# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Атака RPC DCOM

## Matt

Доброго Вам сетевого времени!

Был атакован *RPC DCOM*, его определил брандмауэр Outpost. Не представляю, на сколько это серьёзно. 
Может быть кто-то уже сталкивался с такой атакой. Подскажите, что надо предпринять?

Заранее благодарю,
Matt

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Да в общем ничего

----------


## gines

Если не ошибаюсь, то результатом этой атаки (если нет защиты) является аварийная перезагрузка системы, которая происходит через одну минуту. Если с кем-то это произошло, а перезагрузка не желательна, то можно воспользоваться командой "shutdown -a", и перезагрузка не произойдёт.

----------


## Matt

Перезагрузки у меня не было. Но не совсем понял *gines*, если перезагрузка происходит, как же воспользоваться 



> командой "shutdown -a", и перезагрузка не произойдёт


 :Huh:

----------


## gines

Правильно, перезагрузки и не было, т.к. фаевол заблокировал атаку. А сама перезагрузка в таком случае происходит через одну минуту (вот тогда и необходимо применить команду Пуск->Выполнить->shutdown -a ), о чём Windows уведомляет. Если очень хочется посмотреть на окошко уведомления с последующей перезагрузкой, то можно поснимать svchost'ы в диспетчере задач. Только будь готов к перезагрузке, даже если её отменишь, Windows потеряет функциональность. И перезагрузка будет необходима.

----------


## Matt

Не знаю, на что грешить, но вот только закончил переустановку сетевого экрана. Завис напрочь. Толи это последствие атаки, то ли глюк экрана.

----------


## gines

А зачем переустанавливал-то?

----------


## Matt

Cетевой экрана завис напрочь. И всякая дрянь лезла из сети.

----------


## orvman

Ребята, я че-то не пойму. Вы прикалываетесь, что-ли? 
Значит так. Прописные истины и тонны литературы вылаживать не буду.
Вкратце. 


> Был атакован RPC DCOM


"Различные черви и утилиты используют DCOM-уязвимость, что может привести к выполнению злонамеренного кода или падениям системы."
Этого достаточно, чтобы понять о чем вообще идет речь.
Варианта два.
1. Поймал трояна.
2. Тебе устроили бомбардировку из сети.
Что предпринять.
1. Пройтись по машине антивирусом с последними антивирусными базами, а не годичной давности.
2. Установить последние сервис-паки к Винде.
3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п.  
4. Установить Outpost правильно, с нуля и созданием нового конфига.
5. В общих/системных настройках в ОР + для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту.
Удачи.

----------


## Dark_Blaze

To orvman:
"3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п."
А если есть Ethernet?Где и как это прибивать?Я только вчера с нуля ставил аутпост.После того как поставил и начались эти атаки.То есть svchost.exe вообше заблокировать?"для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту."Этого я не нашел но сделелал в vulnerable ports 135 TCP,135 UDP weight 2-(это я оставил по умолчанию как он мне предложил).Но в портах которым он доверят уже стоит 135 Microsoft RPC end point to end point mapping-вот это стоит в протах которым он доверяет.Трояна вроде нет так как вот пару дней назад выкладывал логи сказли что чисто.
P.S.
А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!

----------


## Matt

Уважаемый *orvman*, извиняюсь с задержкой ответа (не было Интернета).
Зачитался Вашей перепиской с «Вова» на форуме экрана, было интересно!

Что касается моей темы тут, то :
1. даже если я и не поймал Троян, то после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.
2. У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.
3.После этого я сделал п1,2,3.
И самое главное переустановил экран заново, всё заработало - НО! 
Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать?
4. За пункт 5 отдельное Спасибо! - прописал svhost.exe.

----------


## orvman

*Matt*, привет 


> после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.


 Мы это вроде обсуждали на форуме оверлокеров. Разве проблема не разрешилась? 


> У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.


 Вполне может быть. 


> главное переустановил экран заново, всё заработало - НО! 
> Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать?


 Не совсем понял. Но смысл такой. Конфиг создается при инсталле ОР на автомате, там нужно соглашаться и т.д. После перезагрузки этот конфиг на автомате нужно править. Обязательно, естественно, если знаешь, что делаешь. Т.к. там много мусора, ненужных прог и т.д. (помню как с выходом v2.6 с удивлением обнаружил, что после инсталла ОР мне сбросил все настройки ICMP, дектора атак, контроля компонентов и т.д., это отдельная тема - http://forum.five.mhost.ru/showthread.php?t=1801 - я писал там). После инсталла, я частенько правлю файлы конфигов, чтоб отображалось все в реальном режиме времени (см. ссылку выше)...
Короче, после любого анинсталла/инсталла ОР нужно внимательно смотреть настройки. 
Вот реальный пример:
1. Ставим ОР. Настраиваем.
2. Не понравился, сносим.
3. Ставим ZA.
4. Не понравился ZA, сносим.
5. Ставим Sygate (или еще что).
6. Не понравился ..., сносим.
7. Вспоминаем, что все-таки ОР был лучше.
8. Ставим ОР + берем старый конфиг от предыдущего инсталла.
9. Не забываем, что перед инсталлами/анинсталлами фаеров инсталли еще и кучу другого софта, антивирусы и т.д.
10. После последнего инсталла ОР наблюдаем реальные глюки.
К чему это? Да к тому, что не нужно ставить ОР и брать старый конфиг. Возможные глюки в 99% - именно в контроле компонентов. Есть еще куча вариантов. Я уже не говорю об остатках других фаеров в реестре и т.д.
Вот поэтому всегда нужно создавать новый конфиг (реальный пример - невозможность использования ICS для клиентов на шлюзе). Также стоит отметить, что в ОР есть такая функция - обновление. Насчет этого тоже отдельная тема. Т.к. стоит отметить, что производители ОР не всегда вылаживают корректные версии и после вот такого автообновления может случиться что угодно. Реальный пример - см. ссылку выше. Поэтому я не пользуюсь автообновлением и отношусь к этому с большим недоверием... А при инсталле ОР лучше пользоваться вот этим:

Инструкции по расширенной деинсталляции и переустановке Outpost Firewall 

*Dark_Blaze*, ну как прибивать DCOM есть куча вариантов, службы, утилиты и т.д., кстати и на этом форуме уже это обсуждалось, целая ветка посвещена этому. 


> После того как поставил и начались эти атаки


 Вот это хорошо. Значит ОР их фиксирует и блокирует. Это нормальное явление. 


> То есть svchost.exe вообше заблокировать?


 Если есть локальная сеть, то нельзя блокировать, многим сервисам Винды он нужен, правда многое еще зависит от самих сетевых настроек Винды, запущенного софта и т.д... Если локалки нет, то есть варианты убрать svchost из списков программ в ОР, многое еще зависит от вида подключений. 



> А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!


 Ну как Вам сказать. Ну, поймите, это же не компьютерные курсы. Это просто нужно знать, а многое приходит еще и с опытом. А инфу можно найти в книжках или например на яндексе.  

P.S. 
В догонку скажу, что хорошие настройки для svchost.exe (в секции 6.2.1 по ссылке ниже), да и вообще для всей системы находятся здесь:
Руководство по созданию безопасной конфигурации Outpost

----------


## Dark_Blaze

To orvman:
Вот специально ждал пока вы ответите :Smiley: Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!Хотя 135 TCP все такие еще остался в доверенных но с этим виндоуз маппинг...но факт проблемы нет.Большое Вам спасибо!Все Вами сказаное прочитал,по ссылкам тоже пойду читать.Кароче бальшое спасибо :Smiley:

----------


## pig

> Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!


Действия внешних сил от ваших телодвижений никак не зависят. Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча.

----------


## Matt

Уважаемый, *orvman*!



> Разве проблема не разрешилась?


