
Это нравится:0Да/0Нет
07.04.2003 16:46:06
А не проще защитится от тех, кто пользуется Nukaми?
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#8
Это нравится:0Да/0Нет
07.04.2003 16:57:01
Как ? если в сети примерно 600 машин.
 
 
 
#9
Это нравится:0Да/0Нет
07.04.2003 16:58:53
Ставишь IDS (snort например) и ловишь гада.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#10
Это нравится:0Да/0Нет
07.04.2003 17:09:10
Цитата
Quote: <i></i>
Ставишь IDS (snort например) и ловишь гада.

Это не всегда помогает, т.к. в таких сетях проще всего реализуется спуфинг.
 
 
 
#11
Это нравится:0Да/0Нет
07.04.2003 17:21:28
Что вы можете предложить из бесплатного ПО ?
 
 
 
#12
Это нравится:0Да/0Нет
07.04.2003 17:22:36
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B326830#NT
 
 
 
#13
Это нравится:0Да/0Нет
07.04.2003 17:23:01
Snort полностью бесплатный, к тому же есть версия пож Windows. Насчет спуфинга это проблема, но тоже решаема, например тот же arp antidote.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#14
Это нравится:0Да/0Нет
07.04.2003 17:33:48
спасибо гостю за ценную сылку ;)!

спасибо Pig killer за совет про IDS как будет время посмотрю на Short.!
 
 
 
#15
Это нравится:0Да/0Нет
07.04.2003 17:50:55
Цитата
Quote: Опубликовал Pig killer на 07 Апрель 2003
Snort полностью бесплатный, к тому же есть версия пож Windows. Насчет спуфинга это проблема, но тоже решаема, например тот же arp antidote.

ARP_ANTIDOTE есть патч для Linux-ядра. Спасает от атак, но не помогает от смены ARP-адреса "клиентом" =)

Кста, порт Snort-а круче чем1.7 есть ? Че-то я не нашел... =(
 
 
 
#16
Это нравится:0Да/0Нет
07.04.2003 17:59:37
Цитата
Quote:
Кста, порт Snort-а круче чем1.7 есть ? Че-то я не нашел... =(

Snort 2.0 rc3 - далеко идти не надо :)
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#17
Это нравится:0Да/0Нет
07.04.2003 18:09:29
А вообще то, нюкеры в основном определяются антивирями, как Hack Tool. Может для начала сравнить список компов со списком компов с работающим антивиром. У меня около 400 компов и этот процесс занял бы минут 10. А результат был бы 1-2 подозреваемых.

Способ не очень надежный - но и начинать поиск нужно с самого простого.

А по поводу спуфинга - скорее всего там простой ламер-пакостник, который и слова такого не слышал.

Нужно попробовать IDS, и не заморачиваться над вопросом: получиться или нет. Если не получиться - будешь дальше думать.
 
 
 
Страницы: 1
Читают тему