Да, это оттуда (отчет раутера). И таких записей очень много. Меняются IP и порты. Защита сетевых атак KIS упорно молчит, в его отчетах нет ничегоСообщение от p2u
Да, это оттуда (отчет раутера). И таких записей очень много. Меняются IP и порты. Защита сетевых атак KIS упорно молчит, в его отчетах нет ничего
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Но за раутером, что вы ожидали? Раутер блокирует уже наверняка - если КИС ещё что-то писал бы, вам пришлось бы выбросить этот раутер из окна...
Бывают такие файрволы, которые пишут что сам раутер атакует ваш комп. К счастью такого не видать в КИСе....
Paul
У кого-нибудь outpost 2009 так же молчит как kis? За все время - 3 года - ни одной атаки, только сканирование портов >_< Это так хорошо меня outpost прячет или провайдер старается )) ? Настройки outposta максимальные - выбраны все типы атак.
Анти-хакер Касперского постояно детектил атаку хелкерн.
Последний раз редактировалось polimorf; 24.07.2008 в 16:19.
На тестирование КИСа по теме у меня вышел облом. Corbina (мой провайдер) не пропускает меня в Инет. Пришлось восстановить систему на состояние час назад с помощью Norton GoBack...
Сначала сделал лог GetSysInfo и выложил на сайт парсера во Франции - проблем несовместимости не было обнаружено (а как же иначе - система чиста). Загрузил и установил kis8.0.0.445ru.exe (последнюю версию). Сбоев или синних экранов не было. Всё вроде нормально работала ('You are protected' и всё такое - чувствовал себя как за каменной стеной), но видимо в аутентикации на Corbina по протоколу L2TP есть загвоздки...
Paul
У Корбины с L2TP какие-то проблемы. Я как-то настроил через него, интернет вылетал постоянно и скорость меньше стала. Лучше через обычный PPTP...но видимо в аутентикации на Corbina по протоколу L2TP есть загвоздки...
Paul
Corbina L2TP больше года был на стадии тестирования, и наверное так и не дотестировали.
Не заметил. У меня всегда нормально работала и сейчас нормально работает; только не с КИС...
(Конец офф-топа).
Paul
кис 8.0.0.445, полный скан портов tcp и udp:Код:Interesting ports on 192.168.0.2: Not shown: 65098 closed ports, 437 filtered ports Reason: 65098 resets and 437 no-responses PORT STATE SERVICE REASON VERSION 2869/tcp open http syn-ack Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP) Service Info: OS: Windows Interesting ports on 192.168.0.2: Not shown: 65527 closed ports Reason: 65527 port-unreaches PORT STATE SERVICE REASON VERSION 123/udp open ntp udp-response Microsoft NTP 135/udp open|filtered msrpc no-response 137/udp open|filtered netbios-ns no-response 138/udp open|filtered netbios-dgm no-response 139/udp open|filtered netbios-ssn no-response 445/udp open|filtered microsoft-ds no-response 500/udp open|filtered isakmp no-response 1900/udp open|filtered upnp no-response 4500/udp open|filtered sae-urn no-response Service Info: OS: Windows
@ All
Думаю, что немаловажно отметить, что открытый порт 123 - достаточно большой риск для безопасности; можно через него с точностью определить ОС и узнать настройки времени данного хоста. Говорить ещё о прямых эксплойтах против службы времени Windows - это уж слишком банально...
@ ЛКPORT 123 - Information
Port Number: 123
TCP / UDP: UDP
Delivery: No
Protocol / Name: ntp
Port Description: Network Time Protocol. Provides time synch between computers and network systems. Assists in database mgmt, auth schemes, and audit/logging accuracy. Security Concerns: It provides both info and an avenue of attack for intruders. Info gathered can include: system uptime, time since reset, time server pkt, I/O, & memory statistics, and ntp peer list. Further, if a host is susceptible to time altering via ntp, an attacker can:
1) Run replay attacks, using captured OTP and Kerberos tickets before they expire.
2) Stop security-related cron jobs from running or cause them to run at incorrect times.
3) Make system and audit logs unreliable, since time is alterable.
Virus / Trojan: No
Порт 123 единственный, где порт сервера и порт клиента - тот же. Известно же уже давно, что ничего кроме подлинных запросов и/или ответов по NTP пропускать на этот порт нельзя?! Разъясните, пожалуйста, плачевный результат.
@ costashu:
Это nmap или nessus выдал?
Paul
Последний раз редактировалось XP user; 27.07.2008 в 10:29.
nmap. Подтверждается nessus
Спасибо.
К сожалению придётся блондинкам перекраситься, или стричься налысо...
