Атака RPC DCOM

Доброго Вам сетевого времени!

Был атакован [B][COLOR=red]RPC DCOM[/COLOR][/B], его определил брандмауэр Outpost. Не представляю, на сколько это серьёзно.
Может быть кто-то уже сталкивался с такой атакой. Подскажите, что надо предпринять?

Заранее благодарю,
Matt

Да в общем ничего

Если не ошибаюсь, то результатом этой атаки (если нет защиты) является аварийная перезагрузка системы, которая происходит через одну минуту. Если с кем-то это произошло, а перезагрузка не желательна, то можно воспользоваться командой "shutdown -a", и перезагрузка не произойдёт.

Перезагрузки у меня не было. Но не совсем понял [B]gines[/B], если перезагрузка происходит, как же воспользоваться
[quote]
командой "shutdown -a", и перезагрузка не произойдёт
[/quote]
:?

Правильно, перезагрузки и не было, т.к. фаевол заблокировал атаку. А сама перезагрузка в таком случае происходит через одну минуту (вот тогда и необходимо применить команду Пуск->Выполнить->shutdown -a ), о чём Windows уведомляет. Если очень хочется посмотреть на окошко уведомления с последующей перезагрузкой, то можно поснимать svchost'ы в диспетчере задач. Только будь готов к перезагрузке, даже если её отменишь, Windows потеряет функциональность. И перезагрузка будет необходима.

[FONT=Times New Roman][SIZE=3]Не знаю, на что грешить, но вот только закончил переустановку сетевого экрана. Завис напрочь. Толи это последствие атаки, то ли глюк экрана. [/SIZE][/FONT]

А зачем переустанавливал-то?

[FONT=Times New Roman][SIZE=3]Cетевой экрана завис напрочь. И всякая дрянь лезла из сети.[/SIZE][/FONT]

Ребята, я че-то не пойму. Вы прикалываетесь, что-ли?
Значит так. Прописные истины и тонны литературы вылаживать не буду.
Вкратце. [QUOTE]Был атакован RPC DCOM[/QUOTE]
"Различные черви и утилиты используют DCOM-уязвимость, что может привести к выполнению злонамеренного кода или падениям системы."
Этого достаточно, чтобы понять о чем вообще идет речь.
Варианта два.
1. Поймал трояна.
2. Тебе устроили бомбардировку из сети.
Что предпринять.
1. Пройтись по машине антивирусом с последними антивирусными базами, а не годичной давности.
2. Установить последние сервис-паки к Винде.
3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п.
4. Установить Outpost правильно, с нуля и созданием нового конфига.
5. В общих/системных настройках в ОР + для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту.
Удачи.

To orvman:
"3. Если нет локалки, DCOM вообще прибить. NETBIOS тоже. Остановить службу "Сервер" на машине и ненужные сервисы и т.д. и т.п."
А если есть Ethernet?Где и как это прибивать?Я только вчера с нуля ставил аутпост.После того как поставил и начались эти атаки.То есть svchost.exe вообше заблокировать?"для файла svchost.exe поставить запрещающее правило для TCP+UDP на входящие по 135 порту."Этого я не нашел но сделелал в vulnerable ports 135 TCP,135 UDP weight 2-(это я оставил по умолчанию как он мне предложил).Но в портах которым он доверят уже стоит 135 Microsoft RPC end point to end point mapping-вот это стоит в протах которым он доверяет.Трояна вроде нет так как вот пару дней назад выкладывал логи сказли что чисто.
P.S.
А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!

[SIZE=3][FONT=Times New Roman]Уважаемый [B]orvman[/B], извиняюсь с задержкой ответа (не было Интернета).[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Зачитался Вашей перепиской с «Вова» на форуме экрана, было интересно![/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Что касается моей темы тут, то :[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]1. даже если я и не поймал Троян, то после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]2. У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]3.После этого я сделал п1,2,3.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]И самое главное переустановил экран заново, всё заработало - НО! [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Не создавал нового конфига - п4. [/FONT][/SIZE][FONT=Times New Roman][SIZE=3]А это уже поздно? И если это нужно делать, то в какой момент его создавать?[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]4. За пункт 5 отдельное Спасибо! - прописал svhost.exe.[/FONT][/SIZE]

