Атака с сети

[Roman Merkushin]

1) Отключение скрытых "шар" (ADMIN$, C$ и т.д.):

 

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

 

DWORD AutoShareWks 0

 

+ поместить в автозагрузку bat или cmd файл со строкой

 

net share ipc$ /delete

 

 

2) Запрет вывода списка "шар" и юзеров на вашей машине анонимным пользователям:

 

HKLM\System\CurrentControlSet\Control\Lsa

 

DWORD RestrictAnonymous 1

 

 

3) Полное отрубание netbios и SMB в форточках (самый радикальный способ избавиться от "ахиллесовой пяты" форточек):

 

по пунктам:

 

а) services.msc - службы "рабочая станция", "сервер", "модуль поддержки NetBIOS через TCP/IP", "обозреватель компьютеров" переводим в "отключено"

б) сетевые подключения" - любое - общие - удалить "службу общего доступа к файлам и папкам..." и "клиента для сетей ms", от перезагрузки пока отказаться

в) "сетевые подключения" - нужное - tcp/ip - свойства - дополнительно - WINS - убрать крыжик с "включить просмотр lmhosts" и поставить - "отключить netbios через tcp/ip"

г) devmgmt.msc - вид - показать скрытые устройства; далее - драйверы устройств не plug and play - netbios через tcp/ip - свойства - драйвер - выбрать "отключено".

д) перезагрузка

е) после перезагрузки можно удалить из системы нетбиосовский драйвер

ж) наслаждаемся результатом

[JIABP]

выдал что атакующий компьютер не был заблокирован

KIS пишет что НЕ БЫЛ заблокирован? Точно?

[slavbod]

еще пара вопросов:

 

--- имеем 2 компа и принтер(ы), один подключен к интернету (А), второй не подключен (Б). У этого который подключен к интернету (А) - 2 сетевых карты?

--- откуда расшарены папки - на А или на Б?

--- где установлен KIS - на обоих, только на А или только на Б?

1.имеем 2 компа и принтер. компА подключен к тернету, компБ не подключен.у компА 2 сетевых карты.

2. папки с общим доступом: на компА диск D, на компБ диски С и D( они же подключены между собой как сетевые диски. может это лишне?)

3.KIS установлен на компА

(ещё про это я писал сдесь)

зараза (не постояноо ,но пару раз в неделю точно) лезет на компА. причем вирус один и тот же (только с разными именами папок)

а с какого перепуга KIS должен закрывать доступ к папкам из сети провайдера, если человек так захотел сделать?

я не хотел, так получилось а можно сделать, шоб они были доступны только из офисной?

Изменено 16 июня, 2009 пользователем slavbod

[Roman Merkushin]

на компБ диски С и D( они же подключены между собой как сетевые диски. может это лишне?)

Честно говоря, не понял. Имеется 2 расшаренных ресурса на компьютере Б: C и D, верно? Что значит "подключены между собой"?

 

Еще выполни вот эти рекоммендации:

 

1) Отключение скрытых "шар" (ADMIN$, C$ и т.д.):

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

DWORD AutoShareWks 0

+ поместить в автозагрузку bat или cmd файл со строкой

[b]net share ipc$ /delete[/b]

2) Запрет вывода списка "шар" и юзеров на вашей машине анонимным пользователям:

HKLM\System\CurrentControlSet\Control\Lsa

DWORD RestrictAnonymous 1

 

Это нисколько не нарушит работу SMB на твоих компьютерах, а "твики" полезные.

 

а можно сделать, шоб они были доступны только из офисной?

конечно, можно

 

в настройках KISа можешь с легкостью это сделать

[slavbod]

Честно говоря, не понял. Имеется 2 расшаренных ресурса на компьютере Б: C и D, верно? Что значит "подключены между собой"?

 

 

конечно, можно

в настройках KISа можешь с легкостью это сделать

кроме того что на них стоит общий доступ, я сделал на компА " подключить сетевые диски" и подключил с компБ оба диска(зачем не спрашивайте сам не знаю)

а про настройки KISa можно ссылочку, где прочесть как сделать?

+ поместить в автозагрузку bat или cmd файл со строкой

и это мне как

ток пожалуста не надо меня посылать на компутерные курсы за глупые вопросы :)

Изменено 16 июня, 2009 пользователем slavbod

[wielder]

slavbod

Вам нужно добавить офисную сеть в Доверенные сети, а к правилам Публичной сети (Интернет) добавить ещё одно, запрещающее входящие соединения на порт 445.

[Roman Merkushin]

и это мне как

 

скачай архив из вложения

распакуй его

файлы с расширением *reg (auto-share-wks.reg и restrrict-anonymous.reg) просто запусти на выполнение. Ответь согласием на запрос форточек о внесении изменений в реестр.

файл с расширением *cmd помести в автозагрузку (обычно C:/Documents and Settings/твое-имя-пользователя/главное меню/программы/автозагрузка).

перезагрузись

 

 

ток пожалуста не надо меня посылать на компутерные курсы за глупые вопросы

уговорил ))

nohiddenshares.rar

Изменено 16 июня, 2009 пользователем Roman Merkushin

[slavbod]

спасибо. всЁ сделал. подождём результат...

[slavbod]

не стал создавать новую тему, но думаю никто не обидется..

проблемы нет, но есть вопрос. при атаке KIS блокирует атакующий комп на ххх количество часов. этот период я установил на 9999мин(максимум). путём сложнейших математических вычислений я выяснил, что это более шести суток. но атаки повторяются с гораздо меньшей периодичностью(1-2 дня). отсюда вопрос :этот счетчик обнуляется при выключении машины?или я чего-то не понимаю

[Roman_Five]

с подобными атаками лучше бороться не через следствия, а через их причины.

как правило, атака проходит, когда ось имеет уязвимости из-за неустановленных заплаток. вот три из них, без которых комп с виндой (минимум SP3!, 2 и 1 эспаки даже не обсуждаются ) лучше не подключать к сети:

 

1. Заплатка - обновление MS08-067 для Microsoft Windows

(http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)

 

Защищает от различных модификаций вредоносной программы Kido

(Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и др.),

которая способна противодействовать работе антивирусных программ, запущенных на

зараженном компьютере. Kido использует критическую уязвимость операционной системы для распространения через

локальные сети и съёмные носители информации.

 

 

2. Заплатка - обновление MS08-068 для Microsoft Windows

(http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx)

 

This security update resolves a publicly disclosed vulnerability in Microsoft Server Message Block (SMB) Protocol.

The vulnerability could allow remote code execution on affected systems. An attacker who successfully exploited

this vulnerability could install programs; view, change, or delete data; or create new accounts with full user rights.

Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who

operate with administrative user rights.

 

 

3. Заплатка - обновление MS09-001 для Microsoft Windows

(http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)

 

This security update resolves two privately reported vulnerabilities and one publicly disclosed vulnerability

in Microsoft Server Message Block (SMB) Protocol. The vulnerabilities could allow remote code execution on affected

systems. An attacker who successfully exploited these vulnerabilities could install programs; view, change, or

delete data; or create new accounts with full user rights. Firewall best practices and standard default firewall

configurations can help protect networks from attacks that originate outside the enterprise perimeter.

Best practices recommend that systems that are connected to the Internet have a minimal number of ports exposed.