Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
От этой фигни пострадали около 100-ни компутеров, на всех... 01.12.05 10:08 Число просмотров: 4836
Автор: dron <Ivanov Andrey> Статус: Member
|
> > Как когда-то при сассерах и бластерах, выскакивает
> > сообщение что системное приложение
> > C:\winnt\system32\services.exe было закрыто всвязи с
> этим
> > компутер перегрузится.... nt authority system код 128
> >
> > Патчи от бластера и сассера стоят. Отключение сетевого
> > интерфейса - решает проблему, самого вирусника на
> > компутерах вроде как нет, т.еть получается что енто -
> > удаленная атака. Валятся тока 2000-е, установка всех
> > последних патчей вроде как помогает..... Что ж енто
> такое
> > ?? после сассера вроде как ничего не было слышно о
> > подобных вещах....
>
> да интересная штука первый развижу чтобы слетал сервис
> менеджер
> какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех стоят 2000-е (xp не перегружались, в том числе и без 2-го сервис пака))
Вот конфигурация одного из них:
2000-е русские винды (professional) (билд 5.00.2195) с 4-м сервис паком + заплатки от бластера и сассера
Английские винды также пострадали.
Вот список патчей после которых компы перестали ребутиться:
2004_10_Windows2000-KB840987-x86-ENU.EXE
2005_02_Windows2000-KB842773-x86-ENU.EXE
2005_04_Windows2000-KB890859-x86-ENU.EXE
2005_05_Windows2000-KB894320-x86-ENU.EXE
2005_06_Windows2000-KB890046-x86-ENU.EXE
2005_06_Windows2000-KB893066-v2-x86-ENU.EXE
2005_06_Windows2000-KB896358-x86-ENU.EXE
2005_06_Windows2000-KB896422-x86-ENU.EXE
2005_07_Windows2000-KB885834-x86-ENU.EXE
2005_07_Windows2000-KB901214-x86-ENU.EXE
2005_08_Windows2000-KB893756-X86-ENU.EXE
2005_08_Windows2000-KB896423-X86-ENU.EXE
2005_08_Windows2000-KB899587-X86-ENU.EXE
2005_08_Windows2000-KB899588-x86-ENU.EXE
2005_08_Windows2000-KB899591-X86-ENU.EXE
2005_09_Windows2000-KB891861-v2-x86-ENU-R1.EXE
2005_10_Windows2000-KB899589-x86-ENU.EXE
2005_10_Windows2000-KB900725-x86-ENU.EXE
2005_10_Windows2000-KB901017-x86-ENU.EXE
2005_10_Windows2000-KB902400-x86-ENU.EXE
2005_10_Windows2000-KB905414-x86-ENU.EXE
2005_10_Windows2000-KB905749-x86-ENU.EXE
2005_11_Windows2000-KB896424-x86-ENU.EXE
Сейчас лажу по микрософту, сравниваю уязвимости, которые енти патчи закрывают, с тем что произошло, пока ничего стопроцентно похожего не нашел....
Порт через который происходит атак пока тоже не ясен...
|
|
<hacking>
|
Очередная уязвимость windows??? 30.11.05 15:28
Автор: dron <Ivanov Andrey> Статус: Member
|
Как когда-то при сассерах и бластерах, выскакивает сообщение что системное приложение
C:\winnt\system32\services.exe было закрыто всвязи с этим компутер перегрузится.... nt authority system код 128
Патчи от бластера и сассера стоят. Отключение сетевого интерфейса - решает проблему, самого вирусника на компутерах вроде как нет, т.еть получается что енто - удаленная атака. Валятся тока 2000-е, установка всех последних патчей вроде как помогает..... Что ж енто такое ?? после сассера вроде как ничего не было слышно о подобных вещах....
|
|
да интересная штука первый развижу чтобы слетал сервис... 01.12.05 00:35
Автор: Tamas Статус: Member
|
> Как когда-то при сассерах и бластерах, выскакивает
> сообщение что системное приложение
> C:\winnt\system32\services.exe было закрыто всвязи с этим
> компутер перегрузится.... nt authority system код 128
>
> Патчи от бластера и сассера стоят. Отключение сетевого
> интерфейса - решает проблему, самого вирусника на
> компутерах вроде как нет, т.еть получается что енто -
> удаленная атака. Валятся тока 2000-е, установка всех
> последних патчей вроде как помогает..... Что ж енто такое
> ?? после сассера вроде как ничего не было слышно о
> подобных вещах....
да интересная штука первый развижу чтобы слетал сервис менеджер
какая OS только точьно !!! в мести с билдом и lang ???
|
| |
От этой фигни пострадали около 100-ни компутеров, на всех... 01.12.05 10:08
Автор: dron <Ivanov Andrey> Статус: Member
|
> > Как когда-то при сассерах и бластерах, выскакивает
> > сообщение что системное приложение
> > C:\winnt\system32\services.exe было закрыто всвязи с
> этим
> > компутер перегрузится.... nt authority system код 128
> >
> > Патчи от бластера и сассера стоят. Отключение сетевого
> > интерфейса - решает проблему, самого вирусника на
> > компутерах вроде как нет, т.еть получается что енто -
> > удаленная атака. Валятся тока 2000-е, установка всех
> > последних патчей вроде как помогает..... Что ж енто
> такое
> > ?? после сассера вроде как ничего не было слышно о
> > подобных вещах....
>
> да интересная штука первый развижу чтобы слетал сервис
> менеджер
> какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех стоят 2000-е (xp не перегружались, в том числе и без 2-го сервис пака))
Вот конфигурация одного из них:
2000-е русские винды (professional) (билд 5.00.2195) с 4-м сервис паком + заплатки от бластера и сассера
Английские винды также пострадали.
Вот список патчей после которых компы перестали ребутиться:
2004_10_Windows2000-KB840987-x86-ENU.EXE
2005_02_Windows2000-KB842773-x86-ENU.EXE
2005_04_Windows2000-KB890859-x86-ENU.EXE
2005_05_Windows2000-KB894320-x86-ENU.EXE
2005_06_Windows2000-KB890046-x86-ENU.EXE
2005_06_Windows2000-KB893066-v2-x86-ENU.EXE
2005_06_Windows2000-KB896358-x86-ENU.EXE
2005_06_Windows2000-KB896422-x86-ENU.EXE
2005_07_Windows2000-KB885834-x86-ENU.EXE
2005_07_Windows2000-KB901214-x86-ENU.EXE
2005_08_Windows2000-KB893756-X86-ENU.EXE
2005_08_Windows2000-KB896423-X86-ENU.EXE
2005_08_Windows2000-KB899587-X86-ENU.EXE
2005_08_Windows2000-KB899588-x86-ENU.EXE
2005_08_Windows2000-KB899591-X86-ENU.EXE
2005_09_Windows2000-KB891861-v2-x86-ENU-R1.EXE
2005_10_Windows2000-KB899589-x86-ENU.EXE
2005_10_Windows2000-KB900725-x86-ENU.EXE
2005_10_Windows2000-KB901017-x86-ENU.EXE
2005_10_Windows2000-KB902400-x86-ENU.EXE
2005_10_Windows2000-KB905414-x86-ENU.EXE
2005_10_Windows2000-KB905749-x86-ENU.EXE
2005_11_Windows2000-KB896424-x86-ENU.EXE
Сейчас лажу по микрософту, сравниваю уязвимости, которые енти патчи закрывают, с тем что произошло, пока ничего стопроцентно похожего не нашел....
Порт через который происходит атак пока тоже не ясен...
|
| | |
(1/2) Как то бедненько выглядит список патчей. СУС(ВСУС) установлен? при более 100 рм ИМХО необходимость. 01.12.05 10:25
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | |
Дык указан список патчей котрый решил проблему, теперь вот... 01.12.05 10:44
Автор: dron <Ivanov Andrey> Статус: Member
|
Дык указан список патчей котрый решил проблему, теперь вот пытаюсь понять какой именно из патчей решил проблему, чтоб хотяб примерно въехать что енто за уязвимость, потому как в инете на тему червяка, из-за которого падает services.exe, я чегой-то ничего не нашел -((
СУС - это что??
|
| | | | |
СУС=WSUS 01.12.05 10:55
Автор: DamNet <Denis Amelin> Статус: Elderman
|
> Дык указан список патчей котрый решил проблему, теперь вот
> пытаюсь понять какой именно из патчей решил проблему, чтоб
> хотяб примерно въехать что енто за уязвимость, потому как в
> инете на тему червяка, из-за которого падает services.exe,
> я чегой-то ничего не нашел -((
> СУС - это что??
