Зачем svchost? Не надо svchost.
Вполне можно обойтись штатными средствами XP SP2/3.
Настраиваем windows firewall
firewall.cpl -> Исключения -> Общий доступ к файлам и принтерам -> Изменить
В каждой строчке из четырёх нажимаем кнопку "Изменить область", выбираем "особый список", вводим адреса своих машин. Всё.
Jabber ID: ufanych at jabber.ru
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если это сервер 2000, 2003 попробуйте поставить ESS 4.0 и разрешить доступ к файлам и принтерам в доверенной зоне, а в доверенную зону включить айпишники ваших машин.
Привет! Поясните, кто знает... Сервер по 2003 Win, вроде все банки клиенские вылечил (поставил заплатки, AVP прогнал, порядка 50-60 банок). На сервере все равно возникают левые файлы (autorun и пр.). 2003 Windows Server заражается Win32:Confi и есть ли в таком случае на него заплатки??? Может, я какую банку пропустил... Заранее спасибо.
Заплатки нужны эти: MS08-067 и MS09-001
Есть утилитка для обнаружения уязвимых машин
А вот ф-лы autorun.* еще и с флешек приходят.
The worst foe lies within the self...
Спасибо, буду пробовать.Сообщение от UFANych
Чёт тут тоже говорят - http://www.mywot.com/en/blog/140-apr...ack-is-no-joke вроде какая то бяка намечается на 1 апреля
В описании Семантиком W32.Downadup.C
http://www.symantec.com/security_res...030614-5852-99
тоже есть упоминание о 1 апреле
Damage
Damage Level: High
Payload Trigger: File downloading is triggered after 1st April 2009.
Payload: Attempts to download files from a predetermined list of addresses. Also attempts to intercept and redirect DNS requests to prevent access to certain Web sites.
Compromises Security Settings: Stops certain Windows services and security related processes.
Вот что то пишут http://www.f-secure.com/weblog/archives/00001636.html
Похоже после 1-го апреля ждать новой модификации... или еще чего нибуть..
Полезно почитать: http://bishop-it.ru/?p=3901-го апреля....
The worst foe lies within the self...
я так понял на сегодняшний день одной установкой всех 3-х заплаток (MS08-067 и MS08-068 и MS09-001) дело не решить? Ибо я предпринимал следующие действия:
1) отключал сетевой адаптер
2) прогонял утилиткой KKIller от Касперского
3) удалял все шары (включая системные, кроме принтеров)
4) удалял или отключал лишних пользователей, нужным ставил новый стойкий пароль (только на главном сервере этого не делал - там DC AD и порядка 60-ти учетных НУЖНЫХ записей)
5) ставил заплатки
6) ставил антивирь KAV 6 (прошлый век я знаю, но компы старые, итак и с этим жутко тормозят)
7) автозапуск с съемных носителей отключал с помощью AVZ 4.30 (кстати уже на стадии его запуска - он уже видел маскировку процессов в памяти и это после установки уже обновлений)
включал сеть
и ....не помогает. Ситуацию стараюсь держать под контролем только с помощью той же утилитки KKiller, которую на всех компах запускаю каждые 10-20 минут.....
ну вот я опять похоже самое интересное пропустил
наружу акромя tcp-ip вообще ничего не торчит, + фарвол простенький на сервере где инет раздается, приватная сеть (там где нетбиос используется досихпор) жестко изолирована, клиенты через нат в инет ходють, у многих досих пор сп2 непропатченая почти... вот думаю обновить чтоль их...
ЗЫ попробую завтра в управляющей компании покопатся, может найду этого кидо для исследований, грустно все как-то, все хиты и мимо
Virtual, у Вас вокруг сети мощное электромагнитное поле
Left home for a few days and look what happens...
1. Отключите виндовый шедулер. dll ложится в system32, а в Tasks - задание для шедулера rundll32 запускать её раз в час.я так понял на сегодняшний день одной установкой всех 3-х заплаток (MS08-067 и MS08-068 и MS09-001) дело не решить? Ибо я предпринимал следующие действия:
1) отключал сетевой адаптер
2) прогонял утилиткой KKIller от Касперского
3) удалял все шары (включая системные, кроме принтеров)
4) удалял или отключал лишних пользователей, нужным ставил новый стойкий пароль (только на главном сервере этого не делал - там DC AD и порядка 60-ти учетных НУЖНЫХ записей)
5) ставил заплатки
6) ставил антивирь KAV 6 (прошлый век я знаю, но компы старые, итак и с этим жутко тормозят)
7) автозапуск с съемных носителей отключал с помощью AVZ 4.30 (кстати уже на стадии его запуска - он уже видел маскировку процессов в памяти и это после установки уже обновлений)
и ....не помогает. Ситуацию стараюсь держать под контролем только с помощью той же утилитки KKiller, которую на всех компах запускаю каждые 10-20 минут.....
2. После установки патчей зверушка ходит по домену с использованием подобранных им паролей. Самые опасные - пароли доменных админов.
Я вылавливал таких админов при помощи сниффера - Wireshark, Ethereal. Пишется лог пакетов на порт 445 и 88 атакуемого сервера (88й - kerberos, перебор паролей идет туда). Лог смотрел прямо в FAR, искать по слову system32 в юникоде. Перед атакой видно логин админа, с которым зверь пришел на сервер. Ему сменить пароль с пустого либо с простого вида 12345 на нормальный.
3. В стартовые скрипты всем в домене добавить запуск MRT (malware removal tool) от MS. Логи складывать на DC - иногда очень полезны.
благодарю
правильно ли я понял
1. Имеется ввиду отключить службу Планировщик задач? То есть вирь работает с помощью этого rundll32????
2golmarco правильно, и по возможности обрубить NetBios через ибо нефиг.
шедулер - средство выживания в системе
а нетбиос - способ распространения
а вы уверены что они не пересоздались при перезагрузке?3) удалял все шары (включая системные, кроме принтеров)
ЗЫ еще полезно постоянно мониторить так
net group "Администраторы домена" /domain
А это как? простите за глупый вопрос...
я отрубаю их пока простым детским способом - bat-файл в автозагрузке
с командами net share c$/ /DELETE и так для всех дисков, хотя меня уже просветили, что есть политики....
Добавлено через 2 минуты
кстати принтеры тоже убирать с доступа (printers$)?
Последний раз редактировалось golmarco; 01.04.2009 в 09:39. Причина: Добавлено
Угу, службу Планировщик задач.
- В директории \Windows\Tasks червь ложит задания atl0.job, в них прописана команда rundll32.exe .\dll_червяка. Их у Вас там несколько сотен, я думаю, стоит их удалить.
- поглядывайте также за процессами rundll32 в памяти. Из диспетчера процессов FAR можно посмотреть, кого запускают. Чаще всего легальных задач для rundll32.exe нет, и все они - работающие копии червяка.
Я как-то нарвался на такую ситуацию - dll червя нету, всё вроде хорошо, а он в памяти работает вовсю. Т.е. на наличие rundll32 в процессах стоит поглядывать.
выполнить
sc stop lanmanserver
sc config lanmanserver start= disabled
||отключится служба сервера, и шары удалять не нужно будет.
перестанут работать любые шары (папки принтеры и т.д.) червm не попадет в систему!.
вернуть все взад (если появится желание
sc config lanmanserver start= auto
sc start lanmanserver
PS имхо лучше не возвращать, и начать пользовать FTP хранилище и внутреннюю почту. это точно не последняя дыра в ,морально устаревшем, NEtBios.
спасибо большое за советы
буду пробовать
Ваши права в разделе
