Temat
Intruz W Systemie
85.237.188.* napisał:
Mam przypuszczenie, że jakiś haker włamał mi sie do systemu, oto poszlaki:-Kaspersky w pewnym momencie wykrył próbę połączenia do ftp.republika.pl, podczas surfowania po internecie (bez jakichkolwiek stron związanych z republiką)
-dzisiaj potrzebowałem przełączyć się na drugie konto w systemie, gdy chciałem powrócić na moje wyświetlił mi się komunikat "Twoje konto zostało zablokowane, skontaktuj się z administratorem". Ja zresetowałem kompa a tu w ogóle mojego konta nie było na ekranie logowania (pliki na szczęście zostały)
Mam Windowsa XP nastawionego na automatyczne aktualizacje, chronionego przez Kasperskiego Internet Security 6.0.300 PL aktualizowanego codziennie. Wykonałem pełne skanowanie kasperskim, nic nie wykryło. Potem odpaliłem skaner BitDefendera online też nic nie znalazło. Na koniec poszedł Ad-aware Personal, wywaliło trochę śmieci ale to nic nie dało. Jak się pozbyć nieproszonego gościa?? Załączam loga z Hijacka
KOD
Logfile of HijackThis v1.99.1
Scan saved at 19:39:23, on 2006-07-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\TimeMonitor\TimeMonitor.exe
E:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\Program Files\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\PROGRA~1\Speed-X\SpeedX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\BitComet\BitComet.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Marek1\USTAWI~1\Temp\Rar$EX00.234\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Seekmo Search Assistant Helper /fleok=1D8A83A5C5EC177A90B129671DAE25AEF89B78759AEFDC765D7845283B - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - c:\program files\seekmo\seekmohook.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TMLicznik] E:\Program Files\TimeMonitor\TimeMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "E:\Program Files\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpeedX] E:\PROGRA~1\Speed-X\SpeedX.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - E:\Program Files\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144927552671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153501411953
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19989435-325F-4940-94E9-C6F207C344FF}: NameServer = 85.237.160.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{19989435-325F-4940-94E9-C6F207C344FF}: NameServer = 85.237.160.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{19989435-325F-4940-94E9-C6F207C344FF}: NameServer = 85.237.160.2
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Program Files\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
80.55.178.* napisał:
Wrzuć logi na tę stronę: http://www.hijackthis.de/Pomyślę co musiałbyś zrobić aby tego nieproszonego "gościa" usunąć.
Na każde konto w Windowsie załóż najlepiej hasło (ok. 10 literowe). Windows to taki syf, że domyślnie zawsze pracujesz na koncie, które ma prawa administratora. Naszczęście korzystam z linuksa
Zobacz także czy nie masz rootkita:
1) http://pl.wikipedia.org/wiki/Rootkit
2) http://security.computerworld.pl/news/85231.html
BTW:
CYTAT
jakiś haker włamał mi sie do systemu
raczej nie haker tylko cracker...
85.237.188.* napisał:
Skanowałem już system jakimś antyrootkitem (bodajże HiddenFinder czy coś w tym stylu), ale nic nie znalazł. Wypróbuję jeszcze RootkitRevealera. Do podanych informacji dodam jeszcze, że kaspersky wykrywa co chwilę ataki Intrusion.Win.MSSQL.worm.Helkern! z różnych adresów IP, ale skoro wykrywa to chyba je blokuje, a skoro je blokuje to chyba nie w tym problem. I jeszcze jedno-moje poprzednie konto ni z gruszki ni z pietruszki znowu się pojawiło
Co do haseł nie jestem w stanie nic zrobić.Sam co prawda używam bezpiecznego 9-cio literowego hasła z cyframi, ale moja siostra gdzieś ma bezpieczeństwo i mimo moich wielokrotnych próśb odmawia założenia hasła
Rejestr jest zabezpieczony, wszystkie usługi zdalnego dostępu itp. wyłączoneLog z RootkitReavelera
KOD
HKLM\S-1-5-21-796845957-1580818891-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx 2006-07-22 11:42 100 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-796845957-1580818891-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\MRUListEx 2006-07-22 11:41 48 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 2006-07-22 11:07 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 2006-07-22 11:07 0 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP6\PdmHist\a7c.33D43EA401C6AD72.history\00000000.bak 2006-07-22 11:37 2.85 MB Hidden from Windows API.
