Атака | |||||
---|---|---|---|---|---|
elgen 21/04/2009 01:17 |
Народ, меня только что кто то атаковал, довольно сильно. Защита стояла по минимуму и была просто снесена на фиг. было перехвачено управление компом полностью.
Выглядело так, черный экран, надпись, типа пошли смс на номер иначе все тебе сотрем и счетчик времени..Понятно ничего не стерли , помог просто сброс.. Теперь рою логи и сканируюсь всем что есть. Ясно что логи мало что дадут, адрес от куда пришло не адрес того урода. Пишу для общей информации. Если выловлю имя бяки, напишу, но скорее ее уже нет. Первым делом все темповое инета удалил. Может кому уже приходило. Эх, не бвло печали, теперь провряться всю ночь и потом все пароли менять.....придется и стенку другую и антивирус пока сменить... |
||||
m.ix 21/04/2009 04:06 |
AVZ или Zone Alarme решит твою проблему. Такое часто бывает под разным соусом. Тырнет вроде есть но через IE хрен выйдешь. |
||||
elgen 21/04/2009 04:26 |
m.ix, и то и то стоит. просто стояло на минимуме . проверил но так ни фига и не нашло. каспер прошел, аваст прошел, авз прошел, на максимуме чувствительности. Зато руками нашел файл, время создания- время сего явления. файл 8 метров! но пустой. одни 0.
У меня так первый раз, это не то что в ие , другая фигня. С ие там все просто, берешь и руками отключаешь бяку, а тут полностью свернуло винду, клава и мышь работают, но ни одна комбинация гор клавиш не отзывается. Сверху надпись "внимание" потом текст и окно для ввода кода. рядом счетчик времени- 3 минуты типа. Весь экран черный. я сначала не прочитал и чуть не решил что это новая защита мелкомягких потом дошло. Через сброс, несмотря на жуткие угрозы все ушло. я и из под другой винды прошел, у меня еще семерка стоит(ось жутко глючня с дровами видяхи). короче улетело или спряталось. в логах ничего вумного. видимо на какой то странице поймал и вычистило при чистке кэша при перезагрузке.. Или чья то шуточка из сетки. Блин, не записал номер куда смс.. .... ДОБАВЛЕНО 04/21/2009 04:32 кстати это первая бяка которая активно пролезла за долгое время. найти бы ее , да переделать.... ДОБАВЛЕНО 04/21/2009 04:36 m.ix, с хрен войдешь все и того проще, отключаешь лишнее в ие, убираешь прокси(оно само прописывает иногда и правишь в реестре, я как то тут писал что именно. на худой конец у мелкомягких на сайте есть, как перегрузить на чистую сетевые службы. |
||||
m.ix 21/04/2009 04:53 |
elgen, А сболванки не пробовал свою винду смотреть?
ДОБАВЛЕНО 21/04/2009 05:54 elgen, Ты незнаешь как просмотреть адрес отправителя в ICQ Пользователь один а вещают с неё несколько, первый при этом не видит ничего, что от него отправлялось. |
||||
elgen 21/04/2009 05:11 |
m.ix, аська сервер рассылает, так что фиг его знает. я хоть и пользуюсь но особо не интересовался, а форум где бы мг узнать закрылся. какието проги по аськам там скачивал, но для такого точно не было,
С болванок пока не пробовал, сейчас по сетке с другого компа каспер ищет. Блин, включил в з аларме максимальную чувствительность и каждую минуту ему отвечаю. на ночь дос сканирование поставлю. в смысле перед сном.. но скорее зря. похоже ушло(стер) а жаль, классная шутка. У меня гдето коллекция была. один писал винт будет отформатирован через.... и дергал сидюка лотком я их качал спец для прикола. и генераторов такого видел полно. но то каспер сразу чистит, а это мимо. |
||||
Santei 21/04/2009 05:42 |
Агнитум стоит у меня,пока никакая сцука не пролазит |
||||
elgen 21/04/2009 06:22 |
Santei, у меня то же долго ничего такого не лезло. ну были, под контрольные, безобидные и рекламмные, это дети часто ловят всякое. А тут выскочило.и при этом еще так плотно. ладно оно просто сообщение вывело. а при таком доступе могло и не только. за время пока до меня дошло что это, пока прошел по стандартным комбинациям клавиш и покак к ресету тянулся можно много что натворить. Ну ведь не держать же по нескольку разных защит включенными.... Хочу теперь комодо попробовать. вроде хвалили его. правда и то что стоит несколько месяцев справлялось хз короче.здесь хр(и семрка) стоит. клиниться на защите то же не выход. ценное у меня на 2х винтах на разных компах продублировано, конечно что то может пропасть, но..... |
||||
m.ix 21/04/2009 06:44 |
|
||||
elgen 21/04/2009 07:21 |
m.ix, у меня нормально стоит, на хр. ты наверно не тот закачал, там смотри их несколько есть. а вот с русским он не дружит, может есть русификатор, мне не попадалось, обхожусь скудными познаниями в буржуинском. |
||||
m.ix 21/04/2009 07:23 |
|
||||
elgen 21/04/2009 07:27 |
m.ix, русские имена что ли? я мало их использую, а вообще можно наверно с кодовой страницей поиграть 1251 1252 ну типа того.
