Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Microsoft Windows XP _ атака на win xp

Автор: crestana Воскресенье, 27 Апреля 2003, 2:17

I NEED A HELP!
мне толко что перезагрузили комп (WinXP).
Сказали что это не троян, а какая-то прога которая юзает NetBIOS и на основе дырки в WinXP перегружает комп.
Уверен что это так, так как у меня нет на компе троянов.
КАК ОТ ЭТОГО ЗАЩИТИЦЦА, И ЧТО ЭТО ЗА ПРОГА!!!!!!!!!!!????????

Автор: Ekho Воскресенье, 27 Апреля 2003, 2:26

Обыкновенный нюкер может устроить такую гадость (правда он не через нетбиос работает, но кто бы считал).

Для меня эта проблема наиболее актуальна т.к. я подключен к районной сетке, а тут шалунов считать-не пересчитать.

Выход простой: поставьте какой-нибудь из файрволлов. Моя рекомендация: http://www.agnitum.com/outpost

Автор: Leppy Воскресенье, 27 Апреля 2003, 16:20

TrojanRemover к файрволлу тоже не лишним будет. Лежит везде, лекарство тоже недолго найти unsure.gif

Автор: MadUzer Воскресенье, 27 Апреля 2003, 22:07

Это не троян. это обычный нюкер.
Юзает этот нюкер дыру на 135ом порту (Remote Procedure Call Service)
Лекарство одно - файрволл, и блок на 135 порт.

Автор: Ekho Воскресенье, 27 Апреля 2003, 23:34

Иллюстрирую свою ситуацию:
Код

28.04.2003 0:09:36 Запрос на соединение 10.105.3.111 ICMP(2048)
28.04.2003 0:06:57 Запрос на соединение 10.105.3.111 ICMP(2048)
27.04.2003 23:50:48 Сканирование портов 10.105.13.38 TCP(139)
27.04.2003 23:50:48 Запрос на соединение 10.105.13.38 TCP(139)
27.04.2003 23:07:50 Запрос на соединение 10.105.13.248 ICMP(2048)
27.04.2003 23:02:57 Сканирование портов 10.105.13.38 TCP(139)
27.04.2003 23:02:57 Запрос на соединение 10.105.13.38 TCP(139)
27.04.2003 22:43:55 Запрос на соединение 10.105.13.33 ICMP(2048)
27.04.2003 22:12:13 Сканирование портов 10.105.13.38 TCP(139)
27.04.2003 22:12:13 Запрос на соединение 10.105.13.38 TCP(139)
27.04.2003 22:11:26 Запрос на соединение 10.105.5.131 ICMP(2048)
27.04.2003 21:26:23 Сканирование портов 10.105.6.183 TCP(139)
27.04.2003 21:26:23 Запрос на соединение 10.105.6.183 TCP(139)
27.04.2003 21:21:55 Сканирование портов 10.105.13.38 TCP(139)
27.04.2003 21:21:55 Запрос на соединение 10.105.13.38 TCP(139)
27.04.2003 21:19:21 Запрос на соединение 10.105.3.9 UDP(137)
27.04.2003 21:19:00 Сканирование портов 10.105.6.84 TCP(139)
27.04.2003 21:19:00 Запрос на соединение 10.105.6.84 TCP(139)
27.04.2003 21:11:28 Сканирование портов 10.105.6.183 TCP(139)
27.04.2003 21:11:28 Запрос на соединение 10.105.6.183 TCP(139)
27.04.2003 21:10:49 Запрос на соединение 10.105.11.43 TCP(80)
27.04.2003 21:04:40 Запрос на соединение 10.105.1.182 UDP(137)
27.04.2003 21:03:04 Сканирование портов 10.105.6.84 TCP(139)
27.04.2003 21:03:04 Запрос на соединение 10.105.6.84 TCP(139)
27.04.2003 21:01:14 Запрос на соединение 10.105.11.43 UDP(137)
27.04.2003 20:59:35 Сканирование портов 10.105.6.8 TCP(139)
27.04.2003 20:59:35 Запрос на соединение 10.105.6.8 TCP(139)
27.04.2003 20:51:37 Сканирование портов 10.105.6.147 TCP(445) ICMP(2048)
27.04.2003 20:51:37 Запрос на соединение 10.105.6.147 TCP(445)
27.04.2003 20:51:33 Запрос на соединение 10.105.6.147 ICMP(2048)
27.04.2003 20:49:39 Сканирование портов 10.105.6.217 TCP(139)
27.04.2003 20:49:39 Запрос на соединение 10.105.6.217 TCP(139)
27.04.2003 20:44:24 Сканирование портов 10.105.7.152 TCP(139)
27.04.2003 20:44:24 Запрос на соединение 10.105.7.152 TCP(139)
27.04.2003 20:43:03 Запрос на соединение 10.105.11.43 TCP(80)
27.04.2003 20:39:18 Запрос на соединение 10.105.13.248 ICMP(2048)
27.04.2003 20:35:44 Сканирование портов 10.105.6.84 TCP(139)
27.04.2003 20:35:44 Запрос на соединение 10.105.6.84 TCP(139)
27.04.2003 20:34:39 Сканирование портов 10.105.6.147 TCP(445) ICMP(2048)
27.04.2003 20:34:39 Запрос на соединение 10.105.6.147 TCP(445)
27.04.2003 20:34:37 Запрос на соединение 10.105.6.147 ICMP(2048)
27.04.2003 20:30:18 Сканирование портов 10.105.13.38 TCP(139)
27.04.2003 20:30:18 Запрос на соединение 10.105.13.38 TCP(139)
27.04.2003 20:26:30 Запрос на соединение 10.105.11.43 TCP(80)
27.04.2003 20:19:38 Сканирование портов 10.105.6.147 TCP(445) ICMP(2048)
27.04.2003 20:19:38 Запрос на соединение 10.105.6.147 TCP(445)
27.04.2003 20:19:34 Запрос на соединение 10.105.6.147 ICMP(2048)
27.04.2003 20:19:18 Сканирование портов 10.105.6.84 TCP(139)
27.04.2003 20:19:18 Запрос на соединение 10.105.6.84 TCP(139)
27.04.2003 20:12:18 Сканирование портов 10.105.6.196 TCP(445) ICMP(2048)
27.04.2003 20:12:18 Запрос на соединение 10.105.6.196 TCP(445)
27.04.2003 20:12:14 Запрос на соединение 10.105.6.196 ICMP(2048)
27.04.2003 20:07:32 Сканирование портов 10.105.6.84 TCP(139)
27.04.2003 20:07:32 Запрос на соединение 10.105.6.84 TCP(139)


