повторяющиеся сетевые атаки..

Discussion in 'Болталка' started by Флудер, 18 Sep 2004.

  1. Флудер

    Флудер Elder - Старейшина

    Joined:
    9 Feb 2004
    Messages:
    46
    Likes Received:
    1
    Reputations:
    0
    Всю неделюна меня проводятся сетевые атаки(как сообщает касперский АнтиХакер), все атаки одного типа.
    12.09.2004 21:05:40 Ваш компьютер был атакован с адреса secure.worldwideconnect.com. Используемая атака - Helkern. Атака была успешно отражена.

    вот пример из журнала атак. А теперь не могли бы вы мне разъяснить пару моментов...
    1) Что это за Helkern?
    2) Что мне сделать чтобы прекратить эти довольно неприятные инцинденты?
     
  2. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
    А чем они неприятны?
    У тебя ж инфа не пропадает, винт не форматируется, винда не ложится? У меня к примеру по 17-20 вирусов в день, 10 попыткок просканить порты, и ещё всякая лобуда, которой я сам страдаю! [​IMG]
     
  3. The TBAPb

    The TBAPb New Member

    Joined:
    29 Aug 2004
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Worm.SQL.Slammer (aka Worm.SQL.Helkern, Sapphire)


    Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
    SQL (см. ниже).

    Червь имеет крайне небольшой размер - всего 376 байт.

    Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


    При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

    GetTickCount    (KERNEL32.DLL)
    socket, sendto  (WS2_32.DLL)

    Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").

    Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

    В коде червя видны строки:

    h.dllhel32hkernQhounthickChGet
    Qh32.dhws2_f
    etQhsockf
    toQhsend



    Реализация атаки

    Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

     Remote Buffer Overrun Vulnerability

    Название конкретной применяемой атаки:

     Unauthenticated Remote Compromise in MS SQL Server 2000

    Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
    MS SQL Server 2000.

    Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet....039.asp
    (Microsoft Security Bulletin MS02-039)

    и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


    Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

    Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.
     
  4. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
    Флудер
    Понял? Тебя в этом деле девушка сделала! [​IMG]
    Я не наезжаю - просто прикалываюсь! [​IMG]
     
  5. Флудер

    Флудер Elder - Старейшина

    Joined:
    9 Feb 2004
    Messages:
    46
    Likes Received:
    1
    Reputations:
    0
    The TBAPb
    То что косается подопечного мне сервака, спасибо большое.
    А вот что мне делать с моим домашним компом, на котором стоит Винда ХР СП1. Пробовал ДДОСить сайты с которых производилась атака, да только фиг результата, сайты видать левые. В связи с этим логичный вопрос.:
    А для винды заплатка есть?
     
  6. Флудер

    Флудер Elder - Старейшина

    Joined:
    9 Feb 2004
    Messages:
    46
    Likes Received:
    1
    Reputations:
    0
    Pengo, хе, девушке спасибо... [​IMG]  мне наоборот приятней, когда меня в ЭТОМ деле девушка делает, редкость как никак [​IMG]
     
  7. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
    Это точно, что редкость!!!!!
    Мне тоже приятно, что девушка на этом форуме МНОГИХ делает. [​IMG]

    The TBAPb  [​IMG]
     
  8. The TBAPb

    The TBAPb New Member

    Joined:
    29 Aug 2004
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Флудер, а ты попробуй порт прикрыть... Аттакером например, я почитала тут и поняла, что заплатки под винды по ходу нет... хотя ща еще полазю..
     
  9. The TBAPb

    The TBAPb New Member

    Joined:
    29 Aug 2004
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    В принципе везде и предлагают прикрыть порт... просто этот чевряк сильно опасен только для серверов, ане для домашних хрюш и ленолиумов....

    kernel32.dll
    GetTickCount
    ws2_32.dll
    socket
    sendto

    Поищи эти файлы в регедите и проверь антивирем... В конце концов червь не деструктивный, и занимается только рассылкой UPD пакетов, чем просто замедляет работу компа... В общем я бы просто порт закрыла..
     
  10. The TBAPb

    The TBAPb New Member

    Joined:
    29 Aug 2004
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    "Далее червь в бесконечном цикле рассылает инфицированные пакеты по случайным IP-адресам. Если адрес равен значению X.Y.Z.0 или X.Y.Z.255, то пакет рассылается по всем адресам, находящимся в этой же подсети, благодаря чему червь может размножаться с огромной скоростью."

    Ты просто попал под раздачу )))
     
  11. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
    The TBAPb
    УМНИЦА!!!! [​IMG]
     
  12. Флудер

    Флудер Elder - Старейшина

    Joined:
    9 Feb 2004
    Messages:
    46
    Likes Received:
    1
    Reputations:
    0
    дело в том, что попасть этому на сервак, значит мне потерять работу. Да с серваком я уж и разобрался, а вот Фаервол ругается, что типа атака была успешно отражена и т.д.  Вобщем порт я уже закрыл, посмотрим что будет дальше.
     
  13. Флудер

    Флудер Elder - Старейшина

    Joined:
    9 Feb 2004
    Messages:
    46
    Likes Received:
    1
    Reputations:
    0
    самое интересное, что я не знаю кому мстить, приходится тупо ДДОСить урлы, с которых отправлялись пакеты.
     
  14. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
    ДДось пока они не ох*еют! [​IMG]
     
  15. The TBAPb

    The TBAPb New Member

    Joined:
    29 Aug 2004
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Флудер, а кому ты мстить собрался если эти пакеты могут быть посланы с зараженного компа в 33 колени, или ты хочешь весь путь проследить? )))) Это сезонная атака червя... он оказывается стока серваков погадил....ууу... его прям концом интернета называют... в общем закрой порт и не мучайся мыслями о мести....)
     
  16. OwrLam

    OwrLam Наглый...

    Joined:
    14 May 2004
    Messages:
    21
    Likes Received:
    2
    Reputations:
    0
  17. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
  18. OwrLam

    OwrLam Наглый...

    Joined:
    14 May 2004
    Messages:
    21
    Likes Received:
    2
    Reputations:
    0
    Дане втом суть, я просто нарисовал ссылку, с которой ТВАРЬ содрала описание червя и всё, хотя она всё равно умница [​IMG]
     
  19. Pengo

    Pengo New Member

    Joined:
    13 Sep 2004
    Messages:
    34
    Likes Received:
    0
    Reputations:
    0
    OwrLam
    Тю! Так я так и понял.....
     
  20. The TBAPb

    The TBAPb New Member

    Joined:
    29 Aug 2004
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Я вопще не говорила, что сама его писала.. и даже глупо было об этом думать )) А если народ не может найти на яндексе, я помогу... тебя чейто очень волнует моя персона, не находишь )
     
Loading...
Similar Threads - повторяющиеся сетевые атаки
  1. Shawn1x
    Replies:
    1
    Views:
    2,163