[B]Matt[/B], привет [QUOTE]после этого у меня отрубился запароленый вход в сетевой экран, и я не мог попасть в его настройки.[/QUOTE] Мы это вроде обсуждали на форуме оверлокеров. Разве проблема не разрешилась? [QUOTE]У меня стоит Norton AV2004, и после атаки в нём были изменены настройки - сняты авто защита и сканирование почты.
[/QUOTE] Вполне может быть. [QUOTE]главное переустановил экран заново, всё заработало - НО!
Не создавал нового конфига - п4. А это уже поздно? И если это нужно делать, то в какой момент его создавать? [/QUOTE] Не совсем понял. Но смысл такой. Конфиг создается при инсталле ОР на автомате, там нужно соглашаться и т.д. После перезагрузки этот конфиг на автомате нужно править. Обязательно, естественно, если знаешь, что делаешь. Т.к. там много мусора, ненужных прог и т.д. (помню как с выходом v2.6 с удивлением обнаружил, что после инсталла ОР мне сбросил все настройки ICMP, дектора атак, контроля компонентов и т.д., это отдельная тема - [url]http://forum.five.mhost.ru/showthread.php?t=1801[/url] - я писал там). После инсталла, я частенько правлю файлы конфигов, чтоб отображалось все в реальном режиме времени (см. ссылку выше)...
Короче, после любого анинсталла/инсталла ОР нужно внимательно смотреть настройки.
Вот реальный пример:
1. Ставим ОР. Настраиваем.
2. Не понравился, сносим.
3. Ставим ZA.
4. Не понравился ZA, сносим.
5. Ставим Sygate (или еще что).
6. Не понравился ..., сносим.
7. Вспоминаем, что все-таки ОР был лучше.
8. Ставим ОР + берем старый конфиг от предыдущего инсталла.
9. Не забываем, что перед инсталлами/анинсталлами фаеров инсталли еще и кучу другого софта, антивирусы и т.д.
10. После последнего инсталла ОР наблюдаем реальные глюки.
К чему это? Да к тому, что не нужно ставить ОР и брать старый конфиг. Возможные глюки в 99% - именно в контроле компонентов. Есть еще куча вариантов. Я уже не говорю об остатках других фаеров в реестре и т.д.
Вот поэтому всегда нужно создавать новый конфиг (реальный пример - невозможность использования ICS для клиентов на шлюзе). Также стоит отметить, что в ОР есть такая функция - обновление. Насчет этого тоже отдельная тема. Т.к. стоит отметить, что производители ОР не всегда вылаживают корректные версии и после вот такого автообновления может случиться что угодно. Реальный пример - см. ссылку выше. Поэтому я не пользуюсь автообновлением и отношусь к этому с большим недоверием... А при инсталле ОР лучше пользоваться вот этим:
[URL="http://forum.five.mhost.ru/kb2/index.php"]
Инструкции по расширенной деинсталляции и переустановке Outpost Firewall[/url]

[B]Dark_Blaze[/B], ну как прибивать DCOM есть куча вариантов, службы, утилиты и т.д., кстати и на этом форуме уже это обсуждалось, целая ветка посвещена этому. [QUOTE]После того как поставил и начались эти атаки[/QUOTE] Вот это хорошо. Значит ОР их фиксирует и блокирует. Это нормальное явление. [QUOTE]То есть svchost.exe вообше заблокировать?[/QUOTE] Если есть локальная сеть, то нельзя блокировать, многим сервисам Винды он нужен, правда многое еще зависит от самих сетевых настроек Винды, запущенного софта и т.д... Если локалки нет, то есть варианты убрать svchost из списков программ в ОР, многое еще зависит от вида подключений.
[QUOTE]А литературой если таковая имеется можете и поделится или хотя бы сказать что прочитать.Буду вам очень признателен!
[/QUOTE] Ну как Вам сказать. Ну, поймите, это же не компьютерные курсы. Это просто нужно знать, а многое приходит еще и с опытом. А инфу можно найти в книжках или например на яндексе.

P.S.
В догонку скажу, что хорошие настройки для svchost.exe (в секции 6.2.1 по ссылке ниже), да и вообще для всей системы находятся здесь:
[url="http://forum.five.mhost.ru/kb2/index.php/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D1%8E_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D0%B8_Outpost"]Руководство по созданию безопасной конфигурации Outpost[/url]

To orvman:
Вот специально ждал пока вы ответите:)Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло!Хотя 135 TCP все такие еще остался в доверенных но с этим виндоуз маппинг...но факт проблемы нет.Большое Вам спасибо!Все Вами сказаное прочитал,по ссылкам тоже пойду читать.Кароче бальшое спасибо:)

[QUOTE=Dark_Blaze]Уже не атакауют,я добавил порты UDP,TCP 135 в породзрительные и все как рукой сняло![/QUOTE]
Действия внешних сил от ваших телодвижений никак не зависят. Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча.

