Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Атака RPC DCOM

  1. #1
    Matt
    Guest

    Атака RPC DCOM

    Доброго Вам сетевого времени!

    Был атакован RPC DCOM, его определил брандмауэр Outpost. Не представляю, на сколько это серьёзно.
    Может быть кто-то уже сталкивался с такой атакой. Подскажите, что надо предпринять?

    Заранее благодарю,
    Matt

  2. Реклама
     

  3. #2
    Geser
    Guest
    Да в общем ничего

  4. #3
    Visiting Helper Репутация
    Регистрация
    10.08.2005
    Адрес
    Tajikistan
    Сообщений
    55
    Вес репутации
    42
    Если не ошибаюсь, то результатом этой атаки (если нет защиты) является аварийная перезагрузка системы, которая происходит через одну минуту. Если с кем-то это произошло, а перезагрузка не желательна, то можно воспользоваться командой "shutdown -a", и перезагрузка не произойдёт.

  5. #4
    Matt
    Guest

    Question

    Перезагрузки у меня не было. Но не совсем понял gines, если перезагрузка происходит, как же воспользоваться
    командой "shutdown -a", и перезагрузка не произойдёт

  6. #5
    Visiting Helper Репутация
    Регистрация
    10.08.2005
    Адрес
    Tajikistan
    Сообщений
    55
    Вес репутации
    42
    Правильно, перезагрузки и не было, т.к. фаевол заблокировал атаку. А сама перезагрузка в таком случае происходит через одну минуту (вот тогда и необходимо применить команду Пуск->Выполнить->shutdown -a ), о чём Windows уведомляет. Если очень хочется посмотреть на окошко уведомления с последующей перезагрузкой, то можно поснимать svchost'ы в диспетчере задач. Только будь готов к перезагрузке, даже если её отменишь, Windows потеряет функциональность. И перезагрузка будет необходима.

  7. #6
    Matt
    Guest
    Не знаю, на что грешить, но вот только закончил переустановку сетевого экрана. Завис напрочь. Толи это последствие атаки, то ли глюк экрана.

  8. #7
    Visiting Helper Репутация
    Регистрация
    10.08.2005
    Адрес
    Tajikistan
    Сообщений
    55
    Вес репутации
    42
    А зачем переустанавливал-то?

  9. #8
    Matt
    Guest
    Cетевой экрана завис напрочь. И всякая дрянь лезла из сети.

  10. #9
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Ребята, я че-то не пойму. Вы прикалываетесь, что-ли?
    Значит так. Прописные истины и тонны литературы вылаживать не буду.
    Вкратце.
    Был атакован RPC DCOM
    "Различные черви и утилиты используют DCOM-уязвимость, что может привести к выполнению злонамеренного кода или падениям системы."
    Этого достаточно, чтобы понять о чем вообще идет речь.
    Варианта два.
    1. Поймал трояна.
    2. Тебе устроили бомбардировку из сети.
    Что предпринять.
    1. Пройтись по машине антивирусом с последними антивирусными базами, а не годичной давности.
    2. Установить последние сервис-паки к Винде.
    3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п.
    4. Установить Outpost правильно, с нуля и созданием нового конфига.
    5. В общих/системных настройках в ОР + для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту.
    Удачи.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  11. #10
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    45
    To orvman:
    "3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п."
    А если есть Ethernet?Где и как это прибивать?Я только вчера с нуля ставил аутпост.После того как поставил и начались эти атаки.То есть svchost.exe вообше заблокировать?"для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту."Этого я не нашел но сделелал в vulnerable ports 135 TCP,135 UDP weight 2-(это я оставил по умолчанию как он мне предложил).Но в портах которым он доверят уже стоит 135 Microsoft RPC end point to end point mapping-вот это стоит в протах которым он доверяет.Трояна вроде нет так как вот пару дней назад выкладывал логи сказли что чисто.
    P.S.
    А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!
    Последний раз редактировалось Dark_Blaze; 15.11.2005 в 17:44.

  12. #11
    Matt
    Guest
    Уважаемый orvman, извиняюсь с задержкой ответа (не было Интернета).
    Зачитался Вашей перепиской с «Вова» на форуме экрана, было интересно!

