Форумы RDA -> Твердомягкий Билят!

Привет, Гость ( Вход | Регистрация )

Клуб Янча

Трекер

КВН

ВиКи

Правообладателям

Помощь

Поиск

Участники

Календарь

Форумы RDA > Общение > Флейм

[ Каскадный ] · Стандартный · Линейный+

Твердомягкий Билят!, Еще раз Билят!!

Подписка | На e-mail | На печать

Flex	Вторник, 12 Августа 2003, 15:58 Сообщение #1
Администрация трекера Группа: Модераторы Сообщений: 3827 Регистрация: 17 Дек '01 Откуда: Germany 2 Юзер Цитировать	Сталкивался кто-нить с этим уже? Меня сегодня осчастливило! И хрен что сделаешь! И что сука характерно, вылетело сразу после того, как я эту статью прочел (см.ниже). Наваждение прям какое-то! Если интересно, можно почитать тут --------------------

Ответов

Flex

Вторник, 12 Августа 2003, 16:33

Сообщение #2

Администрация трекера

Группа: Модераторы
Сообщений: 3827
Регистрация: 17 Дек '01
Откуда: Germany

2 Юзер Цитировать

QUOTE

ЧИТАТЬ ВСЕМ!!! (Was: RPC DCOM exploit)
Водителям бронетанковой техники посвящается. По многочисленным просьбам радиослушателей разъясняю медленно и один раз, тем, кто все понял - ничего не будет.

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:

user posted image

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.

У меня все, как в этой статье

И файл нашелся, и в реестре запись была

Все поудалял к ебеням собачим и пропачился!!!

Побежал за файрволлом

Отредактировано: Flex в Вторник, 12 Августа 2003, 16:38

--------------------

Posts in this topic

Flex Твердомягкий Билят! Вторник, 12 Августа 2003, 15:58

alossenko По моему ПроФФФ вчера на такуюже проблему жаловалс... Вторник, 12 Августа 2003, 16:17

starsoft Такая муйня сегодня случилась на половине компов у... Вторник, 12 Августа 2003, 16:22

alossenko спасибо. пропатчился. так я и думал кстати, DCOM ... Вторник, 12 Августа 2003, 16:28

Flex У меня все, как в этой статье :cwm23: И файл н... Вторник, 12 Августа 2003, 16:33

kvappa Большое спасибо за инфу! А Касперский про дан... Вторник, 12 Августа 2003, 16:42

SINtez Попатчимся обязятельно! Спасибо! Вторник, 12 Августа 2003, 16:58

Flex Symantec среагировал. Предлогает прогу, которая эт... Вторник, 12 Августа 2003, 20:33

iplotnik В нашей деревне аналогичный случай: два мужика коз... Вторник, 12 Августа 2003, 21:00

alossenko неужели только ProFFF и Flex из всех мемберов РДА ... Среда, 13 Августа 2003, 2:47

Zolo Здесь люди привыкли предохранятся и не тыкать все... Среда, 13 Августа 2003, 4:28

Leshii a, и ты брут? © :D с двух дня 11-го числа по... Среда, 13 Августа 2003, 5:36

ProFFF Блядство!!! :cwm4: Среда, 13 Августа 2003, 23:40

alossenko ну так победил червяка то? :rotfl: Среда, 13 Августа 2003, 23:43

kvappa И где только народ эти вирусы цепляет? :D За всё... Четверг, 14 Августа 2003, 1:18

John Silver Пиплы ! :) ну неужели так сложно натроить фае... Четверг, 14 Августа 2003, 1:20

alossenko файрволл не даёт стопроцентной гарантии, также ка... Четверг, 14 Августа 2003, 2:35

Zolo 100 процентную гарантию получишь в гробу... ;) ... Четверг, 14 Августа 2003, 3:40

ProFFF Хз как подцепили, для меня это тоже загадка. Борот... Четверг, 14 Августа 2003, 13:47

Valky Вчера файервол показывал стук в 135-й порт каждую ... Пятница, 15 Августа 2003, 16:57

alossenko :rotfl: :rotfl: :rotfl: Пятница, 15 Августа 2003, 17:02

Vodochnik Меня неделю дома не было.... приехал - а заразы не... Воскресенье, 17 Августа 2003, 0:05

Yanch Хм... а у меня хардварный файрвол стоит... тоже не... Воскресенье, 17 Августа 2003, 23:55

kuchin А у меня линукс файрволлом работает :) Понедельник, 18 Августа 2003, 0:49

DeMoN а у меня вообще все порты закрыты... весь траффик ... Понедельник, 18 Августа 2003, 11:55

« Пред · Флейм · След »

1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)

здесь находятся:

Lo-Fi Версия

CMSBlog

Сейчас: Воскресенье, 04 Мая 2025, 15:49