за пять дней - девять атак с адреса 127.0.0.1
что это значит?
чей это адрес?
за пять дней - девять атак с адреса 127.0.0.1
что это значит?
чей это адрес?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ваш собственный. Это какой файрвол такое детектирует?
Вполне стоило бы сделать логи согласно Правил.
- Есть троянские сайты в интернете, DNS на которые разрешается в 127.0.0.1 (именно DNS, это не ошибка). Сам удивился, когда попытка загрузить заразу для проверки с такого сайта обернулась запросом wget на 127.0.0.1:80. Фантастика, но тем не менее факт.
- это может быть банально прописано в hosts. Видимо, конкуренция. Видел такое в загружаемых троянами шаблонах hosts, и не раз.
Я не телепат, но это на 99% - Agnitum OutpostЭто какой файрвол такое детектирует?
?????????????????????- Есть троянские сайты в интернете, DNS на которые разрешается в 127.0.0.1 (именно DNS, это не ошибка). Сам удивился, когда попытка загрузить заразу для проверки с такого сайта обернулась запросом wget на 127.0.0.1:80. Фантастика, но тем не менее факт
Вообще-то не совсем понял, но есть варианты, когда некоторые веб-сервера на запрос в ответе отвечают адресом 127.0.0.1 , что и приводит к такой ситуации. И ничего удивительного лично для меня здесь нет.
ИсСледователь, вообще-то, действительно, сделайте логи согласно правилам. Тогда можно что-либо сказать.
Я склоняюсь к ошибке сети, фаера и т.д.
P.S. А адрес 127.0.0.1 - очень много троянов юзает, но, опять же, не в этом дело.
Неофициальный форум Outpost Firewall http://forum.five.mhost.ru
Оутпост. 3.51
я не знаю что такое логи и как их делать. даже не понял, что Алексей написал. тупой...
Кто то меня атакует через этот адрес?
Последний раз редактировалось ИсСледователь; 02.09.2006 в 16:15.
ЗА ЧАС ЕЩЁ ЧЕТЫРЕ АТАКИ, И с сайтами явно не связано - всего на двух был - этом и аналогичном.
сказали же - делайте логи. это нужно было сделать еще в первом сообщении. читайте правила форума. все гадалки в отпуске.Сообщение от ИсСледователь
Правила давно читал, говорю же - на меня они не действуют...
ладно.
На сайте ОРВМАНа таких жалоб - чуть ли не десятки нашёл. так что похоже на проблемы оутпоста. разных версий.
вот человек уже проверял на сайте овермана:
Проверил систему с помощью AVZ. Вот фрагменты ее отчета (вдруг кому пригодится и чтоб зря не нервничали):
Код:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57
перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 87C31728 (297)
>>> Внимание, таблица KiST перемещена ! (804E4F40(284)->87C31728(297))
Функция ZwClose (19) перехвачена (80570D29->B7AF3D00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (805B4A28->B7AF3A20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->B7AF3B90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (8056EE25->B7AF3E40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80586CE6->B7AF4630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenFile (74) перехвачена (8057F719->F789BCF0), перехватчик kl1.sys
Функция ZwOpenProcess (7A) перехвачена (80581C68->B7AF37B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (80580C35->B7AF42F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->B7AF4430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwResumeThread (CE) перехвачена (8058735D->B7AF45E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9->B7AF61F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSuspendThread (FE) перехвачена (8063795B->B7AF4590), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (8058CE75->B7C45330), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->B7C45290), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Проверено функций: 284, перехвачено: 14, восстановлено: 0
После поиска по гуглю оказалось, что все это Касперский (не считая последних строк с OutPost). И еще один фрагмент:
Код:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\ctagent.dll>>> Нейросеть: файл с вероятностью 99.87% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
Фигню пишет этот AVZ. Библиотека ctagent.dll поставляется со всеми звуковыми карточками Creative, в данном случае с X-Fi XtremeMusic.
В общем ничего AVZ по сути не нашел. Так что удалять сомнительные разделы реестра с нулевыми символами, видимо, не буду, вполне вероятно, что их создают какие-то из установленных у меня программ для скрытия специфической информации. Хотя можно сделать копию реестра, потом грохнуть эти разделы и посмотреть, что будет, но это уже как-нибудь на досуге.
C:\WINDOWS\system32\ctagent.dll пришлите для внесения в базу безопасных. А по жизни оно, наверное, действительно хукер клавиатуры, чтобы эквалайзером с кнопок рулить. AVZ в отношении этой породы очень редко ошибается.
-имеются ввиду вот эти Правила и "действовать" они должны на всех, кто рассчитывает на получение помощи на этом Форуме!
-причём тут сайт "овермана" и какой человек?.. помощь нужна Вам или ему?.. кроме того, по-моему, кроме Вас тут никто и не нервничает, атаки-то наблюдаются на Ваш ПК
-ну, а приведённый фрагмент, практически ничего не даёт для решения Вашей проблемы... ещё раз, нужна помощь - выполняйте Правила!
С уважением,
Alex Plutoff
А. ПЛАТОВ
повторяю ещё раз - они для меня слишком сложные. я не знаю, что такое логи и как их делают. и у меня не с вирусом проблема.
ладно, проехали...
Но на сайте ОРВМАНа там целая эпидемия таких атак. много аналогичных жалоб.
если не с вирусом - то нечего делать в этом разделе
Проблема с пониманием прочитанного? Может, позвать того, кто понимает?
Уважаемый(ая) ИсСледователь, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
