СРОЧНО! ВАЖНО! АТАКОВАЛИ!!

Printable View

27.12.2008, 01:39
iexplorer

СРОЧНО! ВАЖНО! АТАКОВАЛИ!!

ПОМОГИТЕ, АТАКОВАЛИ:ohmy:
В общем говоря ничего на компе не делал, ну, как обычно работала качалка (регет) мозила (лис) и еверест (следил за температурой - об этой проблеме уже писал), работало все с утра примерно одинаково все и вдруг комп зашумел, глядь температура выросла, смотрю качалка качать остановила ну ctr alt del, процессы смотреть, не отвечет вообще перегруз тотальный комп в ступоре, в общем вырубил - включил все загружается и черный экран, перезагружаю, уже выдернув сетевой кабель - все восстановилось, кроме звука, драйвер упал, еще одна перезагрузка - все в норму.
Лезу в журналы оутпоста а там КОШМАР, ниже дам список, естественно ни на одном из этих сайтов я не был, ни даже на google ни тем более на BBC. Разве что мозила, но там я тоже не был просто использовал фаэрфокс. вот такие дела.
Что делать, это уже не первый раз такое, только раньше оутпост не стоял, а потом когда стоял я не догадывался ему в журнал заглянуть. Предыдущие разы схема была такой же.
вот логи по категориям:

детектор атак:
22:36:04 207.138.168.117 Обнаружена атака, узел не заблокирован SINGLE_SCAN_PORT (61897)

журнал пакетов:

22:47:29 Блокировать OUT ICMPv6 :: ff02::1:ff72:b131 255/0 Блокировать транзитные пакеты
22:36:04 Блокировать IN TCP 207.138.168.117 80 192.168.0.10 51697 ACK

брандмауэр:

22:32:18 SYSTEM OUT UDP newslb13.thdo.bbc.co.uk 137 Запретить NetBIOS-трафик 0 0
22:32:18 SYSTEM OUT UDP newslb13.thdo.bbc.co.uk 137 Запретить NetBIOS-трафик 0 0
22:32:18 SYSTEM OUT UDP newslb13.thdo.bbc.co.uk 137 Запретить NetBIOS-трафик 0 0
22:32:09 SYSTEM OUT UDP 89.144.1.148 137 Запретить NetBIOS-трафик 0 0
22:32:09 SYSTEM OUT UDP 89.144.1.148 137 Запретить NetBIOS-трафик 0 0
22:32:09 SYSTEM OUT UDP 89.144.1.148 137 Запретить NetBIOS-трафик 0 0
22:31:59 SYSTEM OUT UDP dedicated1.translit.ru 137 Запретить NetBIOS-трафик 0 0
22:31:59 SYSTEM OUT UDP dedicated1.translit.ru 137 Запретить NetBIOS-трафик 0 0
22:31:59 SYSTEM OUT UDP dedicated1.translit.ru 137 Запретить NetBIOS-трафик 0 0
22:31:55 SYSTEM OUT UDP ro10961.plusserver.de 137 Запретить NetBIOS-трафик 0 0
22:31:55 SYSTEM OUT UDP ro10961.plusserver.de 137 Запретить NetBIOS-трафик 0 0
22:31:55 SYSTEM OUT UDP ro10961.plusserver.de 137 Запретить NetBIOS-трафик 0 0
22:31:50 SYSTEM OUT UDP h1327238.stratoserver.net 137 Запретить NetBIOS-трафик 0 0
22:31:50 SYSTEM OUT UDP h1327238.stratoserver.net 137 Запретить NetBIOS-трафик 0 0
22:31:50 SYSTEM OUT UDP h1327238.stratoserver.net 137 Запретить NetBIOS-трафик 0 0
22:31:45 SYSTEM OUT UDP fx-in-f127.google.com 137 Запретить NetBIOS-трафик 0 0
22:31:45 SYSTEM OUT UDP fx-in-f127.google.com 137 Запретить NetBIOS-трафик 0 0
22:31:45 SYSTEM OUT UDP fx-in-f127.google.com 137 Запретить NetBIOS-трафик 0 0
22:31:41 SYSTEM OUT UDP gator10.hostgator.com 137 Запретить NetBIOS-трафик 0 0
22:31:41 SYSTEM OUT UDP gator10.hostgator.com 137 Запретить NetBIOS-трафик 0 0
22:31:41 SYSTEM OUT UDP gator10.hostgator.com 137 Запретить NetBIOS-трафик 0 0
22:31:36 SYSTEM OUT UDP 67.192.9.218 137 Запретить NetBIOS-трафик 0 0
22:31:36 SYSTEM OUT UDP 67.192.9.218 137 Запретить NetBIOS-трафик 0 0
22:31:36 SYSTEM OUT UDP 67.192.9.218 137 Запретить NetBIOS-трафик 0 0
22:31:31 SYSTEM OUT UDP fxfeeds02.zxtm.sj.mozilla.com 137 Запретить NetBIOS-трафик 0 0
22:31:31 SYSTEM OUT UDP fxfeeds02.zxtm.sj.mozilla.com 137 Запретить NetBIOS-трафик 0 0
22:31:31 SYSTEM OUT UDP fxfeeds02.zxtm.sj.mozilla.com 137 Запретить NetBIOS-трафик 0 0
22:31:21 SYSTEM OUT UDP fxfeeds01.zxtm.sj.mozilla.com 137 Запретить NetBIOS-трафик 0 0
22:31:21 SYSTEM OUT UDP fxfeeds01.zxtm.sj.mozilla.com 137 Запретить NetBIOS-трафик 0 0
22:31:21 SYSTEM OUT UDP fxfeeds01.zxtm.sj.mozilla.com 137 Запретить NetBIOS-трафик 0 0
22:31:07 SYSTEM OUT UDP 192.168.0.255 137 Разрешить NetBIOS-трафик 0 0