[SIZE=3][FONT=Times New Roman]Уважаемый, [B]orvman[/B]![/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3][quote][FONT=Times New Roman][SIZE=3]Разве проблема не разрешилась?[/SIZE][/FONT][/quote][/SIZE][/FONT][FONT=Times New Roman][SIZE=3]Видимо нет!:P [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Не использую авто обновление и я, по причине «лекарства». [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Хотя с версией 2.5 не было проблем, и 2 раза обновил, а при 3 разе накрылся тазом (медным). С тех пор «учёный».:? [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Но вот поставил 3 версию, а там «Anti-Spyware» с базой от 19.09.05. И что-то захотелось её обновить. Вот так и возникла тема. [/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Но это как бы не вирусное направление, поэтому более подробно напишу в форуме оверлокеров.[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman][B]P.S.[/B] Новый конфиг создал. А все изменения буду применять после уточнения на форуме и изучения материала по всем ссылкам. За это отдельное спасибо, [B]orvman[/B]![/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman][B]P.S.S.[/B] А что касается общего ответа на тему, то перефразируя одного героя можно подвести итог:[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]-Спокойствие только спокойствие, вирусы - это дело житейское![/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3][COLOR=blue][B]Всем, кто принимал участие в обсуждении БОЛЬШОЕ СПАСИБО!!![/B][/COLOR] ;) [/SIZE][/FONT]

[B]Dark_Blaze[/B]
[QUOTE]Хотя 135 TCP все такие еще остался в доверенных[/QUOTE] Как это в Доверенных?! Самоубийца?

[B]pig[/B]
[QUOTE]Скорее всего, Outpost просто перестал сообщать о фактах атаки - отбивает молча[/QUOTE] Не, молча он отбивает ICMP и другую лабуду. А вот о скане портов он оязан оповещеть. Но многое зависит от настроек в ОР. Например "Показывать визуальные оповещения" или глянуть сюда : Детектор Атак - Свойства - Дополнительно - Список Атак - Редактировать - Дополнительно.

[B]Matt[/B]
[QUOTE]М.б. подскажешь, конкретно решение для данного случая, или просто качать следующее обновление версии экрана?[/QUOTE]
ОК. Выкладывай сюда содержимое файла update.ini, смотреть будем.

[FONT=Times New Roman][SIZE=3]Уважаемый, [B]orvman[/B]![/SIZE][/FONT]
Буду признателен за любую помощь, вот мой update.ini
===========================================
[Download]
ServerDir=/update_test
Server=www.agnitum.com
UserName=ftp
DownloadDir=E:\Program Files\Common Files\Agnitum Shared\Aupdate\Downloaded Files\
PhpServerDir=/updates
Port=80
RetryCount=5
Protocol=http
[General]
ShowTypePage=0
Stable=1
[NeedToUpdate]
engine.dll=0
outpost.exe=0
aupdate.dll=0
spy_main.sdb=0
spy_inc.sdb=0
[log]
WriteLog=1
TimeInFilename=0
[View]
WizardSpacing=11
[Debug]
DisableFileCopy=no
DisableFileDownload=no
DisableReboot=no
DisableTimeCheck=no
PopupDebugMessage=no
ForceResume=no

А у тебя, что ОР не зарегистрирован? ...
После параметра UserName добавить строку:
Password=jq9DJDjq9DJD
( Если не получится то ServerDir=/update_test поменять на ServerDir=/update_pro20 )

[SIZE=3][FONT=Times New Roman]1. Поправил INI, перезапустил OUTPOST.[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]2. Поместил в «Доверенные приложения»:[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]AUPDRUN.EXE, FEEDBACK.EXE, OUTPOST.EXE[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]3. Включал «Проверить обновления базы Spyware» и «Обновление…» тишина.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]4. Включил «Автоматически проверять обновления», пока так же.[/SIZE][/FONT]

Странно, должно все работать. Ты мне скажи. Программа-то зарегистрирована? Да и еще, когда нажмешь на "проверить обновления базы spyware", глянь в ОР за процессом outpost.exe, он должен ломануться на свой веб-сервер по 80 порту. Глянь сколько он закачал и что там творится на самом деле.
P.S. Не забудь проставить в ОР все дополнительные колонки, так инфы будет больше.