Вот почему у тебя не ставит если на другой встает, это не скажу. Как именно не ставит, от того наверно надо. что стояло, стоит. итп. |
||||
m.ix 21/04/2009 07:30 |
13 мая 2007 г., 9:21:49 |
||||
elgen 21/04/2009 07:36 |
Ай, забыл, ты там в ней кучу еще шрифтов еще наставил. Ну другого с сикаряхами не подскажу. происходят они явно от кодовой страницы., но может ее сама прога не любит. Хотя при желании можно и порыть. меня не жало. так что ..... |
||||
rematik 23/04/2009 23:57 |
http://news.drweb.com/show/?i=304&c=5 - генератор кода.
http://www.freedrweb.com/ - лечится. ДОБАВЛЕНО 24/04/2009 01:00 У соседа сегодня лечил. |
||||
elgen 24/04/2009 04:51 |
rematik, похоже, эта самая фигня, только фон был черным. а текст похож. но и веб ничего не нашел. вычистило мне ее видно сразу по перезагрузке. |
||||
servik 24/04/2009 19:37 |
а можно ли вздрючить поставщика интернета если его сеть полностью заражена? всем мыслимым и немыслимым.
ДОБАВЛЕНО 24/04/2009 18:38 я имею в виду локалка - подключение к локалке, а потом к VPN, где и есть нет ДОБАВЛЕНО 24/04/2009 19:02 такое ощущение, что все включенные компы хотят только меня |
||||
elgen 25/04/2009 07:13 |
servik, вряд ли они заражены. скорее это результат сканирования сети на расшареные ресурсы. Сканеров много разных. В большой сети, где нет порядка так и будет. Но может быть и эпидемия. Обмениваются по сетке, играются о защите не заботясь особо. А прову нужно сообщить. Дрючить его не нужно. это он будет дрючить до отключения атакующих. Ему не выгодно если его сетка глючит. Записывай адреса атакующих и сливай прову. В нашей сетке так. На кого часто и много жалуются того пров прорабатывает и предупреждает. Дважды редко кого говорят приходится. |
||||
cybe 25/04/2009 07:36 |
elgen, позавчера у товарища тож самое было. Долго матерился, т.к. на С:\ оставались данные. Счас перенёс весь раздел на E:\ - там и будет сортировать, но углубляться в изучение что и как не хочет |
||||
servik 25/04/2009 09:15 |
у меня в локалке эпидемия - один Kido на 445 порт боле 100 атак за час, но есть пару постоянных уродов 139 порт сканирующих, так и в сетке на сервере лан скоп предлагают установить чтоб сканировать расшареные папки и компы |
||||
ingenegr 25/04/2009 11:35 |
elgen, адреса атакующих записать нереально, умные люди прокси пользуют. а вообще надо простенький антивирь и правильно настроенный файрволл и будет счастье. ну и еще надо винду посмотреть на предмет нужных заплаток |
||||
Сергей Козырев 25/04/2009 14:57 |
Мужики, приветствую! Вчера вечером с майла выловил эту хрень, КИДО, сегодня товарищь переустановил систему, и причем еще у четырех человек с моего микрорайона. Аваст даже и не пискнул... |
||||
iga 25/04/2009 15:23 |
Ген, ты на хакерских форумах не тренируешься? у меня сосед, возомнил из себя мальчика гения, нарисовал какого то вируса, для тренировки куда то запустил... минуты через две остался без компа ему другие умные дяди обрушили всё вся... как в кино.а на след. день пришли ещё два "мальчика" откуда то... его неотмытые сопли на площадке между первым и вторым этажами неделю сохли. доигрался лишенец... |
||||
yurikel 25/04/2009 22:11 |
Отключаете все ненужные сетевые сервисы,удаленный доступ,протоколы для сетей майкрософт-все,телнет, телнет в протоколе ТСП-именно еще в протоколе,если сетку непользуете а только нет но рубите её полностью,бранмаужер настроить на отключение атакующего на 30-60мин с блокировкой всех ответов в сеть-при скане будет так как будто компъютера вообще в сети нет- проверено,должен стоять админский пароль на систему неменьше 7 разных символов -цифробуквенных,ну и всякие удаленные помошники и робочие удаленные столы , служба внутреннего оповещения тоже отключить,если часто программы непереустанавливаете то еще запретить любые изменения в системном рестре.