    Что касается моей темы тут, то :
    1. даже если я и не поймал Троян, то после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.
    2. У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.
    3.После этого я сделал п1,2,3.
    И самое главное переустановил экран заново, всё заработало - НО!
    Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать?
    4. За пункт 5 отдельное Спасибо! - прописал svhost.exe.

  13. #12
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Matt, привет
    после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.
    Мы это вроде обсуждали на форуме оверлокеров. Разве проблема не разрешилась?
    У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.
    Вполне может быть.
    главное переустановил экран заново, всё заработало - НО!
    Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать?
    Не совсем понял. Но смысл такой. Конфиг создается при инсталле ОР на автомате, там нужно соглашаться и т.д. После перезагрузки этот конфиг на автомате нужно править. Обязательно, естественно, если знаешь, что делаешь. Т.к. там много мусора, ненужных прог и т.д. (помню как с выходом v2.6 с удивлением обнаружил, что после инсталла ОР мне сбросил все настройки ICMP, дектора атак, контроля компонентов и т.д., это отдельная тема - http://forum.five.mhost.ru/showthread.php?t=1801 - я писал там). После инсталла, я частенько правлю файлы конфигов, чтоб отображалось все в реальном режиме времени (см. ссылку выше)...
    Короче, после любого анинсталла/инсталла ОР нужно внимательно смотреть настройки.
    Вот реальный пример:
    1. Ставим ОР. Настраиваем.
    2. Не понравился, сносим.
    3. Ставим ZA.
    4. Не понравился ZA, сносим.
    5. Ставим Sygate (или еще что).
    6. Не понравился ..., сносим.
    7. Вспоминаем, что все-таки ОР был лучше.
    8. Ставим ОР + берем старый конфиг от предыдущего инсталла.
    9. Не забываем, что перед инсталлами/анинсталлами фаеров инсталли еще и кучу другого софта, антивирусы и т.д.
    10. После последнего инсталла ОР наблюдаем реальные глюки.
    К чему это? Да к тому, что не нужно ставить ОР и брать старый конфиг. Возможные глюки в 99% - именно в контроле компонентов. Есть еще куча вариантов. Я уже не говорю об остатках других фаеров в реестре и т.д.
    Вот поэтому всегда нужно создавать новый конфиг (реальный пример - невозможность использования ICS для клиентов на шлюзе). Также стоит отметить, что в ОР есть такая функция - обновление. Насчет этого тоже отдельная тема. Т.к. стоит отметить, что производители ОР не всегда вылаживают корректные версии и после вот такого автообновления может случиться что угодно. Реальный пример - см. ссылку выше. Поэтому я не пользуюсь автообновлением и отношусь к этому с большим недоверием... А при инсталле ОР лучше пользоваться вот этим:

    Инструкции по расширенной деинсталляции и переустановке Outpost Firewall


    Dark_Blaze, ну как прибивать DCOM есть куча вариантов, службы, утилиты и т.д., кстати и на этом форуме уже это обсуждалось, целая ветка посвещена этому.
    После того как поставил и начались эти атаки
    Вот это хорошо. Значит ОР их фиксирует и блокирует. Это нормальное явление.
    То есть svchost.exe вообше заблокировать?
    Если есть локальная сеть, то нельзя блокировать, многим сервисам Винды он нужен, правда многое еще зависит от самих сетевых настроек Винды, запущенного софта и т.д... Если локалки нет, то есть варианты убрать svchost из списков программ в ОР, многое еще зависит от вида подключений.
    А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!
    Ну как Вам сказать. Ну, поймите, это же не компьютерные курсы. Это просто нужно знать, а многое приходит еще и с опытом. А инфу можно найти в книжках или например на яндексе.

    P.S.
    В догонку скажу, что хорошие настройки для svchost.exe (в секции 6.2.1 по ссылке ниже), да и вообще для всей системы находятся здесь:
    Руководство по созданию безопасной конфигурации Outpost
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  14. #13
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    45
    To orvman:
    Вот специально ждал пока вы ответитеУже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!Хотя 135 TCP все такие еще остался в доверенных но с этим виндоуз маппинг...но факт проблемы нет.Большое Вам спасибо!Все Вами сказаное прочитал,по ссылкам тоже пойду читать.Кароче бальшое спасибо

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Dark_Blaze
    Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!
    Действия внешних сил от ваших телодвижений никак не зависят. Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча.

