Перейти к содержанию

Атака с сети


Рекомендуемые сообщения

slavbod

А что вам мешает запретить все входящие на этот порт?

имеется ввиду мой порт? если да, то как же мне будут поступать данные с других адресов?а если имеется ввиду порт маньяка который меня долбит то я уже сделал запретить "any network actyvity" для этого адреса

Или отключите все "висящие" на нём службы.

а это я по своему слабоумию воще не понял :)

зы:кстати адрес судя по всему локальный т.к. начинается на 10.1.хх.ххх

Ссылка на комментарий
Поделиться на другие сайты

как же мне будут поступать данные с других адресов?

Если ваш компьютер не входит в офисную или домашнюю локальную сеть, в которой используются "расшаренные" папки и принтеры, этот порт вам не понадобится. В Интернете полно информации о том, что именно порт 445 активно испольуется для заражения компьютера. Заблокируйте его средствами KIS и избавьте себя от проблем.

Изменено пользователем wielder
Ссылка на комментарий
Поделиться на другие сайты

Если ваш компьютер не входит в офисную или домашнюю локальную сеть, в которой используются "расшаренные" папки и принтеры

проблемы с этого адреса как раз и начались с того момента, как была установлена офисная локальная сеть(с папками и принтером). дома стоит одын компютер и такой проблемы нет

а еще у нас локалка по городу (правда без общих папок), и тогда у мя возникает вопрос если я заблокирую 445 никаких проблем не возникнет? и можно подробнее как это сделать?

Изменено пользователем slavbod
Ссылка на комментарий
Поделиться на другие сайты

проблемы с этого адреса как раз и начались с того момента, как была установлена офисная локальная сеть(с папками и принтером)

Значит, у вас по сети ходит вирус, который и атакует ваш компьютер с удалённого адреса. Как видно, офисную сеть установили, а про антивирус забыли)) Ну, ловите теперь этого зловреда, что ещё тут можно сказать...

 

А порт вы всё-таки заблокируйте. Будете не доступны пока для других, ничего страшного.

 

а еще у нас локалка по городу (правда без общих папок), и тогда у мя возникает вопрос если я заблокирую 445 никаких проблем не возникнет? и можно подробнее как это сделать?

Не возникнет, это "другая" локалка.

Как заблокировать? Средствами файрволла, естественно. Если не получается, читаем: http://virusinfo.info/showthread.php?p=87137

Ссылка на комментарий
Поделиться на другие сайты

ну то что у нас по локалке ( городской) ходят вирусы - это и не секрет..как раз из неё и идут все атаки ( 10.1.хх.ххх)

а вот офисная чистая, потому как в ней всего 2 машины, и вторая к НЭТу не подключена и адрес у неё начинается на 169.254.х.х. а у KIS стоит команда при полной проверке проверять и подключенные сетевый диски( а это диски со второй машины C,D)

PS:а файрволы(я так понял речь про отдельную программу) с KIS не конфликтуют?

Изменено пользователем slavbod
Ссылка на комментарий
Поделиться на другие сайты

PS:а файрволы(я так понял речь про отдельную программу) с KIS не конфликтуют?

 

еще как конфликтуют (ведь в KIS как раз и входит свой собственный файрволл):

http://support.kaspersky.ru/kis2009/install?qid=208635993

 

вот что вы тут советуете человеку? что-то "закрыть средствами файрволла".

при том, что KIS про это что-то как раз знает. и пишет как раз о том, что атака предотвращена.

 

теперь человек будет искать этот самый файрволл, и ведь поставит вместе с KIS.

и если этот файрволл достаточно небрежно написан, или KIS у него новой версии, про которую тот файрволл еще не знает - то ведь и поставит.

догадываетесь, что после этого будет?

 

зачем вы его путаете? зачем вы его лишний раз пугаете?

 

(написано то все правильно было - только для более искушенного в компьютерах человека.

я уже вижу, какие вопросы задаются и что за этим у этого человека последует...)

Изменено пользователем hinote
Ссылка на комментарий
Поделиться на другие сайты

а чЁ делать-то?

 

еще раз: что вас беспокоит то?

 

то, что возникали сообщения от KIS о том, что с каких то компьютеров шли атаки и KIS их блокировал? так это хорошо - эти сообщения означают, что эти атаки отражены. если вас и сами сообщения беспокоят, то их тоже можно отключить...

 

или еще что-то другое (не уловил что)?

Ссылка на комментарий
Поделиться на другие сайты

hinote

Разговор идёт о том, что KIS пропускает пакеты. И эти пакеты оказываются каким-то вредоносным кодом. Почему это происходит - из разговора выпало, осталась только моя рекомендация закрыть порт. Естественно, речь шла о KIS, а не о каком-то стороннем файрволле; это понятно по _контексту_.

Ссылка на комментарий
Поделиться на другие сайты

hinote

Разговор идёт о том, что KIS пропускает пакеты. И эти пакеты оказываются каким-то вредоносным кодом. Почему это происходит - из разговора выпало, осталась только моя рекомендация закрыть порт. Естественно, речь шла о KIS, а не о каком-то стороннем файрволле; это понятно по _контексту_.

 

Это тоже ваши додумки, что KIS что-то пропускает, я прочитал сообщения от slavbod и не увидел явно это. Увидел следующее: шел обмен с каким то IP, потом KIS в обмене с этим IP увидел какой то вирус, и еще иногда его, этот IP, KIS блокировал. А как вам такой сценарий: у slavbod расшарена папка, или есть доступ к административным шарам C$, кто-то с этого IP ходил по ним (или даже что-то качал по тому же DC, вот вам и трафик который не блокировался - и это правильно), потом попытался положить завирусованый файл (вот вам и детект вируса), потом - провести сетевую атаку - вот вам и сработка защиты от атак. Нигде пока не сказано, что KIS что-то пропустил. Это все пока ваши додумки.

 

И еще раз спрашиваю, что slavbod беспокоит кроме появлявшихся сообщений о срабатывании защиты от атак?

Изменено пользователем hinote
Ссылка на комментарий
Поделиться на другие сайты

hinote, грамотно излагаешь :) а теперь то что я понял по пунктам

шел не обмен, а принимал только мой( не один раз)

KIS увидел не в обмене, а уже на дисках С:\Documents and Settings\All Users\Документы, и D:\

диск D:\ действительно для общего доступа, но для этого и делали офисную локалку. на диске С:\ общих папок нет (создается одна при создании папки с вирусом)

может кто-то и ходил, но скачивать с себя я ничего не давал и не предлагал. и никаких DC тому подобное на машине не стоит. исходящий трафик наблюдал неделю там только KIS и mail.ru

не беспокоит, очень мешает работать процесс лечения, который я описывал выше( по другому не получается: KIS отказывается его удалять пока я не закрою приложение которое его использует. а откуда я знаю кто его использует? поэтому и приходится перегружать) а сообщения не беспокоят воще

а ещЁ я писал что добавил правило для этого адреса "запретить any netvork actyvyti"( или оно как-то по другому работает?)

 

может можно как-то D: сделать доступным только для одного адреса?

Ссылка на комментарий
Поделиться на другие сайты

еще пара вопросов:

 

--- имеем 2 компа и принтер(ы), один подключен к интернету (А), второй не подключен (Б). У этого который подключен к интернету (А) - 2 сетевых карты?

--- откуда расшарены папки - на А или на Б?

--- где установлен KIS - на обоих, только на А или только на Б?

Изменено пользователем hinote
Ссылка на комментарий
Поделиться на другие сайты

hinote

Одно дело - расшаренные папки, доступные из офисной локальной сети, и совсем другое - входящие соединения на порт 445 из локальной сетки провайдера. Вопрос в том, почему настройки KIS не закрывают этот порт для такого рода соединений.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • foroven
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Mutabor
      Автор Mutabor
      Здравствуйте, моя домашняя сеть подключена к ботсети. Я узнал об этом из Касперского, зайдя в мониторинг умного дома увидел, что к моей домашней сети подключено 250 устройств.
      Ранее хакер взломал мой роутер и почту, поменяв пороли. Я все пароли поменял,
      на сложные, использовав генератор паролей, на почту смог войти по отпечатку пальца через смарфон, а роутер перезагрузил.
      Для того чтобы выйти из этой бот сети я создал в роутере белый список, привезав мак адреса моих устройств, так же создал гостевую сеть и перенаправил в нее устройства которые не поддерживают шифрования WAN 3 personal, это две колонки Алиса и телевизор. Три устройства поддерживающие это шифрование я оставил в основной сети. Это два смартфона и андроид телевизор.
      После этого Касперский показал что я вышел из ботсети, однако на следующее утро я снова увидел, что являюсь её участником.
      Так же на компьютере Касперский пишет, что у меня открыт 22 SSH порт, как его закрыть на моем роутере TP-Link Archer C80 я не знаю, перерыл всё меню. интернет, задавал вопрос ии, ответа так и не нашёл.
      Хотя я заходил на  https://www.yougetsignal.com/tools/open-ports/ чтобы проверить открыт ли этот порт у меня, пишет что порт закрыт.
      Осталась единственная надежда на вас, может вы сможете помочь, пожалуйста помогите выйти из этой ботсети.
×
×
  • Создать...