СУС=WSUS
Windows System Update Service
http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUS.mspx
|
| | | | | |
(офф)"СУС=WSUS" - почти. Первый имхо проще в установке и настройке, но жрет много трафика в начале, второй сложнее и соотв гибче. 01.12.05 11:09
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | | |
ИМХО, СУС через полгода перестанут поддерживать. Для чего ВСУС и был сделан -- для замены 02.12.05 10:26
Автор: kr214 Статус: Незарегистрированный пользователь
|
|
|
| | | | | | | |
Линк на МС с подтверждением? или только ИМХО?:-) Мое имхо - будут потдерживать (хотя бы давать качать обновления) пока "живой" в2к3 сервер. 02.12.05 12:42
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | | |
понял -)) 01.12.05 12:11
Автор: dron <Ivanov Andrey> Статус: Member
|
Ента штуковина давно стоит, вот тока на нее мало кто нацелен был -((. Щас проводим мероприятия по подключению рм к ентому серваку.....
Но вот тока главный вопрос завис в воздухе: что ж енто за червяк такой ???
|
| | | | | | | |
вроде есть нечто похожее 01.12.05 13:02
Автор: dron <Ivanov Andrey> Статус: Member
|
> Ента штуковина давно стоит, вот тока на нее мало кто
> нацелен был -((. Щас проводим мероприятия по подключению рм
> к ентому серваку.....
>
> Но вот тока главный вопрос завис в воздухе: что ж енто за
> червяк такой ???
По ходу была использована данная уязвимость:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
Там как раз говориться что для атаки на xp с 1-м сервис паком надо быть аутентифицированным юзером, а на 2-й сервис пак типа тока локально возможно... Зато 2000-е может завалить кто угодно. Plug and play как раз завязан на services.exe. Тока вот пока не нашел червяка используещего данную уязвимость...
|
| | | | | | | | |
Этож Zotob 01.12.05 15:10
Автор: :-) <:-)> Статус: Elderman
|
W32.Zotob.E
|
| | | | | | | | | |
Угу!!! их там оказывается масса: 01.12.05 16:11
Автор: dron <Ivanov Andrey> Статус: Member
|
Угу!!! их там оказывается масса:
http://www.kaspersky.ru/find?words=plug+and+play&search=1&x=5&y=5
Он по ходу не так сильно известен как сассер и бластер, потому как по ним инфа повсюду, а поэтому пришлось блин покпоться прежде чем понять чтож это было!!
|
| | | | | | |
2dron: не пугайтесь большим обьемом начального трафика СУС (3.5 г на 1/12/05), его можно быстро и просто "прикурить" с уже "прокачанного" СУСа. ВСУС также можно, но у меня не получилось. Да и СУС можно не на сервер ОС ставить (после крака). 01.12.05 11:24
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | | |
и багов больше =( 01.12.05 11:14
Автор: DamNet <Denis Amelin> Статус: Elderman
|
|
|
|
А ОС какая? для 2к поставьте СП4 rollpack (почти все обновления после СП4) 30.11.05 19:45
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
|
Появился червь с теми же глюками как и при сасере. 30.11.05 18:58
Автор: NakeD Статус: Незарегистрированный пользователь
|
Появился червь с теми же глюками как и при сасере.
лечиться сп2 на хп
|
| |
Глюк пожалуй отличается тока тем что критически завершаецца... 30.11.05 20:01
Автор: dron <Ivanov Andrey> Статус: Member
|
> Появился червь с теми же глюками как и при сасере.
> лечиться сп2 на хп
Глюк пожалуй отличается тока тем что критически завершаецца не lsass.exe а services.exe
А где хоть какая-то инфа по ентому червю ???
установка всех последних критических обновлений конечно помогает, но хочется понять с чем имеешь дело...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
