Перейти к содержанию

Блокировка атакующего компьютера


Рекомендуемые сообщения

очень часто вслывает окно поповоду атакуюшего компьютера.И почему то пишет,что блокировка не возможна.Почему? И можно ли это устранить?

Ссылка на комментарий
Поделиться на другие сайты

очень часто вслывает окно поповоду атакуюшего компьютера.И почему то пишет,что блокировка не возможна.Почему? И можно ли это устранить?

 

 

 

1. Выложите скриншот об атаке на компьютер на форуме, т.к. не понятно какая атака и на какие порты. :huh:

Ссылка на комментарий
Поделиться на другие сайты

и самое главное не понятно что значит блокировка не возможна

 

видимо, когда нельзя чётко определить АйПи "вредного" компа

 

чтобы не лочить провайдера, в таких случаях атакующий комп не блокируется

Ссылка на комментарий
Поделиться на другие сайты

У меня постоянно так. Блокировать не может, потому что "адрес атакующего компьютера может быть поддельный", то есть точно его определить KIS-е не удалось (то бишь то, о чём уже сказал Roman_Five)

 

Я на такие сообщения не обращаю внимания :huh: Если раздражает - отключите просто это уведомление, на безопасность это, само собой, никак не повлияет )

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Примерно та же вещь.

Имеется KIS 8

При сетевых атаках все время пишется, что компьютер не заблокирован, потому что его адрес поддельный. На мой взгляд, плохо – пользовался версией 7.0.1.325, там вручную задавалось чтоб «блокировать атакующий комп», а здесь этот автоматический выбор действия я не знаю как поправить.

 

И еще до кучи, чего я пришел-то.

Собственно сообщения о сетевых атаках меня не так и беспокоили, но вот что случилось:

Явление – сетевая атака, UDP от 218.75.199.50 на локальный порт 1434 Intrusion.Win.MSSQL.worm.Helkern.

Он прописывает что не заблокировал комп, я на всякий случай вырубаю DSL модем, но поскольку комп начинает тормозить, я перезапускаю машину.

На всякий случай глянул в отчет KIS и вижу, что на момент сетевой атаки защита не работает :D :) (хотя разумеется никто ничего не отключал – кроме вероятного злоумышленника.)

Червяк старый и вроде не должен был ничего натворить, но либо это он что-то сделал, либо это предвестник какого-то инструментария, которого KIS не контролирует.

Во всяком случае на KIS 7 сообщений об отключении ео не было.

 

И еще – как бы так чтоб поменьше мороки с прописыванием правил, запретить всем установленным программам кроме браузера всякие сетевые взаимодействия?

Ссылка на комментарий
Поделиться на другие сайты

Примерно та же вещь.

Имеется KIS 8

При сетевых атаках все время пишется, что компьютер не заблокирован, потому что его адрес поддельный. На мой взгляд, плохо – пользовался версией 7.0.1.325, там вручную задавалось чтоб «блокировать атакующий комп», а здесь этот автоматический выбор действия я не знаю как поправить.

В смысле плохо? КИСа всё отразила,но не заблокировала комп,потому что IP не известен\поддельный,а если заблочила бы,Вы б в инет выйти не смогли,т.к. будет IP провайдера,вот.

И еще до кучи, чего я пришел-то.

Собственно сообщения о сетевых атаках меня не так и беспокоили, но вот что случилось:

Явление – сетевая атака, UDP от 218.75.199.50 на локальный порт 1434 Intrusion.Win.MSSQL.worm.Helkern.

Он прописывает что не заблокировал комп, я на всякий случай вырубаю DSL модем, но поскольку комп начинает тормозить, я перезапускаю машину.

На всякий случай глянул в отчет KIS и вижу, что на момент сетевой атаки защита не работает (хотя разумеется никто ничего не отключал – кроме вероятного злоумышленника.)

Если у Вас стоИт Microsoft SQL Server 2000,то надо ставить заплатки(хотя КИСа отразила,и беспокоится не стоит),а если нет,то этот вирус заразить вас не сможет.

И еще – как бы так чтоб поменьше мороки с прописыванием правил, запретить всем установленным программам кроме браузера всякие сетевые взаимодействия?

А вот тут помочь не могу,т.к. у меня 9.0.0.459 стоИт.

Ссылка на комментарий
Поделиться на другие сайты

Если у Вас стоИт Microsoft SQL Server 2000,то надо ставить заплатки(хотя КИСа отразила,и беспокоится не стоит),а если нет,то этот вирус заразить вас не сможет.

