www.elektronik.si Seznam forumov www.elektronik.si
Forum o elektrotehniki in računalništvu
 
 PomočPomoč  IščiIšči  Seznam članovSeznam članov  SkupineSkupine  StatisticsStatistika  AlbumAlbum  DatotekeFilemanager DokumentacijaDocDB LinksPovezave   Registriraj seRegistriraj se 
  PravilaPravila  LinksBolha  PriponkePriponke  KoledarKoledar  ZapiskiZapiski Tvoj profilTvoj profil Prijava za pregled zasebnih sporočilPrijava za pregled zasebnih sporočil PrijavaPrijava 

virus? service? - čuden HTTP promet
Pojdi na stran Prejšnja  1, 2
 
Objavi novo temo   Odgovori na to temo   Printer-friendly version    www.elektronik.si Seznam forumov -> MS Windows razprave
Poglej prejšnjo temo :: Poglej naslednjo temo  
Avtor Sporočilo
igo
Član
Član



Pridružen-a: Sre 11 Okt 2006 19:11
Prispevkov: 3641
Aktiv.: 15.96
PrispevekObjavljeno: Pon Mar 17, 2008 12:09 am    Naslov sporočila:   Odgovori s citatom
GJ je napisal/a:
Naloži si 'Sygate Personal firewall' je free za osebno rabo.
LINK: http://www.simtel.net/product.php?id=53687
Zadeva se mi zdi rahlo stara... Confused .
Različica 5.6
Release Date: Oct 28, 2004
Povrhu vsega je avtor programa " Sygate Personal Firewall ", ob kliku na povezavo pa se samodejno preusmeri na Symantec-ovo stran (Norton), kjer med "Products A to Z" ni tega požarnega zidu.

Imam Comodo požarni zid in nenehno izpisuje nešteto "Inbound Policy Violation (Access denied, IP= .... ) in "Inbound Policy Violation (Access denied, ICMP = ECHO REQUEST). Vsake toliko pa še "Outbound Policy Violation (Access denied, Protocol = IGMP).

Pravkar me je zagrabilo in prosim g. Darkota, da mi vdre v računalnik. Me zanima, kako ranljiv je (rezultat pod ZS). Šele potem bom verjel v rezultate, ki jih izpiše TrendMicro HackerCheck .

@aly: Skeniranje aktivnega diska je neučinkovito zato, ker okužen sistem teče. Disk daj v "slave" in v drug računalnik ter se ga potem z neokuženega sistema loti z ustreznim sveže posodobljenim arzenalom.
LP,
Igor
_________________
Teoretično je praksa posledica teorije, praktično je pa ravno obratno. (igo 2001)
LP, Igor

Nazadnje urejal/a igo Pon Mar 17, 2008 12:28 am; skupaj popravljeno 1 krat
Nazaj na vrh
Odsoten Poglej uporabnikov profil Pošlji zasebno sporočilo Pošlji E-sporočilo
VolkD
Član
Član



Pridružen-a: Pet 24 Sep 2004 21:58
Prispevkov: 14228
Aktiv.: 59.89
Kraj: Divača (Kačiče)
PrispevekObjavljeno: Pon Mar 17, 2008 12:26 am    Naslov sporočila:   Odgovori s citatom
igo je napisal/a:
Pravkar me je zagrabilo in prosim g. Darkota, da mi vdre v računalnik. Me zanima, kako ranljiv je (rezultat pod ZS). Šele potem bom verjel v rezultate, ki jih izpiše TrendMicro HackerCheck .

Nič ne bo iz tega. Preveč dela za premalo efekta.
Je pa nekaj res. Sem tudi praktično preizkusil. Brez AV programa sem bil več kot pol leta (8 mesecev). In se nisem okužil !
Problem pri vdorih ni toliko v tehniki, ki obide zaščite, kot v tem, da se da prej okužit "človeka" kot stroj.

Samo zaradi poskusa pa res ne mislim počet kup pol ali celo ne legalnih stvari.

Bom pa nakazal kako se take slučaje kot je tvoj prebije.

Intenzivno pinganje (skoraj DDOS) v času nekaj 10 ur. Med tem v kratkih intervalih poskusi vdora z vsem arzenalom (na vseh portih).
Zakaj? Imam podatek, da imaš nov sw, ki ga preizkušaš. ker se ne gre za DDOS (linija torej ne pade) se promet močno upočasni. V nekem trenutku je želja ali na počasnost delovanja vpliva nov AV sw, prevelika. In ga izklopiš, da bi videl če to vpliva.
Je že konec !
Potem sledi prekinitev nagajanja, kar žrtvi utrdi vero v to, da nov sw slabo dela. Za tem je potrebna neka latentna doba. Žrtev mora biti namreč povsem prepričana, da je vse v redu.
Torej nobena stvar se ne zgodi v trenutku. Za vse je potrebno kup potrpljenja in dela na eni strani in samo majhna neumnost in delček nepozornosti na drugi.
_________________
Dokler bodo ljudje mislili, da živali ne čutijo, bodo živali čutile, da ljudje ne mislijo.
Nazaj na vrh
Skrit Poglej uporabnikov profil Pošlji zasebno sporočilo Obišči avtorjevo spletno stran
aly
Član
Član



