Author |
Message |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 22.05.2005 - 15:41 #19725
|
|
Basic
Joined: Máj 22, 2005
Posts: 477
Location: Michalovce
|
|
iptables -I FORWARD -p tcp --dport 135:139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP
a
iptables -I FORWARD -m p2p --p2p all -j DROP
su zarucene dobre pravidla pre iptables ![Smile](modules/PNphpBB2/images/smiles/icon_smile.gif) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 22.05.2005 - 16:02 #19730
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
alwarez: no tak tymto ale posles doprec aj moznost pouzivat vzdialene sambaservery, co velmi vhodne nie je... |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: syn flood na nahodne ip-cky na porte 135
Posted: 22.05.2005 - 17:06 #19737
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
vzdialene sambaservery ? to niekto na inete prevadzkuje verejne samba servery ? to som nevedel so ziadnym som sa totiz zatial nestretol. Co sa tyka lokalnych v intranete staci to pravidlo malinko rozsrit a to tak ze sa nevztahuje na intranetove IPcky:
Code: › $IPTABLES -A FORWARD -p tcp -d ! 192.168.0.0/16 --dport 135:139 -j DROP
$IPTABLES -A FORWARD -p tcp -d ! 192.168.0.0/16 --dport 445 -j DROP
ja pre istotu blokujem aj UDPcko na tychto portoch, par cervickov uz floodovalo aj takto ...
Code: › $IPTABLES -A FORWARD -p udp -d ! 192.168.0.0/16 --dport 135:139 -j DROP
$IPTABLES -A FORWARD -p udp -d ! 192.168.0.0/16 --dport 445 -j DROP |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 22.05.2005 - 17:12 #19738
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
eXplorer: v tvare v ktorom to bolo napisane vyssie to zablokovalo sambaservery aj v ramci siete, ak neboli priamo na danej LANke (hadam to je pochopitelne) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: syn flood na nahodne ip-cky na porte 135
Posted: 22.05.2005 - 17:26 #19740
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
jasne, vsak preto som doplnil to rozsirenie ale z tvojej odpovede mi nebolo jasne ci tymi vzdialenymi samba servermi nemyslis inetove samba servery ... |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 24.05.2005 - 09:43 #19781
|
|
Ucen
Joined: Nov 04, 2003
Posts: 544
|
|
ondro: ja neviem co riesis.... presne toto som mal u seba na sieti... posielalo to vyse 1000paketov za sekundu,co odpisalo wifi..
podla ip presne vidis kto ten virus ma,tak mu zavolaj,ze nech si laskavo vypne kabel z pocitaca,kym si nevyriesi problem s wirusom... pripadne k nemu nabehni sam.... |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: syn flood na nahodne ip-cky na porte 135
Posted: 24.05.2005 - 14:29 #19797
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 24.05.2005 - 14:44 #19798
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
rbota som uz odstranoval parkrat. zeby spoofoval som si nevsimol ale ze sa dokaze reinkarnovat zahadne to mozem potvrdit. dalsou zaujimavostou ze nod ho sice zachyti ale az ked je neskoro (cize nie pri nakaze ale az ked sa prejavi napr floodovanim).
posledny mesiac su popularne rozne rootkity ktore su niekedy akoby neodstranitelne. vycistite komp nod najde 50 virov date zmazat spravite novu kontrolu a je ich tam 20. zmazete spravite novu kontrolu a este su tam 3 (inak stale tie iste zachytene pri prvom skene a zmazane). az na 4x hlasil nod cisty disk. pocitac potom poslucha asi tyzden a o tyzden tam klusam znovu. znefunkcnene registre, odpileny nod, task manazer a vsetky systemove programy ktore by ho mohli zneskodnit.
ak by sa preukazalo ze rbot dokaze aj spooofovat ip a mac tak by ma slahlo (ale osobne tomu neverim) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: syn flood na nahodne ip-cky na porte 135
Posted: 24.05.2005 - 14:56 #19799
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
RBOT to vazne dokaze ale nespravi to hned, najprv flooduje segment lokalneho intranetu teda 192.168.0.0/16 alebo 10.0.0.0/8 (co je odost horsie:D ) a potom sa pusti do inetu ... nahodne si vybera rozsahy ... ked ho nechas bezat este dlhsie zacne vyvadzat take veci ako je spoofing
Co sa tyka NODu tak uz je to myslim v pohode, problem v case ked sme mali RBOT u nas bol ten ze ten vir je asi polymorfny a navyse existuje pomerne vela variant (to je pochopitelne ked autor zverejnil zdrojak aj s navodom na upravy ). NOD nechytal mutacie a tiez rozne variant, v ESETe zacali pridavat niekolko 10tok RBOTov denne po par dnoch bol klud ...
Tie problemy co mas s virusmi skus riesit tak ze si das najnovsi NOD (ako soft nielen virove bazy) lebo obsahuje analyzator trafficu a uz tusim aj firewall. A potom skus to swinstvo odstranovat tak ze nabootujes do safe modu, tam sa totiz nespusta nic - cize ani virusy nie Problemy ktore popisujes sposobuju trojany a cervy ktore su "viac zlozkove", teda napriklad ma 3 casti, jednu zmazes a tie ostatne ju automaticky doplnia zo zalohy ![Laughing](modules/PNphpBB2/images/smiles/icon_lol.gif) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 24.05.2005 - 22:55 #19810
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
ja ostranujem viry prfesionalne...t.z. ze sa tym zivim;o). samozrejme ze nod bol najnovsi (2.5) plus nove databazy a ze ked zlyha vsetko musim do nudzoveho rezimu. vacsinou si vsak pomaham externymi programami ktore dokazu napr killovat beziace procesy prip ich stromy potom idem na registre restart a az potom pustam antivir (problem je ze niektore viry sa skusaju usadit ram tam tento postup nepomaha).
ale posledne varianty virusov ma naozaj matu hlavne to ako sa dostavaju do kompov ktore si zafirewalovane a maju antiviry. skoro by som povedal ze zneuzivaju nejaky noy bug v systemy ako sasser a blaster.
co sa tyka trojanov mam s nimi viac prace ako s virusmi nakolko sa lubia zahooknut napr na ie a to sa vregistroch cistit rucne ani neda (zaberie to moc casu a aj tak na nieco zabudnete).
na viry by som vsak zalozil asi novy thread nakolko ma rootkity doteraz obchadzali ale mozu byt buducnosti problemy s nimi. pokial totozto antivivr nezachyti rootkit v kerneli nie je sanca ho rucne odtial dostat. okrem toho nakazeny kernel nahradit xp novym...to sa snad ani neda;o) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 25.05.2005 - 14:31 #19842
|
|
Basic
Joined: Jan 21, 2004
Posts: 425
Location: Rimavska Sobota
|
|
fleq: riesil som uz podobne veci, a zatial sa mi celkom osvedcil postup format , instal XP, SP2, nod a az tak na siet a windows update, ak uz som mal PC nakazene bez SP2 nestacilo uz iba nahrat SP2 nemalo to ziadny efekt. takze pekne postavit PC nanovo a odvtedy mam pokoj "relativny" ![Smile](modules/PNphpBB2/images/smiles/icon_smile.gif) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 25.05.2005 - 18:55 #19850
|
|
Majster
Joined: Feb 05, 2003
Posts: 2686
Location: Topolcany
|
|
krtko ked riesis komp na ktorom bezi firma je to trosku ine ako ked riesis svoj komp kde je nahratych max tak par hier. formatovat som musel zatial len raz a doteraz to povazujem za svoju osobnu prehru (formatovat vie kazdy;o)).
co sa tyka sp2 ja klientov od neho odhovaram;o)) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 25.05.2005 - 19:17 #19856
|
|
Basic
Joined: Jan 21, 2004
Posts: 425
Location: Rimavska Sobota
|
|
no tak bez SP2 ti je sicko ostatne ... platne, a format je velmi rychla zalezitost aj vo firmach, predsa backup nie je ziadny problem. ide o to ze ked som dal PC bez SP2 na siet, tak nemal sancu, a presvetcit userof o nejakych firewalloch a pod ... |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: RE: syn flood na nahodne ip-cky na porte 135
Posted: 25.05.2005 - 19:55 #19860
|
|
Majster
Joined: Jan 12, 2003
Posts: 4250
Location: /dev/null
|
|
hmm no co sa pliagy sirenej po nete tyka, tak dnes su na to najlepsie odolne stare wokna (9x, pripadne 3.11 & spol, tam tie cervy uz vobec nemaju sancu ) |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|
Post subject: syn flood na nahodne ip-cky na porte 135
Posted: 25.05.2005 - 21:35 #19865
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
SI: hlboko sa mylis tie cervy akurat nemaju sancu sa tam dostat sami napadnutim stroja cez siet, no pokial si ho userko doslova "nainstaluje" tak zaviri aj Win 3.11 a bude bude floodovat ako divy. Navyse pokial pouziva IE tak tu je moznost aj "samoinstalacie" v pripade ze userko navstivi ten spravny web sajt, divil by si sa kolko existuje web sajtov ktore ti pri ich navsteve do systemu supnu napriklad taky RBOT No a ako poznam beznych userkov loziacich v 95% iba po porno a warez weboch takato samo-instalacia cervikov tu je na dennom poriadku a ak sa ho browser aj daco spyta ohladom stahnutia/instalacie vacsinou to "odEntruje" ... |
|
|
|
|
![](./modules/PNphpBB2/templates/PNTheme/images/spacer.gif) |
|