Форум АНТИЧАТ
Страница 1 из 4 1 2 3 4 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)
-   -   повторяющиеся сетевые атаки.. (https://forum.antichat.xyz/showthread.php?t=2743)

Флудер 18.09.2004 14:44
Всю неделюна меня проводятся сетевые атаки(как сообщает касперский АнтиХакер), все атаки одного типа.
12.09.2004 21:05:40 Ваш компьютер был атакован с адреса secure.worldwideconnect.com. Используемая атака - Helkern. Атака была успешно отражена.

вот пример из журнала атак. А теперь не могли бы вы мне разъяснить пару моментов...
1) Что это за Helkern?
2) Что мне сделать чтобы прекратить эти довольно неприятные инцинденты?

Pengo 18.09.2004 17:37
А чем они неприятны?
У тебя ж инфа не пропадает, винт не форматируется, винда не ложится? У меня к примеру по 17-20 вирусов в день, 10 попыткок просканить порты, и ещё всякая лобуда, которой я сам страдаю! http://forum.antichat.ru/iB_html/non...ns/biggrin.gif

The TBAPb 18.09.2004 17:54
Worm.SQL.Slammer (aka Worm.SQL.Helkern, Sapphire)


Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).

Червь имеет крайне небольшой размер - всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount    (KERNEL32.DLL)
socket, sendto  (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend



Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

 Remote Buffer Overrun Vulnerability

Название конкретной применяемой атаки:

 Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.

Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet....039.asp
(Microsoft Security Bulletin MS02-039)

и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/R...eleaseID=40602

Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.

Pengo 18.09.2004 18:27
Флудер
Понял? Тебя в этом деле девушка сделала! http://forum.antichat.ru/iB_html/non...cons/devil.gif
Я не наезжаю - просто прикалываюсь! http://forum.antichat.ru/iB_html/non...cons/smile.gif

Флудер 18.09.2004 18:28
The TBAPb
То что косается подопечного мне сервака, спасибо большое.
А вот что мне делать с моим домашним компом, на котором стоит Винда ХР СП1. Пробовал ДДОСить сайты с которых производилась атака, да только фиг результата, сайты видать левые. В связи с этим логичный вопрос.:
А для винды заплатка есть?

Флудер 18.09.2004 18:29
Pengo, хе, девушке спасибо... http://forum.antichat.ru/iB_html/non...icons/wink.gif  мне наоборот приятней, когда меня в ЭТОМ деле девушка делает, редкость как никак http://forum.antichat.ru/iB_html/non...icons/wink.gif

Pengo 18.09.2004 18:37
Это точно, что редкость!!!!!
Мне тоже приятно, что девушка на этом форуме МНОГИХ делает. http://forum.antichat.ru/iB_html/non...cons/smile.gif

The TBAPb  http://forum.antichat.ru/iB_html/non...icons/wink.gif

The TBAPb 18.09.2004 18:59
Флудер, а ты попробуй порт прикрыть... Аттакером например, я почитала тут и поняла, что заплатки под винды по ходу нет... хотя ща еще полазю..

The TBAPb 18.09.2004 19:04
В принципе везде и предлагают прикрыть порт... просто этот чевряк сильно опасен только для серверов, ане для домашних хрюш и ленолиумов....

kernel32.dll
GetTickCount
ws2_32.dll
socket
sendto

Поищи эти файлы в регедите и проверь антивирем... В конце концов червь не деструктивный, и занимается только рассылкой UPD пакетов, чем просто замедляет работу компа... В общем я бы просто порт закрыла..

The TBAPb 18.09.2004 19:05
"Далее червь в бесконечном цикле рассылает инфицированные пакеты по случайным IP-адресам. Если адрес равен значению X.Y.Z.0 или X.Y.Z.255, то пакет рассылается по всем адресам, находящимся в этой же подсети, благодаря чему червь может размножаться с огромной скоростью."

Ты просто попал под раздачу )))


Время: 03:54
Страница 1 из 4 1 2 3 4 >
Показывать 40 сообщений этой темы на одной странице