Видимо нет! :Stick Out Tongue:  
Не использую авто обновление и я, по причине «лекарства». 
Хотя с версией 2.5 не было проблем, и 2 раза обновил, а при 3 разе накрылся тазом (медным). С тех пор «учёный». :Huh:  
Но вот поставил 3 версию, а там «Anti-Spyware» с базой от 19.09.05. И что-то захотелось её обновить. Вот так и возникла тема. 
М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?

Но это как бы не вирусное направление, поэтому более подробно напишу в форуме оверлокеров.

*P.S.* Новый конфиг создал. А все изменения буду применять после уточнения на форуме и изучения материала по всем ссылкам. За это отдельное спасибо, *orvman*!

*P.S.S.* А что касается общего ответа на тему, то перефразируя одного героя можно подвести итог:
-Спокойствие только спокойствие, вирусы - это дело житейское!
*Всем, кто принимал участие в обсуждении БОЛЬШОЕ СПАСИБО!!!*  :Wink:

----------


## orvman

*Dark_Blaze*



> Хотя 135 TCP все такие еще остался в доверенных


 Как это в Доверенных?! Самоубийца?

*pig*



> Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча


 Не, молча он отбивает ICMP и другую лабуду. А вот о скане портов он оязан оповещеть. Но многое зависит от настроек в ОР. Например "Показывать визуальные оповещения" или глянуть сюда : Детектор Атак - Свойства - Дополнительно - Список Атак - Редактировать - Дополнительно. 

*Matt*



> М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?


ОК. Выкладывай сюда содержимое файла update.ini, смотреть будем.

----------


## Matt

Уважаемый, *orvman*!
Буду признателен за любую помощь, вот мой update.ini
===========================================
[Download]
ServerDir=/update_test
Server=www.agnitum.com
UserName=ftp
DownloadDir=E:\Program Files\Common Files\Agnitum Shared\Aupdate\Downloaded Files\
PhpServerDir=/updates
Port=80
RetryCount=5
Protocol=http
[General]
ShowTypePage=0
Stable=1
[NeedToUpdate]
engine.dll=0
outpost.exe=0
aupdate.dll=0
spy_main.sdb=0
spy_inc.sdb=0
[log]
WriteLog=1
TimeInFilename=0
[View]
WizardSpacing=11
[Debug]
DisableFileCopy=no
DisableFileDownload=no
DisableReboot=no
DisableTimeCheck=no
PopupDebugMessage=no
ForceResume=no

----------


## orvman

А у тебя, что ОР не зарегистрирован? ... 
После параметра UserName добавить строку:
Password=jq9DJDjq9DJD
( Если не получится то ServerDir=/update_test поменять на ServerDir=/update_pro20 )

----------


## Matt

1. Поправил INI, перезапустил OUTPOST.
2. Поместил в «Доверенные приложения»:
AUPDRUN.EXE, FEEDBACK.EXE, OUTPOST.EXE
3. Включал «Проверить обновления базы Spyware» и «Обновление…» тишина.
4. Включил «Автоматически проверять обновления», пока так же.

----------


## orvman

Странно, должно все работать. Ты мне скажи. Программа-то зарегистрирована? Да и еще, когда нажмешь на "проверить обновления базы spyware", глянь в ОР за процессом outpost.exe, он должен ломануться на свой веб-сервер по 80 порту. Глянь сколько он закачал и что там творится на самом деле.
P.S. Не забудь проставить в ОР все дополнительные колонки, так инфы будет больше.

----------


## Matt

1. Да, я её «крякнул» и до окончания подписки осталось 248 дней (на сегодня).
2. На команду «Проверить обновления базы Spyware» рыпнулся, но довольно вяло AUPDRUN.EXE

Протокол TCP
Локальный порт 1162
Скорость 0,5Кбайт/с
Удалённый адрес 67.15.103.130
Удалённый порт HTTP
Разрешить действие приложения
Состояние ИСХ ЗАКРЫТИЕ

А OUTPOST.EXE так и не проявился.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

