Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
Что это за атаки эксплойтами?
 
#1
Это нравится:0Да/0Нет
28.05.2007 21:29:02
Подскажите, что это за атаки эксплойтами? Вот что поймал за месяц:
07.05.2007  17:06:19  DCOM Exploit attack
from 212.58.215.74:135
07.05.2007  20:55:23  DCOM Exploit attack
from 91.139.193.29:135
07.05.2007  21:46:52  DCOM Exploit attack
from 91.124.54.193:135
27.05.2007  21:31:56  DCOM Exploit attack
from 212.58.172.245:135
28.05.2007  13:49:12  DCOM Exploit attack
from 83.152.31.2:135
28.05.2007  14:52:51  DCOM Exploit attack
from 91.145.205.143:135
28.05.2007  14:53:26  DCOM Exploit attack
from 91.126.11.179:135
28.05.2007  15:12:39  DCOM Exploit attack
from 91.145.227.40:135
28.05.2007  15:49:09  DCOM Exploit attack
from 91.145.229.121:135
28.05.2007  15:50:13  DCOM Exploit attack
from 91.145.229.121:135
 
 
 
#2
Это нравится:0Да/0Нет
28.05.2007 22:20:37
RPC DCOM Exploit
 
 
 
#3
Это нравится:0Да/0Нет
29.05.2007 02:57:27
ага, сплоит 2-3 х годичной давности. Обычно атакует машину через 135 TCP-порт, если не ошибаюсь. Подробности в гугле
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#4
Это нравится:0Да/0Нет
29.05.2007 06:33:16
Данной атаке были подвержены системы ниже XP SP1 включительно, заплатка вроде эта KB824146, ошибка в службе RPC, вызывала переполнение, приводящее к выполнению произвольного кода на удаленной системе, данная атака уже не актуальна http://www.securitylab.ru/poc/221925.php
 
 
 
#5
Это нравится:0Да/0Нет
29.05.2007 23:37:57
Ставь SP 2  и спи спакойно = ))
З.ы. самописные сканеры, выдают твою Ось с SP1 как возможную жертву, а потому обновление необходимо, чтоб избежать
повторных атак.
 
 
 
#6
Это нравится:0Да/0Нет
30.05.2007 18:56:16
В этом, то и весь прикол, щто стоит корпоративка SP2.
 
 
 
#7
Это нравится:0Да/0Нет
30.05.2007 20:48:17
Цитата
lazzan пишет:
В этом, то и весь прикол, щто стоит корпоративка SP2.
Никакого прикола: тебя пытались ломануть и стенка говорила как именно. Но и без стенки взлом не удался бы, т.к. система пропатчена
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#8
Это нравится:0Да/0Нет
30.05.2007 22:16:23
Как можно прикрыть 135-й порт, а то уже за...ли.
 
 
 
#9
Это нравится:0Да/0Нет
30.05.2007 23:38:52
Как всегда: средствами стенки: либо встроенной в WinXP SP2, либо альтернативной типа Аутпоста. Либо аппаратной :)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#10
Это нравится:0Да/0Нет
31.05.2007 01:09:44
Атакуют это преднамеренно или просто атаки идут с зараженных машин?
Как можно слегка наказать тех, кто делает это предномеренно?
Просканировал порты XSpider-ом, в половины машин уязвимость на переполнение буфера.
 
 
 
#11
Это нравится:0Да/0Нет
31.05.2007 11:39:17
Цитата
lazzan пишет:
Атакуют это преднамеренно или просто атаки идут с зараженных машин?
Поставь honeypot - узнаешь :)
Скорее всего - второе.

Цитата
lazzan пишет:
Как можно слегка наказать тех, кто делает это предномеренно?
Легально? Настучать прову
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#12
Это нравится:0Да/0Нет
31.05.2007 18:57:19
Настучать не получится, всеравно никто не отреагирует. Я подозреваю что там и сам сервак не в лучшем состоянии.
 
 
 
#13
Это нравится:0Да/0Нет
31.05.2007 19:22:47
Возможно, у Вас в сети эпидемия Blaster/LovSan из-за того, что абсолютно отсутствует антивирусная база.
 
 
 
#14
Это нравится:0Да/0Нет
31.05.2007 20:04:50
Цитата
Андрей К. aka Skvoznoy пишет:
Возможно, у Вас в сети эпидемия Blaster/LovSan из-за того, что абсолютно отсутствует антивирусная база.
Если не ошибаюсь, то Blaster/LovSan   - как раз 135 порт использует
Ввиду частоты атак вполне реальный вариант...
 
 
 
#15
Это нравится:0Да/0Нет
01.06.2007 02:44:03
Цитата
Андрей К. aka Skvoznoy пишет:
из-за того, что абсолютно отсутствует антивирусная база.
Скорей, из-за того, что абсолютно отсутствуют заплатки

Геннадьевич,
Андрей К. aka Skvoznoy,
правильно имя червяка пишется: lovesun  ;)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#16
Это нравится:0Да/0Нет
01.06.2007 18:31:39
2Shanker :

Заплатки в первую очередь отсутствуют в мозгу администратора. Клиент может быть некомпетентен в данных вопросах, поэтому прямой обязанностью администратора подавить эпицентр и затем предложить в этом плане тех.поддержку. Под антивирусной базой я понимаю действия администратора, которые осуществляют фильтрацию трафика на основе анализа содержимого полей протоколов. Многие аппаратные средства маршрутизации обогатились  антивирусной фильтрацией, могу привести множество брендов. Сам для этого использую продукты от Zyxel. Если для этого нет финансов, можно выявлять пакеты несоответствующие стандартам, так и анализ сигнатур. Для этого очень кстати использовать Snort (если конечно умеете писать для него сигнатурки :)). Он поможет своевременно сигнализировать о характерном для распространения вирусов трафике, а не ждать пока у Вас заразится часть сети с подобными клиентами.

По поводу правильности - меня не стоит поправлять. Lovsan (msblast) - имеет ряд альтернативных названий: Lovesan, Lovsan, Blaster, Msblast, Poza. Обратитесь к анализирующим источникам, к примеру http://www.f-secure.com/v-descs/msblast.shtml.  Как раз "lovesun" - является некорректной перефразой истинного названия.
 
 
 
#17
Это нравится:0Да/0Нет
02.06.2007 00:12:20
Такая же беда была когда в инет по карточкам выходил.  Ломились на 135-й порт из одной и той же подсети.  Атаке как "100 лет" а они червя удалить не могли  :o
 
 
 
Страницы: 1
Читают тему