Microsoft SQL Server 2000 - а что это? Наверное у меня такого нет. Обычная ХР с SP3.

Главное что меня обеспокоило - это то что на момент хакерской атаки KIS отключился - бага, однако, значит любая атака - отключай комп от нета причем в самом экстернном режиме.

 

Я правда подумываю, как бы отключить все лишние порты, сдается мне 1434 на фиг не нужен для моей сетевой жызни. Но как бы это сделать...

Ссылка на комментарий
Поделиться на другие сайты

1. Если вы подозреваете, что компьютер заражен вирусом, сделать логи для лечения

Нет, меня не беспокоит возможность заражения вирусом как таковым – меня беспокоит, что во время нахождения в нете, после [возможного] сканирования портов кто-то получает возможность отключить KIS как таковой – запись в отчете указывает на это вполне однозначно. Если она отражает реальность.

Дело еще в том, что явление обнаружено ТОЛЬКО как запись в отчете, сообщения пользователю об этом ни разу не было, к тому же все действия по изменению настроек у меня под паролем – запроса на отключение защиты ни разу не было, но в отчете фигурирует именно совершенное действие без какого-то обращения к пользователю.

 

Эта запись однажды была обнаружена в июне м-це в отчетах, обстоятельства таковы – во всех случаях следовало сканирование портов, после чего машина начинала тормозить. Я старался отключать сеть, а когда это было невозможно (почти зависшая машина) – тогда отключал DSL модем. Контроль над компьютером сразу восстанавливался после отключения от сети. Последующая проверка ни разу не дала диагноза заражения (а настройка поиска вирусов у меня максимально допустимая приложением).

 

Таких ситуаций в отчетах было штук пять, но к сожалению отчета за предыдущие наверное не сохранилось – недавно переустановил винду. По памяти – все зарегистрированные сканирования, после которых следовало отключение защиты, были именно Intrusion.Win.MSSQL.worm.Helkern.

В качестве версии – что реально может скрываться под действием, определяемым KIS как этот вид угрозы (Intrusion.Win.MSSQL.worm.Helkern.)?

 

В рекомендованных статьях пока не нашел интересующего нюанса (впрочем просмотрел еще не все).

Изменено пользователем Пью
Ссылка на комментарий
Поделиться на другие сайты

Атаки, атаки: у меня почему-то ;) за все время использования 8-ки и 9-ки ни разу :) не было сетевой атаки. Даже грустно как-то :D

Скорее всего Вы просто находитесь за НАТом. Как только я перевел модем в режим роутера, я сразу же перестал видеть назойливые сообщения об атаках Ловесана и Хайнекеля и даже сканирование портов, с ними теперь успешно расправляется модем.

Изменено пользователем Leks13
Ссылка на комментарий
Поделиться на другие сайты

находитесь за НАТом

 

Это как ? :)

 

перевел модем в режим роутера

 

Можно поподробнее об этом?

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты

В качестве версии – что реально может скрываться под действием, определяемым KIS как этот вид угрозы (Intrusion.Win.MSSQL.worm.Helkern.)?

Это древний червь, который как раз и внедряется в неисправленную Microsoft SQL Server 2000

 

Microsoft SQL Server 2000 - это сервер баз данных от Microsoft

Весьма и весьма требовательная к ресурсам компьютера программа

Ссылка на комментарий
Поделиться на другие сайты

Leks13

Скорее всего Вы просто находитесь за НАТом. Как только я перевел модем в режим роутера, я сразу же перестал видеть назойливые сообщения об атаках Ловесана и Хайнекеля и даже сканирование портов, с ними теперь успешно расправляется модем.

C этого места подробнее плз... Что такое, как переводятся режимы.

И еще - у меня когда-то было этих сообщений о сканировании примерно раз в минуту-две, и повидимому не всегда безболезненно, в общем нахождение в сети было крайне напряженное, ничего серьезного не качнешь.

Изрядно исправила поблему какая-то утилитка wwds.exe (не помню чья она, кажись drweb-овская), она эти открытые порты видит и предлагает отключить - ну вот воспользовался, помогает сильно, сканирований стало примерно на порядок(+) меньше. Хотя и не сняло полностью.

Вроде можно эти порты отключить в самой винде без посторонних программ, но как сие делается не знаю. Чайник я старый, не ругайте сильно...

Изменено пользователем Пью
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • iaroslav
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • KL FC Bot
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • egor536457253453
      От egor536457253453
      Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

      CollectionLog-2025.02.04-10.10.zip
    • KL FC Bot
      От KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
×
×
  • Создать...