Доброго Вам сетевого времени!

Был атакован RPC DCOM, его определил брандмауэр Outpost. Не представляю, на сколько это серьёзно.
Может быть кто-то уже сталкивался с такой атакой. Подскажите, что надо предпринять?

Заранее благодарю,
Matt

Да в общем ничего

Если не ошибаюсь, то результатом этой атаки (если нет защиты) является аварийная перезагрузка системы, которая происходит через одну минуту. Если с кем-то это произошло, а перезагрузка не желательна, то можно воспользоваться командой "shutdown -a", и перезагрузка не произойдёт.

Перезагрузки у меня не было. Но не совсем понял gines, если перезагрузка происходит, как же воспользоваться


командой "shutdown -a", и перезагрузка не произойдёт

:?

Правильно, перезагрузки и не было, т.к. фаевол заблокировал атаку. А сама перезагрузка в таком случае происходит через одну минуту (вот тогда и необходимо применить команду Пуск->Выполнить->shutdown -a ), о чём Windows уведомляет. Если очень хочется посмотреть на окошко уведомления с последующей перезагрузкой, то можно поснимать svchost'ы в диспетчере задач. Только будь готов к перезагрузке, даже если её отменишь, Windows потеряет функциональность. И перезагрузка будет необходима.

Не знаю, на что грешить, но вот только закончил переустановку сетевого экрана. Завис напрочь. Толи это последствие атаки, то ли глюк экрана.

А зачем переустанавливал-то?

Cетевой экрана завис напрочь. И всякая дрянь лезла из сети.

Ребята, я че-то не пойму. Вы прикалываетесь, что-ли?
Значит так. Прописные истины и тонны литературы вылаживать не буду.
Вкратце.
Был атакован RPC DCOM
"Различные черви и утилиты используют DCOM-уязвимость, что может привести к выполнению злонамеренного кода или падениям системы."
Этого достаточно, чтобы понять о чем вообще идет речь.
Варианта два.
1. Поймал трояна.
2. Тебе устроили бомбардировку из сети.
Что предпринять.
1. Пройтись по машине антивирусом с последними антивирусными базами, а не годичной давности.
2. Установить последние сервис-паки к Винде.
3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п.
4. Установить Outpost правильно, с нуля и созданием нового конфига.
5. В общих/системных настройках в ОР + для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту.
Удачи.

To orvman:
"3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п."
А если есть Ethernet?Где и как это прибивать?Я только вчера с нуля ставил аутпост.После того как поставил и начались эти атаки.То есть svchost.exe вообше заблокировать?"для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту."Этого я не нашел но сделелал в vulnerable ports 135 TCP,135 UDP weight 2-(это я оставил по умолчанию как он мне предложил).Но в портах которым он доверят уже стоит 135 Microsoft RPC end point to end point mapping-вот это стоит в протах которым он доверяет.Трояна вроде нет так как вот пару дней назад выкладывал логи сказли что чисто.
P.S.
А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!

Уважаемый orvman, извиняюсь с задержкой ответа (не было Интернета).
Зачитался Вашей перепиской с «Вова» на форуме экрана, было интересно!

Что касается моей темы тут, то :
1. даже если я и не поймал Троян, то после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.
2. У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.
3.После этого я сделал п1,2,3.
И самое главное переустановил экран заново, всё заработало - НО!
Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать?
4. За пункт 5 отдельное Спасибо! - прописал svhost.exe.

Matt, привет
после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки. Мы это вроде обсуждали на форуме оверлокеров. Разве проблема не разрешилась?
У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.
Вполне может быть.
главное переустановил экран заново, всё заработало - НО!
Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать? Не совсем понял. Но смысл такой. Конфиг создается при инсталле ОР на автомате, там нужно соглашаться и т.д. После перезагрузки этот конфиг на автомате нужно править. Обязательно, естественно, если знаешь, что делаешь. Т.к. там много мусора, ненужных прог и т.д. (помню как с выходом v2.6 с удивлением обнаружил, что после инсталла ОР мне сбросил все настройки ICMP, дектора атак, контроля компонентов и т.д., это отдельная тема - http://forum.five.mhost.ru/showthread.php?t=1801 - я писал там). После инсталла, я частенько правлю файлы конфигов, чтоб отображалось все в реальном режиме времени (см. ссылку выше)...
Короче, после любого анинсталла/инсталла ОР нужно внимательно смотреть настройки.
Вот реальный пример:
1. Ставим ОР. Настраиваем.
2. Не понравился, сносим.
3. Ставим ZA.
4. Не понравился ZA, сносим.
5. Ставим Sygate (или еще что).
6. Не понравился ..., сносим.
7. Вспоминаем, что все-таки ОР был лучше.
8. Ставим ОР + берем старый конфиг от предыдущего инсталла.
9. Не забываем, что перед инсталлами/анинсталлами фаеров инсталли еще и кучу другого софта, антивирусы и т.д.
10. После последнего инсталла ОР наблюдаем реальные глюки.
К чему это? Да к тому, что не нужно ставить ОР и брать старый конфиг. Возможные глюки в 99% - именно в контроле компонентов. Есть еще куча вариантов. Я уже не говорю об остатках других фаеров в реестре и т.д.
Вот поэтому всегда нужно создавать новый конфиг (реальный пример - невозможность использования ICS для клиентов на шлюзе). Также стоит отметить, что в ОР есть такая функция - обновление. Насчет этого тоже отдельная тема. Т.к. стоит отметить, что производители ОР не всегда вылаживают корректные версии и после вот такого автообновления может случиться что угодно. Реальный пример - см. ссылку выше. Поэтому я не пользуюсь автообновлением и отношусь к этому с большим недоверием... А при инсталле ОР лучше пользоваться вот этим:

Инструкции по расширенной деинсталляции и переустановке Outpost Firewall (http://forum.five.mhost.ru/kb2/index.php)

Dark_Blaze, ну как прибивать DCOM есть куча вариантов, службы, утилиты и т.д., кстати и на этом форуме уже это обсуждалось, целая ветка посвещена этому.
После того как поставил и начались эти атаки Вот это хорошо. Значит ОР их фиксирует и блокирует. Это нормальное явление.
То есть svchost.exe вообше заблокировать? Если есть локальная сеть, то нельзя блокировать, многим сервисам Винды он нужен, правда многое еще зависит от самих сетевых настроек Винды, запущенного софта и т.д... Если локалки нет, то есть варианты убрать svchost из списков программ в ОР, многое еще зависит от вида подключений.

А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!
Ну как Вам сказать. Ну, поймите, это же не компьютерные курсы. Это просто нужно знать, а многое приходит еще и с опытом. А инфу можно найти в книжках или например на яндексе.

P.S.
В догонку скажу, что хорошие настройки для svchost.exe (в секции 6.2.1 по ссылке ниже), да и вообще для всей системы находятся здесь:
Руководство по созданию безопасной конфигурации Outpost (http://forum.five.mhost.ru/kb2/index.php/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D 1%82%D0%B2%D0%BE_%D0%BF%D0%BE_%D1%81%D0%BE%D0%B7%D 0%B4%D0%B0%D0%BD%D0%B8%D1%8E_%D0%B1%D0%B5%D0%B7%D0 %BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D0%BA%D0% BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86 %D0%B8%D0%B8_Outpost)

To orvman:
Вот специально ждал пока вы ответите:)Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!Хотя 135 TCP все такие еще остался в доверенных но с этим виндоуз маппинг...но факт проблемы нет.Большое Вам спасибо!Все Вами сказаное прочитал,по ссылкам тоже пойду читать.Кароче бальшое спасибо:)

Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!
Действия внешних сил от ваших телодвижений никак не зависят. Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча.

Уважаемый, orvman!

Разве проблема не разрешилась?Видимо нет!:P
Не использую авто обновление и я, по причине «лекарства».
Хотя с версией 2.5 не было проблем, и 2 раза обновил, а при 3 разе накрылся тазом (медным). С тех пор «учёный».:?
Но вот поставил 3 версию, а там «Anti-Spyware» с базой от 19.09.05. И что-то захотелось её обновить. Вот так и возникла тема.
М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?

Но это как бы не вирусное направление, поэтому более подробно напишу в форуме оверлокеров.

P.S. Новый конфиг создал. А все изменения буду применять после уточнения на форуме и изучения материала по всем ссылкам. За это отдельное спасибо, orvman!

P.S.S. А что касается общего ответа на тему, то перефразируя одного героя можно подвести итог:
-Спокойствие только спокойствие, вирусы - это дело житейское!
Всем, кто принимал участие в обсуждении БОЛЬШОЕ СПАСИБО!!! ;)

Dark_Blaze

Хотя 135 TCP все такие еще остался в доверенных Как это в Доверенных?! Самоубийца?

pig

Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча Не, молча он отбивает ICMP и другую лабуду. А вот о скане портов он оязан оповещеть. Но многое зависит от настроек в ОР. Например "Показывать визуальные оповещения" или глянуть сюда : Детектор Атак - Свойства - Дополнительно - Список Атак - Редактировать - Дополнительно.

Matt

М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?
ОК. Выкладывай сюда содержимое файла update.ini, смотреть будем.

Уважаемый, orvman!
Буду признателен за любую помощь, вот мой update.ini
===========================================
[Download]
ServerDir=/update_test
Server=www.agnitum.com
UserName=ftp
DownloadDir=E:\Program Files\Common Files\Agnitum Shared\Aupdate\Downloaded Files\
PhpServerDir=/updates
Port=80
RetryCount=5
Protocol=http
[General]
ShowTypePage=0
Stable=1
[NeedToUpdate]
engine.dll=0
outpost.exe=0
aupdate.dll=0
spy_main.sdb=0
spy_inc.sdb=0
[log]
WriteLog=1
TimeInFilename=0
[View]
WizardSpacing=11
[Debug]
DisableFileCopy=no
DisableFileDownload=no
DisableReboot=no
DisableTimeCheck=no
PopupDebugMessage=no
ForceResume=no

А у тебя, что ОР не зарегистрирован? ...
После параметра UserName добавить строку:
Password=jq9DJDjq9DJD
( Если не получится то ServerDir=/update_test поменять на ServerDir=/update_pro20 )

1. Поправил INI, перезапустил OUTPOST.
2. Поместил в «Доверенные приложения»:
AUPDRUN.EXE, FEEDBACK.EXE, OUTPOST.EXE
3. Включал «Проверить обновления базы Spyware» и «Обновление…» тишина.
4. Включил «Автоматически проверять обновления», пока так же.

Странно, должно все работать. Ты мне скажи. Программа-то зарегистрирована? Да и еще, когда нажмешь на "проверить обновления базы spyware", глянь в ОР за процессом outpost.exe, он должен ломануться на свой веб-сервер по 80 порту. Глянь сколько он закачал и что там творится на самом деле.
P.S. Не забудь проставить в ОР все дополнительные колонки, так инфы будет больше.

1. Да, я её «крякнул» и до окончания подписки осталось 248 дней (на сегодня).
2. На команду «Проверить обновления базы Spyware» рыпнулся, но довольно вяло AUPDRUN.EXE

Протокол TCP
Локальный порт 1162
Скорость 0,5Кбайт/с
Удалённый адрес 67.15.103.130
Удалённый порт HTTP
Разрешить действие приложения
Состояние ИСХ ЗАКРЫТИЕ

А OUTPOST.EXE так и не проявился.