vic~ Опубликовано 28 апреля, 2004 · Жалоба В сети появился трафик с адреса 127.0.0.1 сканирующий локалку пакеты по 40 и 80 байт. Перестал проходить пинг с максимальным размером пакета. В другой сети, серез роутер этого нет. Встречал ли кто такое? Посоветуйте что предпринять.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kitsok Опубликовано 28 апреля, 2004 · Жалоба Хм... Особенно интересно, куда уйдет обратный пакет ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UncleDen+Marino95 Опубликовано 28 апреля, 2004 · Жалоба На локальный интерфейс "приёмника". Ну а дальше... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 29 апреля, 2004 · Жалоба Содержимое пакетов скинь в конфу, легче советовать будет. Пакеты с реального мака идут? Или подставлен чужой/несуществующий? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirat Опубликовано 29 апреля, 2004 · Жалоба Вирус, но уже не новый, наблюдал где-то осенью пик его активности.... Какая-то из версий MSBlast'а вроде, но с ошибкой, отсюда и 127.0.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Бригинец Александр Опубликовано 6 мая, 2004 · Жалоба Вот еще коль заговорили об вирусах. Началось как ни странно сначала на машине которую только воткнули в сеть. Через пять минут появилась ошибка "прекращение процесса lsass.exe компьютер быдет вырублен через минуту". У юзверя спросил говорит было такое год назад. Думал старая тема после сервис пака пропадет - ни фига не угадал. Ну ладно говорю каль было то ставь антивирус и лечись. Через часа три полетел сервер, стал перезагружаться через каждые пять минут потом пошло по всей локалке. Видели бы что в прочате творилось одни сообщения вышел (завершение работы). За полночь надоело разбираться пошел спать к утру проверил сетевое подключение проработало 17 часов без перезагрузов. после этого сервер не перезагружался ни разу. Найти вирь на машине не удалось вообще следов не было хотя ни кто не копался кроме меня. Далее... Слиды этой заразы: в папке WINDOWS/SISTEM32 появляются файлы n_up.exe где n случайное число. Количество файлов от дужены до несколько сотен. В папке WINDOWS сидит файл avserve2.exe он же прописан в реестре где то в RUN. При удалении в безопасном режиме всего перечисленного озникает ощущение избавления от заразы. У меня комп например после этого работает уже третьи сутки и ни чего правда я закрыл порты на которых сидела тварь 9996 и 5554 если не ошибаюсь. Только у других вирь все равно появляется через какое то время. Правдо защиты не стояло никакой на сколько я знаю. Вот акая вот история да и не знаю как засечь заразу. FPROT, которому всегда отдавали предпочтение даже с последним обновлением ни чего не показал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Бригинец Александр Опубликовано 6 мая, 2004 · Жалоба Вот еще хотел спросить тема конечно в разделе ПО должна быть но тем немение. FPROT постоянно выдает что то из папки, дай бог не спи...деть (SISTEM VALUE INFORMATION) кажется так. ТОлько в винде ету папку вообще не видать. Файловая система стоит NTFS можа в этом трабл но не переходить же на FAT32. С помощью FARa удалось увидеть папку а вот открыть ни фига. Что ето такое? как мне попасть в папку расположеную у меня на МОЕМ компьютере? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
unrealvladisla Опубликовано 6 мая, 2004 · Жалоба Через часа три полетел сервер, стал перезагружаться через каждые пять минут потом пошло по всей локалке. То есть фиксы на сервер вы регулярно не накатываете??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
unrealvladisla Опубликовано 6 мая, 2004 · Жалоба в папке WINDOWS/SISTEM32 появляются файлы n_up.exe где n случайное число. Количество файлов от дужены до несколько сотен.В папке WINDOWS сидит файл avserve2.exe он же прописан в реестре где то в RUN. Это Sasser. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Виктор С. Грищенко Опубликовано 6 мая, 2004 · Жалоба Вирус, но уже не новый, наблюдал где-то осенью пик его активности....Какая-то из версий MSBlast'а вроде, но с ошибкой, отсюда и 127.0.0.1 Не ошибка. Это раритетная версия MSBlaster, она пытается свалить windowsupdate.com, а такой записи в DNS нету. Поэтому SYN-флудит себя (127.0.0.1), используя случайный адрес источника а потом тачка сама себе отвечает с loopback на тот самый случайный адрес. Я когда исследовал этот феномен, икал даже. Такое непонятное макроявление. Потом, конечно, посмеялся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Виктор С. Грищенко Опубликовано 6 мая, 2004 · Жалоба Incidents.org про Sasser: Mailbag: Cleanup Woes A reader asked why we recommend a complete rebuild of systems infected with 'sasser', given that 'sasser' is rather begign and easy to clean. The problem with 'sasser' is that it is an indicator exploit. The fact that you are infected with 'sasser' indicated that you where vulnerable to the LSASS exploit. Before sasser, a large number of bot variants exploited this vulnerability. We find that many systems infected with 'sasser' are infected with one or more bots in addition to 'sasser'. Each day, we receive several distinct 'bot' samples. Anti virus signatures are typically not able to keep up with all versions, and many 'bots' include specific code to plant backdoors, disable firewalls and anti virus products, or to add additional system accounts. Antivirus software is not able to reliable detect and clean all these bots. As a result, it is impossible to tell if any of these bots is left on your system. Only a through (and costly) forensics analysis by a trained specialist will provide some comfort. As a result: If you are infected by 'sasser', try to rebuild your system from scratch. For detailed instructions on setting up a new system safely, see http://www.sans.org/rr/papers/index.php?id=1298 (Windows XP: Surviving the first day). If you are acquiring a new system, assume it is not yet patched and use extreme care the first time you connect it to the network. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...