C:\Documents and Settings\Marek\Recent\59432840144571bce441fe.jpg.lnk 2006-07-22 11:37 601 bytes Hidden from Windows API.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0JRZ6G15\banPL[1].swf 2006-07-22 11:38 37 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0JRZ6G15\CIO_czerwiec2006_kampania336x280[1].swf 2006-07-22 11:38 37 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0JRZ6G15\sarg=[6] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0LU7KTU3\ad[6].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0LU7KTU3\sarg=[3] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0LU7KTU3\sarg=[4] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\ad[3].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\redot[1].gif 2006-07-22 11:38 43 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\sarg=[5] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\CT8HU74X\sarg=[6] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\96112[1].htm 2006-07-22 11:38 33.90 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\ad[6].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\ppdot[7].js 2006-07-22 11:38 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EB2VA5Q3\sarg=[5] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHIN016R\ad[4].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHIN016R\ad[5].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OHIN016R\sarg=[4] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\ad[1].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\ad[2].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\banPL[1].swf 2006-07-22 11:19 37 bytes Visible in Windows API, MFT, but not in directory index.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\sarg=[4] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\sarg=[5] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDUBCXEF\search[1].htm 2006-07-22 11:37 5.73 KB Visible in Windows API, directory index, but not in MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\ad[7].js 2006-07-22 11:38 1.49 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\ad[8].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\ad[9].js 2006-07-22 11:38 1.72 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\VR5BJ5WW\sarg=[5] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YPAYWLCJ\ad[4].js 2006-07-22 11:38 497 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YPAYWLCJ\sarg=[3] 2006-07-22 11:38 2 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\YPAYWLCJ\search[1].htm 2006-07-22 11:37 5.72 KB Visible in Windows API, directory index, but not in MFT.
C:\WINDOWS\Temp\cch~1652c35de.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1652c3abf.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16540a254.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16540a73e.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16557237d.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165572898.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165575963.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165575ec3.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165579203.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16557973e.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16558935a.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16558986b.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~16558fe13.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165590320.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655939a1.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~165593f0c.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655a33b5.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655add56.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655ae271.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1655b0dfc.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1665b4d78.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~1665b5976.htp 2006-07-22 11:35 8.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch~180314659.htp 2006-07-22 11:37 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~180314b14.htp 2006-07-22 11:37 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~18f6bce59.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18f6bd45d.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fcdf207.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fcdf69a.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8b035.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8b52c.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8dbc6.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe8e0bb.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe975f4.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~18fe97acd.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~1904a2e2d.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\cch~1904a3319.htp 2006-07-22 11:38 8.00 KB Visible in directory index, but not Windows API or MFT.
D:\z g\dokumenty\CA9KQP13.:Zone.Identifier 2006-07-21 20:04 26 bytes Hidden from Windows API.
D:\z g\dokumenty\CAR2KRNX.:Zone.Identifier 2006-07-21 20:04 26 bytes Hidden from Windows API.
D:\z g\dokumenty\CAT8ETPZ.:Zone.Identifier 2006-07-21 20:04 26 bytes Hidden from Windows API.
D:\z g\dokumenty\CAUR2RQ1.:Zone.Identifier 2006-07-21 20:04 26 bytes Hidden from Windows API.
Tempa już wyczyściłem, cztery ostatnie pliki też wywalone (musiałem użyć unlockera), co zrobić z resztą?
PS Ja też używam linuxa, ale jestem w tym systemie jeszcze początkujący, więc niektóre czynności muszę wykonywać na Winshicie
80.55.178.* napisał:
Hellkern'ami bym się nie przejmował. Cytat z jednego forum:CYTAT
Do wszystkich z Helkernem: w tej sprawie nic zrobić nie możecie poza posiadaniem uaktualnionego Windows z firewallem + AV. Ataki są normą w sieci = firewall je blokuje = OK = ataki nie znikną z sieci bo to zjawisko niezależne od WAS = aby się nie denerwować można tylko wyłączyć komunikat o zawiadamianiu o ataku
Oczywiście mając router ze sprzętowym firewallem te ataki zostaną "odbite" tak iż nie dojdzie to do wiedzy firewalla typu software (Kasper, Zone etc.) ale atak nadal będzie miał miejsce choć pozornie niby nic nikt nie zobaczy.
Powtarzam: zostawiacie to w spokoju i tyle. Jest blokowane.
Oczywiście mając router ze sprzętowym firewallem te ataki zostaną "odbite" tak iż nie dojdzie to do wiedzy firewalla typu software (Kasper, Zone etc.) ale atak nadal będzie miał miejsce choć pozornie niby nic nikt nie zobaczy.