  16. #15
    Matt
    Guest
    Уважаемый, orvman!
    Разве проблема не разрешилась?
    Видимо нет!
    Не использую авто обновление и я, по причине «лекарства».
    Хотя с версией 2.5 не было проблем, и 2 раза обновил, а при 3 разе накрылся тазом (медным). С тех пор «учёный».
    Но вот поставил 3 версию, а там «Anti-Spyware» с базой от 19.09.05. И что-то захотелось её обновить. Вот так и возникла тема.
    М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?

    Но это как бы не вирусное направление, поэтому более подробно напишу в форуме оверлокеров.

    P.S. Новый конфиг создал. А все изменения буду применять после уточнения на форуме и изучения материала по всем ссылкам. За это отдельное спасибо, orvman!

    P.S.S. А что касается общего ответа на тему, то перефразируя одного героя можно подвести итог:
    -Спокойствие только спокойствие, вирусы - это дело житейское!
    Всем, кто принимал участие в обсуждении БОЛЬШОЕ СПАСИБО!!!

  17. #16
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Dark_Blaze
    Хотя 135 TCP все такие еще остался в доверенных
    Как это в Доверенных?! Самоубийца?

    pig
    Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча
    Не, молча он отбивает ICMP и другую лабуду. А вот о скане портов он оязан оповещеть. Но многое зависит от настроек в ОР. Например "Показывать визуальные оповещения" или глянуть сюда : Детектор Атак - Свойства - Дополнительно - Список Атак - Редактировать - Дополнительно.

    Matt
    М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?
    ОК. Выкладывай сюда содержимое файла update.ini, смотреть будем.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  18. #17
    Matt
    Guest
    Уважаемый, orvman!
    Буду признателен за любую помощь, вот мой update.ini
    ===========================================
    [Download]
    ServerDir=/update_test
    Server=www.agnitum.com
    UserName=ftp
    DownloadDir=E:\Program Files\Common Files\Agnitum Shared\Aupdate\Downloaded Files\
    PhpServerDir=/updates
    Port=80
    RetryCount=5
    Protocol=http
    [General]
    ShowTypePage=0
    Stable=1
    [NeedToUpdate]
    engine.dll=0
    outpost.exe=0
    aupdate.dll=0
    spy_main.sdb=0
    spy_inc.sdb=0
    [log]
    WriteLog=1
    TimeInFilename=0
    [View]
    WizardSpacing=11
    [Debug]
    DisableFileCopy=no
    DisableFileDownload=no
    DisableReboot=no
    DisableTimeCheck=no
    PopupDebugMessage=no
    ForceResume=no

  19. #18
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    А у тебя, что ОР не зарегистрирован? ...
    После параметра UserName добавить строку:
    Password=jq9DJDjq9DJD
    ( Если не получится то ServerDir=/update_test поменять на ServerDir=/update_pro20 )
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  20. #19
    Matt
    Guest
    1. Поправил INI, перезапустил OUTPOST.
    2. Поместил в «Доверенные приложения»:
    AUPDRUN.EXE, FEEDBACK.EXE, OUTPOST.EXE
    3. Включал «Проверить обновления базы Spyware» и «Обновление…» тишина.
    4. Включил «Автоматически проверять обновления», пока так же.

  21. #20
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Странно, должно все работать. Ты мне скажи. Программа-то зарегистрирована? Да и еще, когда нажмешь на "проверить обновления базы spyware", глянь в ОР за процессом outpost.exe, он должен ломануться на свой веб-сервер по 80 порту. Глянь сколько он закачал и что там творится на самом деле.
    P.S. Не забудь проставить в ОР все дополнительные колонки, так инфы будет больше.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 19.01.2012, 12:02
  2. Ответов: 4
    Последнее сообщение: 20.11.2010, 23:45
  3. DCOM
    От zuefh в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 02.12.2008, 23:06
  4. RPC DCOM Attack
    От Dark_Blaze в разделе Межсетевые экраны (firewall)
    Ответов: 2
    Последнее сообщение: 15.11.2005, 15:40
  5. FAQ по уязвимостям в Dcom RPC
    От SDA в разделе Windows для опытных пользователей
    Ответов: 0
    Последнее сообщение: 16.07.2005, 20:14

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00442 seconds with 21 queries