В общем полный капец и оутпост не помог.

[SIZE=4]Помогите пожалуйста.[/SIZE]

Вот что нарыл через whois по некоторым адресам:
[SIZE=2]P Lookup — просмотр информации об ip-адресе и подсетях
Reverse Lookup: информация по обратному преобразованию для адреса 207.138.168.117 недоступна.

Информация об ip-адресе 207.138.168.117

OrgName: Global Crossing
OrgID: GBLX
Address: 14605 South 50th Street
City: Phoenix

Информация о домене STRATOSERVER.NET

Доменное имя stratoserver.net занято.

Whois Server Version 2.1 at whois.tmagnic.net

Database contains ONLY .COM, .NET, .TV, .CC domains.

Owner Contact:
Ralf Hinberger
Strato AG
Pascalstrasse 10
Berlin, 10587, DE

Punycode Name: stratoserver.net
Unicode Name: stratoserver.net

Информация о домене HOSTGATOR.COM

Доменное имя hostgator.com занято.

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to [URL]http://www.internic.net[/URL]
for detailed information.

HOSTGATOR.COM.ULTIMATECOOKBOOKS.COM
HOSTGATOR.COM.SELLEMUP.COM
HOSTGATOR.COM.OUTOFTHECLOSETSSHOP.COM
HOSTGATOR.COM.LLLPHOTO.COM
HOSTGATOR.COM.HIPHOPBEATS365.COM
HOSTGATOR.COM.GIFTSGADGETSANDTHINGSONLINE.COM
HOSTGATOR.COM.EMPATHICANGELS.COM
HOSTGATOR.COM.BRUSENHANANDASSOCIATES.COM
HOSTGATOR.COM.BRIANSONNEMAN.COM
HOSTGATOR.COM.A-51GANDM.COM
HOSTGATOR.COM.13AUTOPARTS.COM
HOSTGATOR.COM

Reverse Lookup: информация по обратному преобразованию для адреса 67.192.9.218 недоступна.

Информация об ip-адресе 67.192.9.218

Rackspace.com, Ltd. RSCP-NET-4 (NET-67-192-0-0-1)
67.192.0.0 - 67.192.255.255
Decision Counsel RSPC-695417-12072007 (NET-67-192-9-216-1)
67.192.9.216 - 67.192.9.223

IP Lookup — просмотр информации об ip-адресе и подсетях

Информация об ip-адресе 63.245.209.45 (fxfeeds02.zxtm.sj.mozilla.com)

OrgName: Mozilla Corporation [/SIZE][/SIZE]
[/SIZE]

Система windows server 2008 x64
28.12.2008, 02:50
iexplorer

Вложений: 2

Снова я.
Помогите пожалуйста.