У меня на старом офисе компъютеры находились в сети с одним из институтов ,а там студеты любили по сетям всякие бяки делать(вирусы и засирание систем было обычное явление ) то после взлома системы научился предотвращать их |
||||
elgen 26/04/2009 10:31 |
ingenegr, в локалке прокси? Конечно всякие есть. Но желающих из своего компа делать прокси в локалках не много. Если друг удружит я кому то ставил , потом адрес забыл. А внешние адреса за межсетевым экраном прова. И тоннелей через него не особо нарыть можно. Конечно смотря какой пров.У нас сейчас вообще привязка и по мак уже в ходу. Раньше некоторые с чужими адресами вылезали. Но у прова все равно остается реальная возможность отследить по статистике. В сетке не сотни тысяч адресов. А мак, даже если по нему не отсекают, все равно регистрирует билинговая прога. Это даже в простеньких сетях, где на траф инспекторе сделано.. Внешние адреса пасти конечно без толку, а свои можно и нужно.
Вот у этого моего компа три адреса. инетовский внешний, сетевой внешний и сетевой внутренний.(уже в моей сети). Но я давно от сетки закрылся, весь диапазон стоит в запретах. Режим невидимости в снаружи в общем еще и отключено все что можно. Меня эти вечные сканирования достали давно. И из сетки особо ничего не нужно. правда говорят ее с Питерской обьединили. не проверял. наш местный диапазон 10.16.хх.хх . Только смысла в таком обьединении не особо. все равно ресурсов то нет толковых. Законы сейчас об авторских правах ну очень к сеткам внимательны. Разве только энтузиасты что то свое открывают. Я раньше папки с фильмами и музыкой открывал. Антивирь антивирем, но когда много атак по сетке, тогда работать становится невозможно. Тормозит страшно и грузит сеть. У меня сейчас инет занимает чуть меньше десятой от ширины канала сетки. так что сетевая загрузка уже сказывается. Бывает дергает. А если начинают долбить ... пакеты то все равно гуляют. ДОБАВЛЕНО 04/26/2009 10:50 iga, Я вообще не тренеруюсь. Правда пасусь там бывает , но только что бы в курсе быть.(и по рукам надавать если кого то ловлю, я как раз ...ну анти короче. ....ну если очень очень...очень.[достанут]. и то почти не умею, по наитию, от соц инженерии в основном и абстрактного взгляда на мир) ну и у меня ведь не из одного компа система, все под разными осями, частично продублировано на каждом. причем я сам не помню как именно. оно под настроение, как найдет. И восстанавливает само. я честно уже давно не в курсе, что и как у меня работает. хоть сам все и делал. Так что кому то со стороны быстро разобраться.....в любом бардаке есть и свои плюсы. Непробиваемого не бывает. востанавлитваться должно быстро и просто. . А вот любителей от детских шалостей влезть и наследить не уважаю. лезешь? не шали . смотри читай гуляй, но не тормози и не вреди. И не кради. Если вирус безобиден, то и фиг на него. Вот когда такие типа вымогатели, их надо отлавливать и ставить на горох. |
||||
m.ix 26/04/2009 12:32 |
Акака оказалась атака |
||||
Сергей Козырев 26/04/2009 20:46 |
РебятА. А сегодня на службе переутанавливали винду, сука, через Майл влез! Как быть- посоветуйте! Мало того что служебка-Мегафон, еще E-port, кредиты... в инете с 8 до 19 без вынимачки. Почта всегда включена, служебка, платежка- а защита Аваст... |
||||
cepelin 26/04/2009 20:54 |
|
||||
elgen 26/04/2009 21:02 |
нортон интернет сикюрити русские вирусы почему то не хочет ловить. видимо брезгует.
авасту можно загрузочное сканирование задать(перед виндой пройдется), он тогда больше ловит. А каспер тот молодец. только ключи очень любит в черный список помещать. |
||||
Сергей Козырев 26/04/2009 21:09 |
elgen, Завтра поставлю Касперского- ну задолбало- то дома, то еще лучше и на работу, гад, залез! |
||||
Strike 26/04/2009 21:20 |
Хм, Авира стоит, бесплатная,и иногда прогоняю DRWEB- сканером.
