Показано с 1 по 16 из 16.

атаки 127.0.0.1 (заявка № 6137)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38

    атаки 127.0.0.1

    за пять дней - девять атак с адреса 127.0.0.1
    что это значит?
    чей это адрес?

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Ваш собственный. Это какой файрвол такое детектирует?

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Вполне стоило бы сделать логи согласно Правил.
    - Есть троянские сайты в интернете, DNS на которые разрешается в 127.0.0.1 (именно DNS, это не ошибка). Сам удивился, когда попытка загрузить заразу для проверки с такого сайта обернулась запросом wget на 127.0.0.1:80. Фантастика, но тем не менее факт .
    - это может быть банально прописано в hosts. Видимо, конкуренция. Видел такое в загружаемых троянами шаблонах hosts, и не раз.

  5. #4
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Это какой файрвол такое детектирует?
    Я не телепат, но это на 99% - Agnitum Outpost
    - Есть троянские сайты в интернете, DNS на которые разрешается в 127.0.0.1 (именно DNS, это не ошибка). Сам удивился, когда попытка загрузить заразу для проверки с такого сайта обернулась запросом wget на 127.0.0.1:80. Фантастика, но тем не менее факт
    ?????????????????????
    Вообще-то не совсем понял, но есть варианты, когда некоторые веб-сервера на запрос в ответе отвечают адресом 127.0.0.1 , что и приводит к такой ситуации. И ничего удивительного лично для меня здесь нет.

    ИсСледователь, вообще-то, действительно, сделайте логи согласно правилам. Тогда можно что-либо сказать.
    Я склоняюсь к ошибке сети, фаера и т.д.

    P.S. А адрес 127.0.0.1 - очень много троянов юзает, но, опять же, не в этом дело.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  6. #5
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    Оутпост. 3.51
    я не знаю что такое логи и как их делать. даже не понял, что Алексей написал. тупой...
    Кто то меня атакует через этот адрес?
    Последний раз редактировалось ИсСледователь; 02.09.2006 в 16:15.

  7. #6
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    ЗА ЧАС ЕЩЁ ЧЕТЫРЕ АТАКИ, И с сайтами явно не связано - всего на двух был - этом и аналогичном.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от ИсСледователь
    ЗА ЧАС ЕЩЁ ЧЕТЫРЕ АТАКИ, И с сайтами явно не связано - всего на двух был - этом и аналогичном.
    сказали же - делайте логи. это нужно было сделать еще в первом сообщении. читайте правила форума. все гадалки в отпуске.

  9. #8
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    Правила давно читал, говорю же - на меня они не действуют...
    ладно.

  10. #9
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    На сайте ОРВМАНа таких жалоб - чуть ли не десятки нашёл. так что похоже на проблемы оутпоста. разных версий.

  11. #10
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    вот человек уже проверял на сайте овермана:

    Проверил систему с помощью AVZ. Вот фрагменты ее отчета (вдруг кому пригодится и чтоб зря не нервничали):


    Код:

    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
    Функция kernel32.LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
    Функция kernel32.LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
    Функция kernel32.LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=08C500)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    SDT = 80563500
    KiST = 87C31728 (297)
    >>> Внимание, таблица KiST перемещена ! (804E4F40(284)->87C31728(297))
    Функция ZwClose (19) перехвачена (80570D29->B7AF3D00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateProcess (2F) перехвачена (805B4A28->B7AF3A20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->B7AF3B90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateSection (32) перехвачена (8056EE25->B7AF3E40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateThread (35) перехвачена (80586CE6->B7AF4630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwOpenFile (74) перехвачена (8057F719->F789BCF0), перехватчик kl1.sys
    Функция ZwOpenProcess (7A) перехвачена (80581C68->B7AF37B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQueryInformationFile (97) перехвачена (80580C35->B7AF42F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->B7AF4430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwResumeThread (CE) перехвачена (8058735D->B7AF45E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9->B7AF61F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwSuspendThread (FE) перехвачена (8063795B->B7AF4590), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwTerminateProcess (101) перехвачена (8058CE75->B7C45330), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
    Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->B7C45290), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
    Проверено функций: 284, перехвачено: 14, восстановлено: 0

    После поиска по гуглю оказалось, что все это Касперский (не считая последних строк с OutPost). И еще один фрагмент:


    Код:

    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\ctagent.dll>>> Нейросеть: файл с вероятностью 99.87% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

    Фигню пишет этот AVZ. Библиотека ctagent.dll поставляется со всеми звуковыми карточками Creative, в данном случае с X-Fi XtremeMusic.

    В общем ничего AVZ по сути не нашел. Так что удалять сомнительные разделы реестра с нулевыми символами, видимо, не буду, вполне вероятно, что их создают какие-то из установленных у меня программ для скрытия специфической информации. Хотя можно сделать копию реестра, потом грохнуть эти разделы и посмотреть, что будет, но это уже как-нибудь на досуге.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    C:\WINDOWS\system32\ctagent.dll пришлите для внесения в базу безопасных. А по жизни оно, наверное, действительно хукер клавиатуры, чтобы эквалайзером с кнопок рулить. AVZ в отношении этой породы очень редко ошибается.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    Цитата Сообщение от ИсСледователь
    Правила давно читал, говорю же - на меня они не действуют...
    -имеются ввиду вот эти Правила и "действовать" они должны на всех, кто рассчитывает на получение помощи на этом Форуме!
    Цитата Сообщение от ИсСледователь
    вот человек уже проверял на сайте овермана:

    Проверил систему с помощью AVZ. Вот фрагменты ее отчета (вдруг кому пригодится и чтоб зря не нервничали)...
    -причём тут сайт "овермана" и какой человек?.. помощь нужна Вам или ему?.. кроме того, по-моему, кроме Вас тут никто и не нервничает, атаки-то наблюдаются на Ваш ПК
    -ну, а приведённый фрагмент, практически ничего не даёт для решения Вашей проблемы... ещё раз, нужна помощь - выполняйте Правила!
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  14. #13
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    повторяю ещё раз - они для меня слишком сложные. я не знаю, что такое логи и как их делают. и у меня не с вирусом проблема.
    ладно, проехали...

  15. #14
    Junior Member Репутация
    Регистрация
    28.08.2006
    Сообщений
    13
    Вес репутации
    38
    Но на сайте ОРВМАНа там целая эпидемия таких атак. много аналогичных жалоб.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от ИсСледователь
    и у меня не с вирусом проблема.
    если не с вирусом - то нечего делать в этом разделе

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от ИсСледователь
    повторяю ещё раз - они для меня слишком сложные. я не знаю, что такое логи и как их делают.
    Проблема с пониманием прочитанного? Может, позвать того, кто понимает?

  • Уважаемый(ая) ИсСледователь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Атаки...
      От zolboo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.05.2011, 22:16
    2. атаки из вне на мой компьютер
      От foxlimon в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.12.2010, 07:30
    3. атаки
      От zero в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.08.2010, 21:08
    4. DNS- атаки
      От antanta в разделе Общая сетевая безопасность
      Ответов: 0
      Последнее сообщение: 06.08.2010, 21:53
    5. Атаки
      От IntGirl в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.02.2010, 21:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01589 seconds with 23 queries