Заметьте, преимущественно 139й порт!

Прикладываю документик со списком портов и указанием для чего тот используется.


Присоединённые файлы
Присоединённый файл  port_numbers.txt ( 0байт ) Кол-во скачиваний: 2280

Автор: bug Понедельник, 28 Апреля 2003, 9:43

нюкеров под XP не встречал..., однозначно это DoS-атака, защита это Firewall
crestana
firewall тебе покажет IP, по IP вычисляй хост...пиши провайдеру атакуещего, если не поможет, то напиши своему провайдеру...

Автор: kenm Понедельник, 28 Апреля 2003, 10:02

2crestana
посети WindowsUpdate.

Автор: MadHammer Среда, 30 Апреля 2003, 15:35

Это называеться SMBDie, формирует кривой пакет, поставь SP1 и всё пройдет!

Автор: MadUzer Понедельник, 05 Мая 2003, 3:40

To Bug:
у меня есть нюкер для ХР.... cool.gif
Почти всегда работает если нет стенки wink.gif

Автор: pokhlebaev Понедельник, 05 Мая 2003, 5:27

И по поводу троянов... - поставь антивирус.

Автор: bug Понедельник, 05 Мая 2003, 8:22

MadUzer
Цитата
у меня есть нюкер для ХР....

и в какой порт(ы) стучит?

Автор: LAO Пятница, 10 Октября 2003, 19:54

Добрый день,господа-товарисчи!
Извините чайника. Новичок-с. Так и не понимаю, что это такое и с чем его едят. Ну не похоже енто на хаккера, а?

10/10/2003 6:18:16 PM Запрос на соединение 213.224.229.119 ICMP(2048)
10/10/2003 6:18:02 PM Запрос на соединение 213.224.152.127 ICMP(2048)
10/10/2003 6:17:28 PM Запрос на соединение 213.226.7.16 ICMP(2048)

Ну какие идиоты будут вот так на протяжении двух месяцев ломиться в комп с разных ИПИ адресов с интервалом в несколько секунд? Иногда в день до нескольких ТЫСЯЧ запросов на соединение в одну и ту же точку (2048). Причём без сканирования портов. И со всего мираwallbash.gif

Мож это какой-нить вирус стучится? И что такое ICPM(2048)? wacko.gif

С уважением beer.gif

ЗЫ: Отвечать на человекческом языке, плиз, чтобы не лазить мне в интернетсловарь w00t.gif

Автор: Vio Понедельник, 13 Октября 2003, 13:50

icmp это ping

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)