Pridružen-a: Tor 28 Sep 2004 14:51
Prispevkov: 9407
Aktiv.: 39.60
Kraj: Kranj - struževo
PrispevekObjavljeno: Pon Mar 17, 2008 12:28 am    Naslov sporočila:   Odgovori s citatom
GJ, hvala za link, bom pogledal.

NeoTO je napisal/a:
Pri meni je bil tisti svchost kriv, pod katerim so laufale network services... Zdaj pa ugotovi, kje tiči zajec...

Ja, podobno je bilo pri meni. V TcpView sem si zapomnil PID številko procesa in tega istega našel v ProcessExplorerju. Na koncu sem izbrskal, da je za en del prometa bil kriv Service pod imenom Background Intelligent Transfer Service (del windowsov), ki sem ga veselo fental in je bil mir.

VolkD je napisal/a:
Če boš dovolj dolgo čakal bo tudi odhodni promet.

Ravno to sem čakal! Me je toliko firbec matral, kaj se bo zgodilo naslednje Very Happy

Igo, hvala za nasvet, bom preizkusil skenirati kot slave disk.

Nekoliko offtopic a vseeno povezano - kako globalno izklopiti autorun / autoplay funkcijo za vse removable & CD diske?
Edit: sem sam našel:
Citiram:
Windows XP
* Obtain and install TweakUI (part of the PowerToys for Windows XP package), and then start TweakUI.
* Expand the My Computer branch, then the AutoPlay branch, and then select Drives.
* Turn off the checkbox next to each drive letter for which you want AutoPlay disabled.

ali tole...
To disable autorun in Windows XP Professional, do the following:
Start > Run > gpedit.msc
(Left Pane) Computerer Configuration > Administrative Templates > System
(Right Pane) Set "Turn off autoplay" to "Enabled"

To disable autorun in Windows XP Home Edition, do the following:
Click Start, Run and enter REGEDIT
Then go to:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

Create a new value called: NoDriveTypeAutoRun
Type is: DWORD
Value is: 0x000000b1 (177)

You may need to log off/log on or reboot for the change to take effect. Additionally, you may need Administrator privileges to edit the Registry.

To undo this change, set the NoDriveTypeAutoRun value back to 91 (145) instead of B1 (177)

_________________
I'm going to stand outside, so if anyone asks, I'm outstanding Smile
Nazaj na vrh
Skrit Poglej uporabnikov profil Pošlji zasebno sporočilo Obišči avtorjevo spletno stran MSN Messenger - naslov
igo
Član
Član



Pridružen-a: Sre 11 Okt 2006 19:11
Prispevkov: 3641
Aktiv.: 15.96
PrispevekObjavljeno: Pon Mar 17, 2008 12:47 am    Naslov sporočila:   Odgovori s citatom
Hvala za razlago.

Sem pa podrobneje pogledal dnevnik dogajanja in me res ves čas napadajo od povsod Shocked
Inbound Policy Violation (Access denied, IP= ...., Port = Ms-ds(445) )
Inbound Policy Violation (Access denied, IP= ...., Port = Ms-sql(1433) )
Inbound Policy Violation (Access denied, IP= ...., Port = Ms-sql-name(1434) )
Inbound Policy Violation (Access denied, IP= ...., Port = številka porta )
Po 10-20 takih Inbound zahtev na minuto.
In internet se mi res dostikrat kar ustavi.

Pri nalaganju sistema internet vedno usposobim čisto nazadnje. Še antivirusni arzenal si prej naložim in posodobim (pri sosedu si dolpovlečem zadnje definicije). Sem pa bil v zadnjih 15 mesecih vmes par tednov brez požarnega zidu in routerja, pa vidim, da bo počasi čas za ponovno nalaganje sistema.

Požarni zid ugasnem ali "šarim" po njemu samo, kadar imam internetni mrežni kabel izpuljen iz računalnika Wink .
LP,
Igor
_________________
Teoretično je praksa posledica teorije, praktično je pa ravno obratno. (igo 2001)
LP, Igor
Nazaj na vrh
Odsoten Poglej uporabnikov profil Pošlji zasebno sporočilo Pošlji E-sporočilo
VolkD
Član
Član



Pridružen-a: Pet 24 Sep 2004 21:58
Prispevkov: 14228
Aktiv.: 59.89
Kraj: Divača (Kačiče)
PrispevekObjavljeno: Pon Mar 17, 2008 1:16 am    Naslov sporočila:   Odgovori s citatom
igo je napisal/a:
Po 10-20 takih Inbound zahtev na minuto.