Powtarzam: zostawiacie to w spokoju i tyle. Jest blokowane.
Linki:
1) http://www.cdrlab.pl/forum/showthread.php?t=2726
2) http://www.searchengines.pl/phpbb203/index.php?showtopic=35155
Ja nie mam takich komunikatów gdyż mam swój serwer, który blokuje tego typu robale.
Jeżeli siostra nie chce mieć hasła na swoim koncie to moża trochę zmniejszyć prawa dostępu do niektórych katalogów. Lub można jej powiedzieć, że wszystkie prywatne rzeczy typu hasła do poczty, na GG itp będą trafiały do komputera crackera, chyba że zabezpieczy konto hasłem
.(Znając system Winsyf to i tak hasła nie pomogą ale to się wytnie
)Mam takie małe pytanko: Masz neostradę czy może jesteś w sieci lokalnej za serwerem?
***DODANE***
jeszcze jedno: czy umiesz zobaczyć na jakim porcie łączy się z Tobą cracker (chodzi o Hellkern. Chyba powinno tam pisać. W logach Kaspra itp.) ?
85.237.188.* napisał:
Ad 1Mam neta z kablówki z publicznym IP
http://www.tkchopin.pl
Ad 2
Port 1434
Wyczytałem na stronie tepsy ostrzeżenie przed W32.SQLExp.Worm wykorzystującym ten port, ale ściągnąłem removal tool symanteca i nic nie znalazł.
Mam pytanko, co zrobić z tymi wpisami w rejestrze? Można je bezpiecznie usunąć?
80.55.178.* napisał:
Co do portu (ale chyba to już czytałeś) :CYTAT
W ostatnim okresie zauważono wzmożoną aktywność robaka internetowego W32.SQLExp.Worm (znany również jako SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee] ). Atakuje systemy, na których uruchomione są Microsoft SQL Server 2000 oraz Microsoft Desktop Engine (MSDE) 2000. Robak generuje przypadkowe adresy IP (używa Funkcji API "GetTickCount") do których rozsyła (UDP port 1434) 376 bajtowe pakiety zawierające poniższy ciąg:
"h.dllhel32hkernQhounthickChGetTf", "hws2", "Qhsockf" and "toQhsend".
W32.SQLExp.Worm nie posiada funkcji destrukcyjnych.
Zalecane działania:
Ściągnięcie narzędzia usuwającego robaka "W32.SQLExp.Worm Removal Tool" ze strony Symantec'a:
http://securityresponse.symantec.com/avcenter/
venc/data/w32.sqlexp.worm.removal.tool.html
Blokada UDP port 1434 na wszystkich możliwych firewall'ach.
"h.dllhel32hkernQhounthickChGetTf", "hws2", "Qhsockf" and "toQhsend".
W32.SQLExp.Worm nie posiada funkcji destrukcyjnych.
Zalecane działania:
Ściągnięcie narzędzia usuwającego robaka "W32.SQLExp.Worm Removal Tool" ze strony Symantec'a:
http://securityresponse.symantec.com/avcenter/
venc/data/w32.sqlexp.worm.removal.tool.html
Blokada UDP port 1434 na wszystkich możliwych firewall'ach.
Tak jak wyżej. Proponuje zamknąć całkowicie port UDP 1434.
********
Co do wpisów w rejestrze - chodzi Ci o wpisy, które są zapisane w logu (pierwszy Twój post)? Na te pytanie trudno mi jest odpowiedzieć gdyż nie wiem jak na ich brak zareaguje Windows. Nie wiem także jaki program dokonał takich wpisów. Czy to ten cracker czy po prostu zwykły program.
********
Czy oprócz informacji o Hellkernach pojawiają się także inne ? jeżeli nie to bardzo możliwe, że w ogóle nie było włamania do Twojego komputera. Była jedynie próba włamania lecz nie udana.
***DODANE***
Aha. Może to już zrobiłeś ale przypomnę: najlepiej zmienić nazwę głównego konta w Windowsie "Administrator" i założyć na niego także hasło
85.237.188.* napisał:
Hmm skoro kasper wykrywa te ataki to chyba je blokuje, a skoro blokuje, to nie tędy wszedł włamywacz. Poza tym te próby idą z dziesiątków różnych IP, wątpię, aby chciało mu się tak często zmieniać proxy. Poza tymCYTAT
W32.SQLExp.Worm nie posiada funkcji destrukcyjnych
Na wszelki wypadek port 1434 jednak zamknąłem. Że ktoś się do mnie włamał jestem pewien-jak inaczej wyjaśnić objawy w pierwszym poście? Co do tych wpisów rejestru to chodziło mi o te z drugiego loga-te wykryte przez Rootkitreavelera. Co do konta administratora to już jest od dawna zablokowane.
80.55.178.* napisał:
a nie ma takiego programu (możliwe że taką funkcję posiada firewall), który pokazuje z jakimi numerami IP ustanowione jest połączenie ?W linuksie mam firewall "Firestarter". Bez problemu idzie wykryć z jakim numerem IP aktualnie się łączę (chodzi o udane połączenie), przez jaki port i przez jaką usługę (czy to SSH, czy HTTP). Taki program ułatwił by sprawę gdyż nie wiadomo czy nieznajomemu gościowi udało się nawiązać połączenie z Twoim komputerem. Niestety nie "siedzę" w tematach o Windowsie więc nie posiadam takiego programu.
Jeszcze raz zadam pytanie:
CYTAT
Czy oprócz informacji o Hellkernach pojawiają się także inne alerty?
Jeżeli chodzi o łączenie się z różnych adresów IP (Hellkern) - mój wujek także miał te alery od Kaspra. Także z różnych adresów IP. Jeżeli Kasper te połączenia blokuje to nie ma się czym przejmować. Idzie chyba nawet wyłączyć pokazywanie alertów o Hellkernach.
Co do logów: nigdy nie używałem tego programu więc nie wiem "do czego on jest zdolny" ale:
1) Temporary Internet Files możesz prawdopodobnie wyczyścić
2) Co do wpisów np. "HKLM\S-1-5-21-796845957-1580818891-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx"
nie jestem w stanie pomóc gdyż nie wiem za co ten rejestr jest odpowiedzialny. Jeżeli program wykrył, że ten rejestr jest zmodyfikowany to na moim miejscu postąpiłbym zgodnie z zaleceniami programu. Dobrze jakby przed naprawą/usunięciem danego rejestru, program wykonał np. kopię zapasową lub coś co pomoże w krytycznej sytuacji przewrócić poprzednie ustawienia. Takie jest moje zdanie - nie biorę odpowiedzialności gdy program uszkodzi rejestr itp (nie ja ten program napisałem
).
85.237.188.* napisał:
Nie, prócz helkerna nie ma innych alertów.Rootkit reaveler niestety tylko wykrywa podejrzane obiekty, trzeba je ręcznie kasować.
Co do programu do wykrywania połączeń to kasper pokazuje aktywne aplikacje sieciowe, otwarte porty i ile danych z danym IP zostało wymienione w czasie sesji. Zaraz pogoogluje po coś do wykrywania IP z którym jestem aktualnie połączony.
80.55.178.* napisał:
Możesz jeszcze spróbować programów takich jak(nigdy ich nie testowałem):1) http://security.computerworld.pl/ftp/3518/Securepoint%20Intrusion%20Detection%20System%202.0.9.html
2) http://security.computerworld.pl/ftp/3511/Anti-Trojan%20Shield%201.4.0.7.html
3) http://www.idg.pl/ftp/pc_8548/Free.Registry.Fix.3.0.html
Nie wiem co jeszcze mam poradzić. Żaden program nie wykrywa ani trojana ani wirusa. Na moje ślepe oko to tak jakby nikogo w systemie nie było. Chyba, że ten ktoś zrobił sobie własnego trojana, który jest nie wykrywalny. Tylko nie umie wyjaśnić, dlaczego Windows tak dziwnie się zachowywał (problem z postu 1). Co do nawiązania połączenia z ftp.republika.pl: biorę najbardziej durną teorię - na stronę którą wszedłeś był np. obrazek, który umieszczony był właśnie na serwerze FTP ftp.republika.pl
Lecz na "zjawisko" zniknięcia konta i pojawienia się go ponownie nie mam teorii lub mam taką: Windows jest tylko WIndowsem zawsze to ten sam złom, który robi takie niespodzianki
Pamiętam taki przypadek. Mój ojciec zrobił sobie format dysku i zainstalował potrzebne programy. Nagle dyskiem zaczęło strasznie "szarpać". Myślałem, że za chwile dysk się albo przepali albo "strzeli". Nie wiadomo co było przyczyną takiej sytuacji. Okazało się że zainstalowany program "InCD" powodował takie "atrakcje". Także nie wiem dlaczego się tak działo ale Windows jest Windowsem.
Jednak także stwierdziłbym że w Twoim systemie jest intruz (lub był). Jest taka fajna dystybucja linuksa "Knoppix STD" która służy głównie do sprawdzania bezpieczeństwa systemu, detekcji włamań itp. Jest to dystrybucja bootowalna. Narazie jednak dopiero uczę się jej wykorzystywać.
85.237.188.* napisał:
To uzasadnienie pierwszego zjawiska wykluczam-było to w trakcie codziennego "oblotu" kilku stron typu wp.pl, onet.pl securitywortal.pl securityresponse.symantec.com i paru innych-przeglądam te strony bardzo często, a jakoś nigdy kasper nie wykrywa połączeń z republiką...Dzisiaj kasper pokazał atak:
KOD
2006-07-24 11:48:30 Intrusion.Win.DHCP.client.buffer-overflow.exploit 172.17.0.1 UDP 68
84.10.180.* napisał:
Windows jest tylko WIndowsem zawsze to ten sam złom,
sory za offtopic, pokaz jakikolwiek lepsiejszy system, zeby jeszcze mial oofica jakotako dzialajacego, coby mozna go do jakiejs domeny podpiac, nibylo problemow z oprogramowaniem, niespedzal bys calego dnia na lataniu po firmie i tlumaczeniu co i dlaczego oraz jak to zrobic?? a jeszcze jaby dalo sie w cos jeszcze na nim zagrac to juz nobla powinienes dostac
a gadka "ja mam swoj serwer.." kojazy mi sie z wypowiedzia takiego typa : "Ja bylem elektrykiem...................wysokich napiec..";
a co do tematu, format i posprawie(nizepomnij o windows update), zalatw sobie jeszcze jakis routerek i z glowy, wlam to w 99% niebyl bo jeszcze dales rade wlaczyc kompa i go uzywac. odwiedz stronke www.wss.pl i tam napewno sie dowiesz jak zabezpieczyc winde
80.55.178.* napisał:
a gadka "ja mam swoj serwer.."
Cieszę się że mam serwer gdyż do takiego włamania nigdy by nie doszło (przynajmniej nie na takim porcie. Jeszcze do tego UDP)
Rówież cieszę się że tak mało ludzi używa linuksa. Przynajmniej mam zapewniony komport korzystania z internetu (gdyby dużo ludzi korzystało z linuksa to wszyscy autorzy wirusów przerzuciliby się na ten system. Mam nadzieje, że Windows nadal będzie prowadził na rynku systemów operacyjnych)
*********
Co do ataku. Ktoś próbował włamać się do systemu techniką przepełnienia bufora. Adres IP "172.17.0.1" (domyślam się że to ten który Cię atakował) jest to adres sieci wewnętrzej.
CYTAT
Norma RFC 1918 ustala (między innymi) listę adresów wewnętrznych, czyli takich które nie podlegają trasowaniu i nie są widoczne w Internecie:
10.0.0.0 do 10.255.255.255
172.16.0.0 do 172.31.255.255
192.168.0.0 do 192.168.255.255
Nie wiem czy taki numer IP ma w Twojej sieci router/serwer czy któryś z użytkowników. Zalecam zainstalowanie jeszcze firewalla "Sygate Personal Firewall 5.5" z tej strony:
- http://download.chip.pl/download_90463.html
Przepuszczanie przez niego tylko niezbędnych usług np. GG, FireFox.
Zobacz także czy w Windowsie nie masz udostępnego jakiegoś folderu. Są często powodem przemieszczania się wirusa/trojana po sieci lokalnej
PS: Mam nadzieje, że nie korzystasz z przeglądarki IE ?
85.237.188.* napisał:
Najlepsze jest to... że ja nie mam żadnej sieci lokalnej
Konfig połączenia internetowego
Moje IP: stałe, publiczne, mogę wybrać z określonej puli
Brama internetowa: 85.237.188.1
DNS: 85.237.160.2
Ktoś najprawdapodobniej korzystał ze spoofingu.
Komp jest podłączony bezpośrednio do modemu przez USB, zintegrowana karta sieciowa jest wyłączona w BIOSie. Co do przeglądarki to korzystam z Opery. Z Sygate to mi nie za bardzo po drodze-kasper ma już wbudowanego firewalla, a jak ostatnio próbowałem zainstalować naraz McAfee i Nortona to skończyło się formatem
Ewentualnie mogę wywalić kaspra i zainstalować coś nowego, ale zaleć jakiś pakiet Internet Security (żeby antywir i firewall był jednego producenta), bo osobne instalowanie dość mocno zamula kompa. Formata niestety nie mogę w tej chwili zrobić, a poza tym jeżeli ktoś raz się przebił przez moje zabezpieczenia, to czemu nie mógłby tego zrobić po raz drugi?
80.55.178.* napisał:
Ahh. Gdyby to był linux:CYTAT
# To najlepsza metoda: włączyć Weryfikację Adresu Źródłowego przeciwko
# atakom IP Spoofing dla obecnych i przyszłych interfejsów sieciowych
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Ustawianie ochrony przed IP Spoofingiem..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "gotowe."
else
echo PROBLEMY Z USTAWIENIEM OCHRONY PRZED SPOOFINGIEM IP. ZWRÓĆ NA TO
echo UWAGĘ. "CONTROL-D pozwoli na wyjście z tego shell'a i na
echo kontynuowanie startu systemu."
# Wystartuj konsolę dla jednego użytkownika
/sbin/sulogin $CONSOLE
fi
# atakom IP Spoofing dla obecnych i przyszłych interfejsów sieciowych
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Ustawianie ochrony przed IP Spoofingiem..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "gotowe."
else
echo PROBLEMY Z USTAWIENIEM OCHRONY PRZED SPOOFINGIEM IP. ZWRÓĆ NA TO
echo UWAGĘ. "CONTROL-D pozwoli na wyjście z tego shell'a i na
echo kontynuowanie startu systemu."
# Wystartuj konsolę dla jednego użytkownika
/sbin/sulogin $CONSOLE
fi
ale nie jest. Masz ten pech, że jesteś dostępny z internetu (masz publiczny adres IP przypisany Twojemu komputerowi). A jakbyś usunął kaspra i zainstalował go ponownie aby wyczyścić wszystkie reguły (lub usunął wszystkie reguły z firewalla jeżeli ma taką możliwość). Jeżeli masz możliwość zamknij wszystkie porty z których nie korzystasz (wiem, że nie możesz np. zamknąc portów TCP powyżej 1024 gdyż większość aplikacji na nich pracuje) ale możesz zablokować porty UDP + zamknąć porty TCP 0:1024 (a port 80 otworzyć tylko w jedną stronę - wyjście, wejście zablokować). Nie wiem czy to jest możliwe gdyż nigdy tak nie robiłem na Windowsie.
Wczoraj zainstalowałem na Windowsie właśnie firewall "Sygate Personal Firewall 5.5". Jestem z niego zadowolony dlatego, że pokazuje dokładnie który numer IP korzysta z jakiego programu np. nr IP xxx.xxx.xxx.xxx korzysta z programu C:/DC++/dc.exe
Tak na chłopskie myślenie: jeżeli gośc stosuje technikę przepełnienia bufora to znaczy że jeszcze się do systemu niedostał gdyż po co stosować taką technikę jak ma się już prawa roota. Chyba, że ten ktoś dopiero się uczy się i stosuje wszystkie znane mu techniki. Może za niedługo zacznie atak Ping of Death, Ping Flooding, SYN Flooding lub może będzie się starał przejąć TCP/IP. Nie wiadomo do czego jest zdolny
Ja bym zablokował wszystkie porty z których nie korzystam a te z których korzystam otworzył tylko w jedną stronę. Oczywiście (chyba
) programy typu GG muszą mieć otwarte porty w dwie strony...
85.237.188.* napisał:
Wszystkie niepotrzebne porty poblokowałem. A co do tego ataku to wydaje mi się, że to drugi intruz próbował mi wleźć do systemu.217.153.14.* napisał:
na portach miedzy 0 a 1024 oprucz 80 jeszcze znajdzie sie pare przydatnych21 - ftp
22 - ftp
25 - smtp
53 - dns
110 - pop3
443 - https
co do portow powyzej 1024 to akurat mozna zamknac wszystkie a zostawic tylko kilka potrzebnych (gg i jakies p2p jesli uzywasz+ewentualne giery)
a co do odblokowania portu w jedna strone, pakiety tez ktoredys musza wrucic wiec wypadaloby przyjmowac pakiety z tego portu
Podobne tematy
Działy
Copyright © 2002-2024 | Prywatność | Load: 1.26 | SQL: 1 | Uptime: 142 days, 8:53 h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl