vv631
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решил сегодня просканировать дома свою home-машину. Ось - XP SP3, подключение к Интернету по ADSL-модему, настроенному в режиме роутер, т.е. рабочая станция за маршрутизатором. Прошу прощения за наивность, но полагал, что наличие Kaspersky Internet Security 2008 – а у меня стоит именно он - избавит меня от необходимости вообще думать по поводу «невидимости» моего компа в сети, потому как даже встроенный в XP брандмауэр в режиме, когда в исключениях убраны все галочки, делает комп не видимым. Каково же было моё удивление, когда при сканировании, что называется «на скорую руку», я обнаружил открытыми два порта – 23 и 80! Особенно меня удивил 23-й порт – я сразу после установки новой системы всегда отключаю ненужные службы, в т.ч. и telnet. Проверил службы – отключено. Открытый 80-й порт сразу навёл меня на мысль, что я в роутере забыл отключить веб «морду», т.е. веб-интерфейс доступа. Проверил, так и есть – сразу отключил. Сканирую – порты открыты. Полез в настройки KIS, полазил, остановился на пакетных правилах (здесь у меня всё оставлено было по умолчанию после установки KISа), смотрим что тут у нас есть (из разрешённого):
- «DNS over TCP» и «DNS over UDP». Насколько знаю DNS использует UDP протокол, выходит «over TCP» не нужен – отключил.
- «sending e-mail» - оставил, так как пользую почту с e-mail клиентом,
- «Any incoming UDP stream» – оставил, смутно догадываюсь, что это нужно для работы DNS
- Здесь идёт серия разрешений по поводу ICMP сообщений – Echo Reply, Destination Unreachable, Time Exeeded – всё с пометкой «in» и, наконец, здесь же – Any incoming ICMP. Все ICMP заблокировал.
Результат: инет отвалился Опытным путём - начал поочерёдно отключать-включать все настройки, проверяя инет – выяснил, что все опции, касающиеся ICMP необходимо разрешить, только тогда инет будет работать. В итоге, всё пришлось оставить и так как другие, более или менее «вменяемые» настройки в этом разделе настроек у Каспера отсутствуют, то напрашивается вывод что в данном разделе практически настраивать нечего и «убогость» вариантов настройки говорит о том что всё настроено за нас (не кидайтесь тапками за слово «убогость», а всего лишь юзер).
Тем не менее, проблема не решена – запустив снова сканер, обнаружил что порты по-прежнему «светятся». Плюс к этому – у меня в VirtualBox живёт Ubuntu, на которой я учился поднимать ftp-сервер (ну и прочие интересные вещи ). После загрузки виртуальной машины под NAT, т.е. с доступом в инет, у меня естественно, появился дополнительный открытый порт ftp – 21, хотя у Каспера стоит галка «контролировать все сетевые порты» и команду ему открывать 21-й порт я не давал (какого хрена Каспер открывает порты? Работает по принципу «всё разрешено, если не запрещено»? ппц, «система безопасности»…). Что любопытно – после выключения VirtualBox порт по-прежнему открыт, хотя демон его инициировавший уже не работает (почему он открыт?).
Итак, вопрос первый – как закрыть, наконец, эти порты?!
Вопрос второй – как отключить эти ICMP сообщения, чтобы сделать машину «невидимой», если при отключении их в Касперском инет перестаёт работать?
Но это ещё не всё, меня ждал «приятный» сюрприз Сканирование программой LanSpy показало, что мой комп светиться как рождественская ёлка открытыми UDP портами – аж 13 штук, среди которых 137-й и 138-й (на вкладке WINS переключатель у меня стоит на «Отключить NetBIOS через TCP/IP», если это не влияет на открытие-закрытие этих портов – поправьте меня), 161, 162-й и помимо всего прочего - порт 3127, числящийся за трояном W32.Mydoom. Кульминация.
Справедливости ради, надо сказать что я не являюсь «прилежным» юзверем и частенько качаю всякую «гадость» для своей «википедии», в смысле, базы данных по вопросам пентестинга, но! Если Каспер и ругается, то практически всегда как на Hacktools, и если попадались Трояны, то их я не трогал и не запускал. В связи с вышесказанным ещё несколько вопросов:
1) Не является ли открытый TCP порт 23 (с 80-м я «разобрался» - дошло до меня что с MSF на комп установился SQL сервер, которые и держит этот порт открытым) следствием действия трояна? И соответственно, UDP порты тоже? У него (трояна) как бы свой порт есть, но возможно он открыл эти порты чтобы сделать доступными сервисы машины для проникновения через эти дыры и удалённого управления? На хрена, спрашивается, если троян уже на машине и как грится, «чем надо» уже управляет? Сдаётся мне, эт Каспер со своей «заботой» о безопасности рядового среднестатистического пользователя, отдавшего свои кровные 2300 деревянных рублей – отдавшего и наивно полагающего что проблема безопасности домашнего компьютера решена
2) Не является присутствие этого трояна следствием установки Metasploit Framework 3.2, так сказать «бонусом» от производителя ПО для каких-то прикладных целей юзера, пользующего данное ПО? Вроде установленного Microsoft-SQL-Server (куда ж без него), который сам я не устанавливал и UDP порты которого тоже открыты? Возможно по причине установки MSF открыт и порт 23? Но я убрал в Каспере MSF из доверенных приложений и проблема не решилась.
P.S. Предвижу тапки за боян: мол, чего ты хочешь – поставил себе MSF с кучей всего и ещё жалуешься? А что MSF разве ставиться на комп для чтобы сделать из этого компа «решето»? К тому же, скорее всего причина не в этом. Всё сказанное было в отношении стационарного компа - у меня ещё нетбук, на который MSF я не ставил и на котором идентичная ситуация. Даже UDP порты SQL-сервера (порты 1433 и 1434) присутствуют, хотя ни SQL ни MSF я на нетбук не ставил… выходит, троян их понаоткрывал?
Прошу спецов (с обоих линий «фронта» ) прокомментировать и ответить на мои вопросы.
Ну и чисто риторический вопрос (на этот вопрос прошу сильно не «увлекаться» и не офтопить) – как вы считаете, после всего сказанного, KIS стоит своих денег?
------
Небольшой штрих в общую картину... На сайте семантика взял "w32.mydoom tool remove", запустил сейчас у себя на нетбуке почистить систему - ничего не обнаружено. Вышел в инет с 3g модема и просканировал нетбук - хост недоступен... ничего не открыто, всё нормально. Соответственно, одно из двух. Либо порты "светятся" только на моём роутере и Касперу зачот - т.е. хакнули модем, а система чиста, либо всё дело в торренте от Seba: были у меня подозрения на его счёт - в своё время система после установки торрента вела себя неадекватно, каспер вылетал и тормозило всё, после чего я перестал пользоваться торрентом и забыл про него, а сегодня на нетбуке, просматривая список программ, увидел его и удалил, после чего через некоторое время стал сканировать систему... Вообщем, теперь ясно будет только вечером, когда доберусь до домашнего компа...
Кстати, когда гуглил cdjq вопрос, наткнулся на тему 2007 года на хакзоне, там чел приводит лог сканирования своей машины, я посмотрел его - очень очень похож на мой, плюс минус 2-3 порта, к сожалению его вопрос остался без толкового ответа.
Добавлено:
Цитата: но он стал требовать пароль, который на комп никто никогда не ставил 0_0.
Кто-нибудь из спецов знает как пароль обойти? |
Поточнее - выходит вирус присвоил пароль существующей учётной записи или запаролил жёсткий диск? Если завёл новую учётку или присвоил новый пароль существующей, то найди Live CD с программой ERD Commander, при загрузке выбери её - с её помощью сбросишь все пароли. Если есть под рукой Live CD с Backtrack3 - можешь воспользоваться программой chntpw, мануал можешь посмотреть здесь http://www.youtube.com/watch?v=pKyGktUuXsE . Если просит отправить смс с номером и ввести пароль (наверняка говорилось в этой ветке, сорри за дубль - всю ветку не читал) ищи этот номер (который нужно отправить) на сайте Dr.Web и других антивирусников - по номеру найдёшь и пароль и инструменты для лечения. Если пароль на жёсткий диск - не подскажу, это к спецам |
Всего записей: 8 | Зарегистр. 08-04-2009 | Отправлено: 11:33 05-05-2011 | Исправлено: vv631, 11:59 05-05-2011 |
|
, тоже самое что и было 
: 