10-20 /min ni kritično. Se ne pozna bistveno pri hitrosti prometa. To je takorekoč skoraj normalen "šum". Kup hekerjev pač išče nove žrtve in testira, če so dostopne na kakem servisu.
Huje bi bili kaki pingi s pogostnostji ponavljanja nekajkrat na sekundo, in kakšne velike dolžine. To pa že bistveno upočasni promet. Vse sicer še dela, a zelo počasi.
Če se to pojavlja sporadično v impuzih trajajočih kake 10 do 20 min, potem se človek spravi to raziskovat. pri tem ponavadi naredi napako.
Ping ni nujno Inbound zahtevek. Če imaš možnost izklopiti ping potem to tudi naredi.
_________________
Dokler bodo ljudje mislili, da živali ne čutijo, bodo živali čutile, da ljudje ne mislijo.
Nazaj na vrh
Skrit Poglej uporabnikov profil Pošlji zasebno sporočilo Obišči avtorjevo spletno stran
GJ
Član
Član



Pridružen-a: Čet 02 Nov 2006 15:51
Prispevkov: 946
Aktiv.: 4.16
Kraj: Ljubljana
PrispevekObjavljeno: Pon Mar 17, 2008 2:00 am    Naslov sporočila: icon_impressed  Odgovori s citatom
igo je napisal/a:
GJ je napisal/a:
Naloži si 'Sygate Personal firewall' je free za osebno rabo.
LINK: http://www.simtel.net/product.php?id=53687
Zadeva se mi zdi rahlo stara... Confused .
Različica 5.6
Release Date: Oct 28, 2004
Povrhu vsega je avtor programa " Sygate Personal Firewall ", ob kliku na povezavo pa se samodejno preusmeri na Symantec-ovo stran (Norton), kjer med "Products A to Z" ni tega požarnega zidu.


Ja res je zadeva stara..
Ampak preprosta in dobra..
Sygate Personal firewall se vsede/pohooka na dostope (dll-je) do komunikacij in to je to!

Na desni strani povezave imaš linke strani od koder lahko potegneš ta program..
Recimo LINK: http://www.tucows.com/preview/213160
Sygate Technologies inc. je bila kasneje odkupljena s strani Symanteca..
Program uporabljam od verzije 5.5 oziroma od leta 2003 in nimam problemov kar se tiče kontrole mrežnega prometa, preprosto zazna/zapiše vsako komunikacijo!

VolkD je napisal/a:
Če imaš možnost izklopiti ping potem to tudi naredi.


Eee.. Seveda! Pinganje imam vedno zablokirano že na hardware-skem router-ju. V primeru, da imaš obešen server na mreži potem dopustiš v nastavitvah pinganje samo njemu in seveda pustiš odprte samo tiste porte, ki jih rabiš, recimo port 80 za http..

V vsakem primeru imam že na hardware-skem router-ju onemogočeno, da bi mi nekaj od zunaj trigalo/šarilo po portih!
Možnost okužbe od zunaj je tako neznatna!
Seveda pa lahko sam zaženem kakšno okuženo aplikacijo, kar pa takoj zazna Sygate Personal Firewall, ko se aplikacija hoče povezati v svet, takrat pa panika..

LP GJ Laughing

Nazadnje urejal/a GJ Pon Mar 17, 2008 2:30 am; skupaj popravljeno 1 krat
Nazaj na vrh
Odsoten Poglej uporabnikov profil Pošlji zasebno sporočilo
Sokrat
Član
Član



Pridružen-a: Čet 25 Avg 2005 11:00
Prispevkov: 5584
Aktiv.: 23.51
PrispevekObjavljeno: Pon Mar 17, 2008 2:23 am    Naslov sporočila:   Odgovori s citatom
igo je napisal/a:
Sem pa podrobneje pogledal dnevnik dogajanja in me res ves čas napadajo od povsod Shocked


Tako je zivljenje - ce imas pred racunalnikom NAT router, se vecina tega smetja ustavi na njem (na routerju). Ta se ima tako ali tako cas igrati s prometom, saj ne pocne nic drugega ... dokler se ne obesi zaradi bugov v firmware-u, kar se zna zgoditi pri cenejsih routerjih.

Ce imas ADSL (torej da je uporabljen PPPoE), potem oprema, katero dobavi ISP, ponavadi dopusca povezavo na oba nacina, torej da racunalnik vzpostavi PPPoE (= slabo) ali da to naredi router namesto njega in skrije racunalnike za NAT (= boljse, ce je router dovolj inteligenten oz. fleksibilen).

Povzetek: vec koristnega bos naredil zase, ce namesto programa na racunalniku uproabis dovolj zdrave pameti in soliden router. Racunalnik bo deloval s polno hitrostjo in dokler ga sam ne ogrozis z neprevidnim ravnanjem, ne bo na njem nobene golazni.
_________________
Ka ti bo pa torba ce si kupu kolo ?
Nazaj na vrh
Skrit Poglej uporabnikov profil Pošlji zasebno sporočilo
NeoTO
Član
Član



Pridružen-a: Pon 28 Mar 2005 19:19
Prispevkov: 2752
Aktiv.: 11.58
Kraj: Trzic
PrispevekObjavljeno: Pon Mar 17, 2008 10:02 am    Naslov sporočila:   Odgovori s citatom
Sokrat, če govorimo o trojancih, ki jih lahko dobiš zelo hitro ob kakšnih 'čudnih' programih, potem ti NAT ne bo nič pomagal.
Jaz sem ga staknil poleg programa VistaTweak (khm... oz. 'popravka' zanj) in se je sam povezoval navzven (bil je mIRC trojanec) ter nato delal kar mu je bilo naloženo... Firewall na računalniku je edino, kar lahko zaustavi delovanje takega trojanca.
_________________
Lp,
Matevž
Nazaj na vrh
Odsoten Poglej uporabnikov profil Pošlji zasebno sporočilo MSN Messenger - naslov
.
Član
Član



Pridružen-a: Pon 23 Avg 2004 16:16
Prispevkov: 16777190
Aktiv.: 70623.18
PrispevekObjavljeno: Pon Mar 17, 2008 10:11 am    Naslov sporočila:   Odgovori s citatom
Brisana vsebina odstranjenega uporabnika.
Nazaj na vrh
Odsoten Poglej uporabnikov profil Pošlji zasebno sporočilo
Sokrat
Član
Član



Pridružen-a: Čet 25 Avg 2005 11:00
Prispevkov: 5584
Aktiv.: 23.51
PrispevekObjavljeno: Pon Mar 17, 2008 10:36 am    Naslov sporočila:   Odgovori s citatom
NeoTO je napisal/a:
Sokrat, če govorimo o trojancih, ki jih lahko dobiš zelo hitro ob kakšnih 'čudnih' programih, potem ti NAT ne bo nič pomagal.
Jaz sem ga staknil poleg programa VistaTweak (khm... oz. 'popravka' zanj) in se je sam povezoval navzven (bil je mIRC trojanec) ter nato delal kar mu je bilo naloženo... Firewall na računalniku je edino, kar lahko zaustavi delovanje takega trojanca.


Ravno to sem napisal - sam se moras potruditi, da ga dobis. Tvegano pocetje je pac ... tvegano Wink
_________________
Ka ti bo pa torba ce si kupu kolo ?
Nazaj na vrh
Skrit Poglej uporabnikov profil Pošlji zasebno sporočilo
jur
Član
Član



Pridružen-a: Pet 02 Dec 2005 14:45
Prispevkov: 5142
Aktiv.: 21.65
Kraj: [color=zelena]Ljubljana[/color]
PrispevekObjavljeno: Pon Mar 17, 2008 10:54 am    Naslov sporočila:   Odgovori s citatom
Infekcije in drug ShitWare... Proti tem stvarem ne pomaga noben NAT ali hardwerski router, pa če je še tako dober. Proti internetu mora biti na ven odprt port 80. Brez tega porta interneta ni. In ko nekdo za NATom ali dobrim routerjem klikne gumb Download, je zabave konec. Noben router ali NAT ne bo preprečil shita v downloadu. Mogoče ga bo našel antivirusni program, ali pa tudi ne. Glede na to, da praktično vsi antivirusni programi prej ali slej kaj zgrešijo, je konec (shitt) blizu...

Jur
Nazaj na vrh
Skrit Poglej uporabnikov profil Pošlji zasebno sporočilo
Pokaži sporočila:   
Objavi novo temo   Odgovori na to temo   Printer-friendly version    www.elektronik.si Seznam forumov -> MS Windows razprave Časovni pas GMT + 2 uri, srednjeevropski - poletni čas
Pojdi na stran Prejšnja  1, 2
Stran 2 od 2

 
Pojdi na:  
Ne, ne moreš dodajati novih tem v tem forumu
Ne, ne moreš odgovarjati na teme v tem forumu
Ne, ne moreš urejati svojih prispevkov v tem forumu
Ne, ne moreš brisati svojih prispevkov v tem forumu
Ne ne moreš glasovati v anketi v tem forumu
Ne, ne moreš pripeti datotek v tem forumu
Ne, ne moreš povleči datotek v tem forumu

Uptime: 9 dni


Powered by phpBB © 2001, 2005 phpBB Group