Все так же плохо. Прикрепляю логи AVZ и hijackthis, первый скрипт avz выполнить так и не удалось, avz все время падал сразу же; в строчках шло что функция user32.dll перехвачена.
Поэтому извиняюсь но есть только 2 лога. Броузер был как и положено включен, firefox портабль от portableapps.com , я им пользуюсь в основном.

Всех гадов я заблокировал в разделе блокировка IP через оутпост. И постоянно блокируестся пакет на :ro10961.plusserver.de
85.25.94.53 (80), их несколько в минуту. Я закидывал этот адрес в броузер - нет такой стараницы, наверное чей-то адрес.
Помогите
28.12.2008, 03:55
pig

AVZ падает, потому что Outpost мешает. Придётся его временно деинсталлировать.
28.12.2008, 16:39
iexplorer

а есть какой нибудь другой способ? Я оутпост выключал, процесс его убивал и еще драйвер выгрузил, все равно AVZ слёг.
Просто когда я в outposte выбираю сохранить конфогурацию, он мне пишет, что папка пуста и ничего не делает, а оутпост заново настроить - это для меня каторга. А комп все на ro10961.plusserver.de стучится.
28.12.2008, 16:45
Зайцев Олег

[quote=iexplorer;327440]а есть какой нибудь другой способ? Я оутпост выключал, процесс его убивал и еще драйвер выгрузил, все равно AVZ слёг.
Просто когда я в outposte выбираю сохранить конфогурацию, он мне пишет, что папка пуста и ничего не делает, а оутпост заново настроить - это для меня каторга. А комп все на ro10961.plusserver.de стучится.[/quote]
Тогда один путь - срочно читать книжки по администрированию ... что за ерунда Windows Server 2008, на нем Outpost, выход в Inet, регеты и Firefox (и все это безобразие явно работает из под учетной записи админа, а компьютер этот воткнут напрямую в выделенку провайдера по Ethernet) ... Это сервер или домашний ПК юзера ?!
28.12.2008, 17:06
iexplorer

извиняюсь, уже нашел файл конфига оутпоста, счас замочу. Комп домашний, линия оптоволокно.
28.12.2008, 17:09
Зайцев Олег

[quote=iexplorer;327456]извиняюсь, уже нашел файл конфига оутпоста, счас замочу. Комп домашний, линия оптоволокно.[/quote]
Зачем тогда на домашнем ПК серверная операционная система ? Она предназначена совершенно не для помашних ПК ...
28.12.2008, 17:58
iexplorer

Да виста стояла от рождения, но какая-то кривая, я поставил сервер - понравилось и не падал как виста, только загружается комп долго. Пробовал с 10 видов ХР и 64 и 32 бит, нет звука. Последний раз даже с помощью проги driver genius нашел драйвер звука поставил, все нормально, только устройство не обнаружилось и звука не было.И еще 3 или 4 девайса не найдены.

Пробовал windows 7 - грузится очень быстро, но на нем не работают антивирусы - оутпост ставится и синий экран, каспер 8 убивает драйвер nvidia, только f-secure 2009 работал, но он постоянно ругался на conhost.exe, который нельзя было заблокировать, т.к. в проводнике антивирей (f-secure и каспер 7) он невидим, и неудаляемый, если же обойти и замочить, cmd.exe не работает и соответственно f-secure не обновляется. Где-то в нете видел что conhost.exe новая фишка мелкософта для удаленного контроля компа.

После всего этого остановился на сервере 2008. Теперь не знаю че делать, может заново все переставить. А почему AVZ на outpost ругается, вроде все аутентично с сайта agnitum, никакие dll не крякал.

На всякий случай прицеплю лог AVZ на день Х, когда просто проверял без скрипта, может там виден какой вирус?
28.12.2008, 18:00
iexplorer

Вложений: 1

вот лог
28.12.2008, 18:06
Макcим

По этому куску лога сказать ни чего нельзя. А вообще [B]Зайцев Олег[/B] дал исчерпывающий ответ. Тема закрыта.