Ничего не замечаю, или в моем компе "шарют" , а я не замечаю?? |
||||
elgen 26/04/2009 21:24 |
Сергей Козырев, так смотря какой гад. если не вредный то и фгаг ему. у меня в день всяких безобидных штук по 50 отшивает если не больше. а от куда известно что залез? |
||||
Сергей Козырев 26/04/2009 21:34 |
elgen, Утром комп включила напарница- а в ответ только приветствие. С безопастного режима откат не получился.После переустановки винды, (лицензия),аваст сразу орать начал- ну спец и сказал что словили с почты.Я ему верю, так как сам только кнопки нажимать умею |
||||
elgen 26/04/2009 21:38 |
Мда. а аваст хоть пробовал его взять или только орет и нифига не чистит? |
||||
Strike 26/04/2009 21:45 |
Сергей Козырев, В корневых каталогах дисков остался, "автораном". |
||||
elgen 26/04/2009 21:49 |
автораном это когда он его грузит. я так понимаю, что он сейчас винду запускает , но антивирь плачет. вот на что он плачет, на файлы или на вирус в памяти или еще на что... |
||||
Сергей Козырев 27/04/2009 09:07 |
elgen, ну не соображаю я в этом деле!- к сожалению... Спец после установки винды запустил Аваст, ну тот практически сразу заорал- а надпись что то "память заражена, что является опасным"- что то типа этого. С удалением этого вируса комп ушел в перезагруз. Ну а что дальше спец делал- не знаю- я уехал.Утром приехал на работу запустил комп- вроде пока все в норме. Но Каспера заказал. Напасть... |
||||
elgen 27/04/2009 10:31 |
Сергей Козырев, ну если спец еще что то там делал, то видимо убил злодея. Раз сейчас работает., то надо думать пока чисто. Но гарантии что по новой чего не придет нет конечно. Так ее вообще нет. антивирусы конечно же отстают от вирусописателей. Нападение вегда опережает защиту. Прежде чем в новые определения вирус попадет он сколько то компов заразит обязательно. Конечно ишут и по общим признакам., тут не так давно заявлен новый алгоритм распознавания. Но по моим полуграмотным представлениям это столько ресурсов надо будет что...... |
||||
Сергей Козырев 27/04/2009 20:57 |
elgen, спецом ссыскал инфо про Эту гадось у каспера.Для меня, чисто "кнопочника" сложно и страшно, но как рекомендовала их,т.е Касперского лаб. проверить сидит ли эта гадость в теле можно просто- зайти на их сайт. По их словам эта дрянь блокирует вход на ряд сайтов. Зашел без проблем. Завтра привезут диск- отпишу о результатах.Ссылку не могу кинуть- с работы качал, но тема называется "Как бороться с опаснейим вирусом Kido. Ответы" |
||||
m.ix 28/04/2009 00:29 |
Только что
|
||||
Рифат 29/04/2009 08:52 |
а это только что у меня |
||||
m.ix 29/04/2009 09:09 |
grifat, Есть на клаве кнопка printsreen
Есть виндовый paint появилась картинка нажми кнопку открой паинт вставь из буфера обмена сохрани как jpg Фотка слепая, вычитал только recykled |
||||
Рифат 29/04/2009 09:52 |
m.ix, незнаю,у меня она нормально открывается. |
||||
ingenegr 29/04/2009 15:52 |
ну в теории внутри городской локалки могет быть комп расадник с которого летят вирья в разные стороны |
||||
servik 29/04/2009 20:21 |
вот что фаревол орёт
ДОБАВЛЕНО 29/04/2009 19:23 поросячий грипп, не иначе |
||||
m.ix 29/04/2009 22:19 |
Когда впервые столкнулся с локалкой, вызвали типа того что постоянно хрень с тырнета идёт, всяческие всплывающие окно появляются ни с того ни с сяго. Не обладая хацкерскими навыками, залез в чей то комп, была win98 установлена, расшарил все папки и так же ушёл. Удалить в той винде три загрузочных файла и винда бы не загрузилась бы. Откуда эти окна взялись понял когда просто сетевой шнурок от сети тырнета отсоединил и сразу же всякая всплывающая реклама тут же и обрубилась. Когда мы на работе имели выделенку, то от нас постоянно спам сыпался и пров просто от тырнета отрубал, пару предупреждений нам и тырнет на вечно отконнективался от нас. |
||||
elgen 01/05/2009 13:25 |
grifat, в корзине у тебя что то аваст нашел. Есть такая бяка, что в корзине прячется. при обычной чистке не кбивает ее. Надо руками или вот так. антивирь натравить.
ingenegr, еще как может. У нас такое постоянно. Одна из причин почему я от локалки закрываюсь на фиг, типа нет меня совсем. Разве кто адрес знает, может попробовать поупражняться в подборе паролей и тогда ему вряд ли. папки то открыты, но протоколы все почти на ту сетку отключены . |
||||
m.ix 01/05/2009 17:57 |
|
||||
servik 01/05/2009 18:05 |
какая корзинка? все службы отключены, восстановление системы ..... как назаз в джойстике |
||||
Сергей Козырев 01/05/2009 20:38 |
elgen, писал" Есть такая бяка, что в корзине прячется. при обычной чистке не кбивает ее. Надо руками или вот так. антивирь натравить. "- ну а как это сделать?- об"ясни тупому.... |
||||
servik 02/05/2009 10:04 |
тупой виртуальной виндой пытался, не вышло |