повторяющиеся сетевые атаки..

Всю неделюна меня проводятся сетевые атаки(как сообщает касперский АнтиХакер), все атаки одного типа.
12.09.2004 21:05:40 Ваш компьютер был атакован с адреса secure.worldwideconnect.com. Используемая атака - Helkern. Атака была успешно отражена.

вот пример из журнала атак. А теперь не могли бы вы мне разъяснить пару моментов...
1) Что это за Helkern?
2) Что мне сделать чтобы прекратить эти довольно неприятные инцинденты?

 

А чем они неприятны?
У тебя ж инфа не пропадает, винт не форматируется, винда не ложится? У меня к примеру по 17-20 вирусов в день, 10 попыткок просканить порты, и ещё всякая лобуда, которой я сам страдаю!

 

Worm.SQL.Slammer (aka Worm.SQL.Helkern, Sapphire)


Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).

Червь имеет крайне небольшой размер - всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount    (KERNEL32.DLL)
socket, sendto  (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой "sendto&quot на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount&quot.

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend



Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

 Remote Buffer Overrun Vulnerability

Название конкретной применяемой атаки:

 Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.

Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet....039.asp
(Microsoft Security Bulletin MS02-039)

и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.

 

Флудер
Понял? Тебя в этом деле девушка сделала!
Я не наезжаю - просто прикалываюсь!

 

The TBAPb
То что косается подопечного мне сервака, спасибо большое.
А вот что мне делать с моим домашним компом, на котором стоит Винда ХР СП1. Пробовал ДДОСить сайты с которых производилась атака, да только фиг результата, сайты видать левые. В связи с этим логичный вопрос.:
А для винды заплатка есть?

 

Pengo, хе, девушке спасибо...  мне наоборот приятней, когда меня в ЭТОМ деле девушка делает, редкость как никак

 

Это точно, что редкость!!!!!
Мне тоже приятно, что девушка на этом форуме МНОГИХ делает.

The TBAPb  

 

Флудер, а ты попробуй порт прикрыть... Аттакером например, я почитала тут и поняла, что заплатки под винды по ходу нет... хотя ща еще полазю..

 

В принципе везде и предлагают прикрыть порт... просто этот чевряк сильно опасен только для серверов, ане для домашних хрюш и ленолиумов....

kernel32.dll
GetTickCount
ws2_32.dll
socket
sendto

Поищи эти файлы в регедите и проверь антивирем... В конце концов червь не деструктивный, и занимается только рассылкой UPD пакетов, чем просто замедляет работу компа... В общем я бы просто порт закрыла..

 

"Далее червь в бесконечном цикле рассылает инфицированные пакеты по случайным IP-адресам. Если адрес равен значению X.Y.Z.0 или X.Y.Z.255, то пакет рассылается по всем адресам, находящимся в этой же подсети, благодаря чему червь может размножаться с огромной скоростью."

Ты просто попал под раздачу )))

 

The TBAPb
УМНИЦА!!!!

 

дело в том, что попасть этому на сервак, значит мне потерять работу. Да с серваком я уж и разобрался, а вот Фаервол ругается, что типа атака была успешно отражена и т.д.  Вобщем порт я уже закрыл, посмотрим что будет дальше.

 

самое интересное, что я не знаю кому мстить, приходится тупо ДДОСить урлы, с которых отправлялись пакеты.

 

ДДось пока они не ох*еют!

 

Флудер, а кому ты мстить собрался если эти пакеты могут быть посланы с зараженного компа в 33 колени, или ты хочешь весь путь проследить? )))) Это сезонная атака червя... он оказывается стока серваков погадил....ууу... его прям концом интернета называют... в общем закрой порт и не мучайся мыслями о мести....)

 

2the TBAPb... Унмица девушка.... Вот линк:
http://www.viruslist.ru/viruslist.html?id=1701882&printmode=1

Ескать на яндексах мы и сами умеем

Хотя всё равно молодец!!

 

По-моему легче тут прочитать чем на яндексе поискать хотя мона и так:
http://news.proext.com/sec/10734.html
http://www.kaspersky.ru/news.ht....п+%20..

 

Дане втом суть, я просто нарисовал ссылку, с которой ТВАРЬ содрала описание червя и всё, хотя она всё равно умница

 

OwrLam
Тю! Так я так и понял.....

 

Я вопще не говорила, что сама его писала.. и даже глупо было об этом думать )) А если народ не может найти на яндексе, я помогу... тебя чейто очень волнует моя персона, не находишь )