В добавок: я пропустил ещё порт 2869 в журнале costashu - тоже серьёзный риск. Это же UPnP/SSDP, из любимых векторов атак уже годами. Отличается от порта 123 тем, что можно через него напрямую атаковать память Винды (malformed http requests от атакера из того же сегмента, и всё такое)...
Paul
Последний раз редактировалось XP user; 27.07.2008 в 11:45. Причина: Добавлено
провел скан с помощью nessus (шаровый последний). Открыты те же порты, плюс подозрение на 21/tcp (возможно фалс). Также нессус нашел уязвимость среднего, оранжевого уровня тревоги (Medium Severity problem(s) found), а именно:вот экспорт результата скана (2.5кб) - nessus-report.rarRemote host replies to SYN+FIN
Synopsis :
It may be possible to bypass firewall rules.
Description :
The remote host does not discard TCP SYN packets which have
the FIN flag set.
Depending on the kind of firewall you are using, an attacker
may use this flaw to bypass its rules.
See also :
http://archives.neohapsis.com/archiv...2-10/0266.html
http://www.kb.cert.org/vuls/id/464113
Solution :
Contact your vendor for a patch.
Risk factor :
Medium / CVSS Base Score : 5.0
(CVSS2#AV:N/AC/Au:N/C:N/I
/A:N)
BID : 7487
Nessus ID : 11618
@ costashu
Любая грамотная атака начинается с разведки - сбора всей доступной информации об объекте нападения. Думаю, что мы собрали более, чем достаточно; у вас комп, я сказал бы, прямо умоляет нас атаковать его... Не грубой силой, конечно (это сразу заметно будет), а по-тихоньку. Несколькими malformed пакетиками в день, допустим, или TCP SYN пакетами с FIN флагами против самого файрвола, раз он такие пропускает/не отбрасывает. Потом уже продолжать действовать в обход правил данного файрвола. Нам весело будет; вам не очень...
Добавлено через 4 часа 24 минуты
Долго думал, писать или нет, но знаете, что мне больше всего не нравится в данном эксперименте? Целью сканирования является проверка полноты системы правил фильтрации. Система предполагает наличие правила обработки по умолчанию; по старым добрым правилам это должно быть 'Запретить Всё Всем'. В KISe такого нет, значит и нет системы. Любой открытый программой/службой порт становится доступен для атак. Вот недостаток файрвола KISa, по новой 'идеологии', описанной здесь. (Если ваш IP-адрес прямой, так сказать, то тогда ваш комп будет доступен для атак из ВСЕГО ИНЕТА!)
Paul
Последний раз редактировалось XP user; 27.07.2008 в 22:14. Причина: Добавлено
это тестовый комп
Да, да... А теперь представьте себе, что раздают торренты по локалке, например. Это значит, что каждый с прямым IP-адресом будет доступен из Инета. Смеха уже не будет, как вам кажется?это тестовый комп
Paul
смотря кому. У меня торрентов нет
посканил нессусом техрелиз кис 8.0.0.454. Результат тот же. И как быть? Уязвимость средней серьезности в защитном софте не имеет значения?
Последний раз редактировалось costashu; 02.08.2008 в 15:03. Причина: Добавлено
Обычный порядок такой:посканил нессусом техрелиз кис 8.0.0.454. Результат тот же. И как быть? Уязвимость средней серьезности в защитном софте не имеет значения?
Желательно самому написать эксплойт (для убедительности), и передать отчёты производителю продукта. Если производитель продукта не реагирует патчом в разумный срок, и/или ваши попытки связаться с производителем продукта и сообщить ему об уязвимости закончатся неудачей, то тогда уже уведомить общественность.
Paul
Попробуйте почитать внимательнее описание уязвимости.
1. Затронутые уязвимостью операционные системы не совместимы с KIS, за прошедшие почти 6 лет с момента обнаружения проблемы многое изменилось.
2. Фаервол KIS использует фильтрацию соединений, даже если переделать KIS под NT 4 он будет отлавливать попытки соединения с FIN флагом.
Я сам хочу, чтобы все было хорошо. Но, коллеги, ведь даже методики проверки здесь нет. Каждый тестирует так, как считает правильным. При этом есть только общие наброски - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
1. Тип соединения
2. Отсутствие любых устройств, которые могу "помочь пользователю"
3. Отсутствие любых программных потенциально-несовместимых фильтров, счетчиков, фаерволов и т.п. Неактивные - это не значит, что не работают. Т.к. есть драйверы и NDIS-фильтры.
4. Настройка KIS. Проверяется не фаервол, а его основная составляющая - пакетные правила по умолчанию.
5. Фактическое использование найденных брешей. Допустим, пользователь выключит IDS или установит p2p-соединение. Как это поможет злоумышленнику? Т.е. хотя бы telnet.
Ваши права в разделе
Ответить с цитированием
