информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Угу!!! их там оказывается масса: 01.12.05 16:11  Число просмотров: 4054
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Угу!!! их там оказывается масса:

http://www.kaspersky.ru/find?words=plug+and+play&search=1&x=5&y=5

Он по ходу не так сильно известен как сассер и бластер, потому как по ним инфа повсюду, а поэтому пришлось блин покпоться прежде чем понять чтож это было!!
<hacking>
Очередная уязвимость windows??? 30.11.05 15:28  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Как когда-то при сассерах и бластерах, выскакивает сообщение что системное приложение
C:\winnt\system32\services.exe было закрыто всвязи с этим компутер перегрузится.... nt authority system код 128

Патчи от бластера и сассера стоят. Отключение сетевого интерфейса - решает проблему, самого вирусника на компутерах вроде как нет, т.еть получается что енто - удаленная атака. Валятся тока 2000-е, установка всех последних патчей вроде как помогает..... Что ж енто такое ?? после сассера вроде как ничего не было слышно о подобных вещах....
да интересная штука первый развижу чтобы слетал сервис... 01.12.05 00:35  
Автор: Tamas Статус: Member
<"чистая" ссылка>
> Как когда-то при сассерах и бластерах, выскакивает
> сообщение что системное приложение
> C:\winnt\system32\services.exe было закрыто всвязи с этим
> компутер перегрузится.... nt authority system код 128
>
> Патчи от бластера и сассера стоят. Отключение сетевого
> интерфейса - решает проблему, самого вирусника на
> компутерах вроде как нет, т.еть получается что енто -
> удаленная атака. Валятся тока 2000-е, установка всех
> последних патчей вроде как помогает..... Что ж енто такое
> ?? после сассера вроде как ничего не было слышно о
> подобных вещах....

да интересная штука первый развижу чтобы слетал сервис менеджер
какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех... 01.12.05 10:08  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> > Как когда-то при сассерах и бластерах, выскакивает
> > сообщение что системное приложение
> > C:\winnt\system32\services.exe было закрыто всвязи с
> этим
> > компутер перегрузится.... nt authority system код 128
> >
> > Патчи от бластера и сассера стоят. Отключение сетевого
> > интерфейса - решает проблему, самого вирусника на
> > компутерах вроде как нет, т.еть получается что енто -
> > удаленная атака. Валятся тока 2000-е, установка всех
> > последних патчей вроде как помогает..... Что ж енто
> такое
> > ?? после сассера вроде как ничего не было слышно о
> > подобных вещах....
>
> да интересная штука первый развижу чтобы слетал сервис
> менеджер
> какая OS только точьно !!! в мести с билдом и lang ???

От этой фигни пострадали около 100-ни компутеров, на всех стоят 2000-е (xp не перегружались, в том числе и без 2-го сервис пака))

Вот конфигурация одного из них:
2000-е русские винды (professional) (билд 5.00.2195) с 4-м сервис паком + заплатки от бластера и сассера

Английские винды также пострадали.

Вот список патчей после которых компы перестали ребутиться:
2004_10_Windows2000-KB840987-x86-ENU.EXE
2005_02_Windows2000-KB842773-x86-ENU.EXE
2005_04_Windows2000-KB890859-x86-ENU.EXE
2005_05_Windows2000-KB894320-x86-ENU.EXE
2005_06_Windows2000-KB890046-x86-ENU.EXE
2005_06_Windows2000-KB893066-v2-x86-ENU.EXE
2005_06_Windows2000-KB896358-x86-ENU.EXE
2005_06_Windows2000-KB896422-x86-ENU.EXE
2005_07_Windows2000-KB885834-x86-ENU.EXE
2005_07_Windows2000-KB901214-x86-ENU.EXE
2005_08_Windows2000-KB893756-X86-ENU.EXE
2005_08_Windows2000-KB896423-X86-ENU.EXE
2005_08_Windows2000-KB899587-X86-ENU.EXE
2005_08_Windows2000-KB899588-x86-ENU.EXE
2005_08_Windows2000-KB899591-X86-ENU.EXE
2005_09_Windows2000-KB891861-v2-x86-ENU-R1.EXE
2005_10_Windows2000-KB899589-x86-ENU.EXE
2005_10_Windows2000-KB900725-x86-ENU.EXE
2005_10_Windows2000-KB901017-x86-ENU.EXE
2005_10_Windows2000-KB902400-x86-ENU.EXE
2005_10_Windows2000-KB905414-x86-ENU.EXE
2005_10_Windows2000-KB905749-x86-ENU.EXE
2005_11_Windows2000-KB896424-x86-ENU.EXE

Сейчас лажу по микрософту, сравниваю уязвимости, которые енти патчи закрывают, с тем что произошло, пока ничего стопроцентно похожего не нашел....

Порт через который происходит атак пока тоже не ясен...
(1/2) Как то бедненько выглядит список патчей. СУС(ВСУС) установлен? при более 100 рм ИМХО необходимость. 01.12.05 10:25  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Дык указан список патчей котрый решил проблему, теперь вот... 01.12.05 10:44  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Дык указан список патчей котрый решил проблему, теперь вот пытаюсь понять какой именно из патчей решил проблему, чтоб хотяб примерно въехать что енто за уязвимость, потому как в инете на тему червяка, из-за которого падает services.exe, я чегой-то ничего не нашел -((
СУС - это что??
СУС=WSUS 01.12.05 10:55  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
> Дык указан список патчей котрый решил проблему, теперь вот
> пытаюсь понять какой именно из патчей решил проблему, чтоб
> хотяб примерно въехать что енто за уязвимость, потому как в
> инете на тему червяка, из-за которого падает services.exe,
> я чегой-то ничего не нашел -((
> СУС - это что??
СУС=WSUS
Windows System Update Service

http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUS.mspx
(офф)"СУС=WSUS" - почти. Первый имхо проще в установке и настройке, но жрет много трафика в начале, второй сложнее и соотв гибче. 01.12.05 11:09  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
ИМХО, СУС через полгода перестанут поддерживать. Для чего ВСУС и был сделан -- для замены 02.12.05 10:26  
Автор: kr214 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Линк на МС с подтверждением? или только ИМХО?:-) Мое имхо - будут потдерживать (хотя бы давать качать обновления) пока "живой" в2к3 сервер. 02.12.05 12:42  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
понял -)) 01.12.05 12:11  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Ента штуковина давно стоит, вот тока на нее мало кто нацелен был -((. Щас проводим мероприятия по подключению рм к ентому серваку.....

Но вот тока главный вопрос завис в воздухе: что ж енто за червяк такой ???
вроде есть нечто похожее 01.12.05 13:02  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> Ента штуковина давно стоит, вот тока на нее мало кто
> нацелен был -((. Щас проводим мероприятия по подключению рм
> к ентому серваку.....
>
> Но вот тока главный вопрос завис в воздухе: что ж енто за
> червяк такой ???
По ходу была использована данная уязвимость:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx

Там как раз говориться что для атаки на xp с 1-м сервис паком надо быть аутентифицированным юзером, а на 2-й сервис пак типа тока локально возможно... Зато 2000-е может завалить кто угодно. Plug and play как раз завязан на services.exe. Тока вот пока не нашел червяка используещего данную уязвимость...
Этож Zotob 01.12.05 15:10  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>


W32.Zotob.E
Угу!!! их там оказывается масса: 01.12.05 16:11  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
Угу!!! их там оказывается масса:

http://www.kaspersky.ru/find?words=plug+and+play&search=1&x=5&y=5

Он по ходу не так сильно известен как сассер и бластер, потому как по ним инфа повсюду, а поэтому пришлось блин покпоться прежде чем понять чтож это было!!
2dron: не пугайтесь большим обьемом начального трафика СУС (3.5 г на 1/12/05), его можно быстро и просто "прикурить" с уже "прокачанного" СУСа. ВСУС также можно, но у меня не получилось. Да и СУС можно не на сервер ОС ставить (после крака). 01.12.05 11:24  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
и багов больше =( 01.12.05 11:14  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
А ОС какая? для 2к поставьте СП4 rollpack (почти все обновления после СП4) 30.11.05 19:45  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Появился червь с теми же глюками как и при сасере. 30.11.05 18:58  
Автор: NakeD Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Появился червь с теми же глюками как и при сасере.
лечиться сп2 на хп
Глюк пожалуй отличается тока тем что критически завершаецца... 30.11.05 20:01  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
> Появился червь с теми же глюками как и при сасере.
> лечиться сп2 на хп

Глюк пожалуй отличается тока тем что критически завершаецца не lsass.exe а services.exe

А где хоть какая-то инфа по ентому червю ???

установка всех последних критических обновлений конечно помогает, но хочется понять с чем имеешь дело...
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach