информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
да интересная штука первый развижу чтобы слетал сервис... 01.12.05 00:35  Число просмотров: 3963
Автор: Tamas Статус: Member
<"чистая" ссылка>
> Как когда-то при сассерах и бластерах, выскакивает
> сообщение что системное приложение
> C:\winnt\system32\services.exe было закрыто всвязи с этим
> компутер перегрузится.... nt authority system код 128
>
> Патчи от бластера и сассера стоят. Отключение сетевого
> интерфейса - решает проблему, самого вирусника на
> компутерах вроде как нет, т.еть получается что енто -
> удаленная атака. Валятся тока 2000-е, установка всех
> последних патчей вроде как помогает..... Что ж енто такое
> ?? после сассера вроде как ничего не было слышно о
> подобных вещах....

да интересная штука первый развижу чтобы слетал сервис менеджер
какая OS только точьно !!! в мести с билдом и lang ???
<hacking>
Очередная уязвимость windows??? 30.11.05 15:28  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Как когда-то при сассерах и бластерах, выскакивает сообщение что системное приложение
C:\winnt\system32\services.exe было закрыто всвязи с этим компутер перегрузится.... nt authority system код 128

Патчи от бластера и сассера стоят. Отключение сетевого интерфейса - решает проблему, самого вирусника на компутерах вроде как нет, т.еть получается что енто - удаленная атака. Валятся тока 2000-е, установка всех последних патчей вроде как помогает..... Что ж енто такое ?? после сассера вроде как ничего не было слышно о подобных вещах....
да интересная штука первый развижу чтобы слетал сервис... 01.12.05 00:35  
Автор: Tamas Статус: Member
<"чистая" ссылка>
> Как когда-то при сассерах и бластерах, выскакивает
> сообщение что системное приложение
> C:\winnt\system32\services.exe было закрыто всвязи с этим
> компутер перегрузится.... nt authority system код 128
>
> Патчи от бластера и сассера стоят. Отключение сетевого
> интерфейса - решает проблему, самого вирусника на
> компутерах вроде как нет, т.еть получается что енто -
> удаленная атака. Валятся тока 2000-е, установка всех
> последних патчей вроде как помогает..... Что ж енто такое
> ?? после сассера вроде как ничего не было слышно о
> подобных вещах....

да интересная штука первый развижу чтобы слетал сервис менеджер
какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех... 01.12.05 10:08  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> > Как когда-то при сассерах и бластерах, выскакивает
> > сообщение что системное приложение
> > C:\winnt\system32\services.exe было закрыто всвязи с
> этим
> > компутер перегрузится.... nt authority system код 128
> >
> > Патчи от бластера и сассера стоят. Отключение сетевого
> > интерфейса - решает проблему, самого вирусника на
> > компутерах вроде как нет, т.еть получается что енто -
> > удаленная атака. Валятся тока 2000-е, установка всех
> > последних патчей вроде как помогает..... Что ж енто
> такое
> > ?? после сассера вроде как ничего не было слышно о
> > подобных вещах....
>
> да интересная штука первый развижу чтобы слетал сервис
> менеджер
> какая OS только точьно !!! в мести с билдом и lang ???

От этой фигни пострадали около 100-ни компутеров, на всех стоят 2000-е (xp не перегружались, в том числе и без 2-го сервис пака))

Вот конфигурация одного из них:
2000-е русские винды (professional) (билд 5.00.2195) с 4-м сервис паком + заплатки от бластера и сассера

Английские винды также пострадали.

Вот список патчей после которых компы перестали ребутиться:
2004_10_Windows2000-KB840987-x86-ENU.EXE
2005_02_Windows2000-KB842773-x86-ENU.EXE
2005_04_Windows2000-KB890859-x86-ENU.EXE
2005_05_Windows2000-KB894320-x86-ENU.EXE
2005_06_Windows2000-KB890046-x86-ENU.EXE
2005_06_Windows2000-KB893066-v2-x86-ENU.EXE
2005_06_Windows2000-KB896358-x86-ENU.EXE
2005_06_Windows2000-KB896422-x86-ENU.EXE
2005_07_Windows2000-KB885834-x86-ENU.EXE
2005_07_Windows2000-KB901214-x86-ENU.EXE
2005_08_Windows2000-KB893756-X86-ENU.EXE
2005_08_Windows2000-KB896423-X86-ENU.EXE
2005_08_Windows2000-KB899587-X86-ENU.EXE
2005_08_Windows2000-KB899588-x86-ENU.EXE
2005_08_Windows2000-KB899591-X86-ENU.EXE
2005_09_Windows2000-KB891861-v2-x86-ENU-R1.EXE
2005_10_Windows2000-KB899589-x86-ENU.EXE
2005_10_Windows2000-KB900725-x86-ENU.EXE
2005_10_Windows2000-KB901017-x86-ENU.EXE
2005_10_Windows2000-KB902400-x86-ENU.EXE
2005_10_Windows2000-KB905414-x86-ENU.EXE
2005_10_Windows2000-KB905749-x86-ENU.EXE
2005_11_Windows2000-KB896424-x86-ENU.EXE

Сейчас лажу по микрософту, сравниваю уязвимости, которые енти патчи закрывают, с тем что произошло, пока ничего стопроцентно похожего не нашел....

Порт через который происходит атак пока тоже не ясен...
(1/2) Как то бедненько выглядит список патчей. СУС(ВСУС) установлен? при более 100 рм ИМХО необходимость. 01.12.05 10:25  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Дык указан список патчей котрый решил проблему, теперь вот... 01.12.05 10:44  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Дык указан список патчей котрый решил проблему, теперь вот пытаюсь понять какой именно из патчей решил проблему, чтоб хотяб примерно въехать что енто за уязвимость, потому как в инете на тему червяка, из-за которого падает services.exe, я чегой-то ничего не нашел -((
СУС - это что??
СУС=WSUS 01.12.05 10:55  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> Дык указан список патчей котрый решил проблему, теперь вот
> пытаюсь понять какой именно из патчей решил проблему, чтоб
> хотяб примерно въехать что енто за уязвимость, потому как в
> инете на тему червяка, из-за которого падает services.exe,
> я чегой-то ничего не нашел -((
> СУС - это что??
СУС=WSUS
Windows System Update Service

http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUS.mspx
(офф)"СУС=WSUS" - почти. Первый имхо проще в установке и настройке, но жрет много трафика в начале, второй сложнее и соотв гибче. 01.12.05 11:09  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
ИМХО, СУС через полгода перестанут поддерживать. Для чего ВСУС и был сделан -- для замены 02.12.05 10:26  
Автор: kr214 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Линк на МС с подтверждением? или только ИМХО?:-) Мое имхо - будут потдерживать (хотя бы давать качать обновления) пока "живой" в2к3 сервер. 02.12.05 12:42  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
понял -)) 01.12.05 12:11  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Ента штуковина давно стоит, вот тока на нее мало кто нацелен был -((. Щас проводим мероприятия по подключению рм к ентому серваку.....

Но вот тока главный вопрос завис в воздухе: что ж енто за червяк такой ???
вроде есть нечто похожее 01.12.05 13:02  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> Ента штуковина давно стоит, вот тока на нее мало кто
> нацелен был -((. Щас проводим мероприятия по подключению рм
> к ентому серваку.....
>
> Но вот тока главный вопрос завис в воздухе: что ж енто за
> червяк такой ???
По ходу была использована данная уязвимость:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx

Там как раз говориться что для атаки на xp с 1-м сервис паком надо быть аутентифицированным юзером, а на 2-й сервис пак типа тока локально возможно... Зато 2000-е может завалить кто угодно. Plug and play как раз завязан на services.exe. Тока вот пока не нашел червяка используещего данную уязвимость...
Этож Zotob 01.12.05 15:10  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>


W32.Zotob.E
Угу!!! их там оказывается масса: 01.12.05 16:11  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Угу!!! их там оказывается масса:

http://www.kaspersky.ru/find?words=plug+and+play&search=1&x=5&y=5

Он по ходу не так сильно известен как сассер и бластер, потому как по ним инфа повсюду, а поэтому пришлось блин покпоться прежде чем понять чтож это было!!
2dron: не пугайтесь большим обьемом начального трафика СУС (3.5 г на 1/12/05), его можно быстро и просто "прикурить" с уже "прокачанного" СУСа. ВСУС также можно, но у меня не получилось. Да и СУС можно не на сервер ОС ставить (после крака). 01.12.05 11:24  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
и багов больше =( 01.12.05 11:14  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
А ОС какая? для 2к поставьте СП4 rollpack (почти все обновления после СП4) 30.11.05 19:45  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Появился червь с теми же глюками как и при сасере. 30.11.05 18:58  
Автор: NakeD Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Появился червь с теми же глюками как и при сасере.
лечиться сп2 на хп
Глюк пожалуй отличается тока тем что критически завершаецца... 30.11.05 20:01  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> Появился червь с теми же глюками как и при сасере.
> лечиться сп2 на хп

Глюк пожалуй отличается тока тем что критически завершаецца не lsass.exe а services.exe

А где хоть какая-то инфа по ентому червю ???

установка всех последних критических обновлений конечно помогает, но хочется понять с чем имеешь дело...
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach