 Czy to oznacza skuteczną próbe włamania? |
  |
| Czy to oznacza skuteczną próbe włamania? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 2 064 Pomógł: 1 Dołączył: 22.01.2003 Skąd: Poznań Ostrzeżenie: (0%) 
 |
Cytat [Sun Dec 07 22:48:46 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/root.exe
[Sun Dec 07 22:48:48 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/msadc/root.exe [Sun Dec 07 22:48:50 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/c/winnt/system32/cmd.exe [Sun Dec 07 22:48:52 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/d/winnt/system32/cmd.exe [Sun Dec 07 22:48:54 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/..%5c/winnt/system32/cmd.exe [Sun Dec 07 22:48:56 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe [Sun Dec 07 22:48:58 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe [Sun Dec 07 22:49:00 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/msadc/..%5c/..%5c/..%5c/..Á /..Á /..Á /winnt/system32/cmd.exe [Sun Dec 07 22:49:01 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/..Á /winnt/system32/cmd.exe [Sun Dec 07 22:49:05 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/..ŔŻ/winnt/system32/cmd.exe [Sun Dec 07 22:49:07 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/..Áś/winnt/system32/cmd.exe [Sun Dec 07 22:49:13 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/..%5c/winnt/system32/cmd.exe [Sun Dec 07 22:49:14 2003] [error] [client 80.197.232.154] File does not exist: c:/foxserv/www/scripts/..%2f/winnt/system32/cmd.exe Takie coś dzisiaj znalazłem w logach - czy to oznacza skuteczną próbe włamania? Wydaje mi sie że nie.. ale nie wiadomo. O ile "włąmanie" nie jest tu za mocnym słowem... |
 |
 
|
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 18 Pomógł: 0 Dołączył: 9.04.2003 Skąd: Warszawa Ostrzeżenie: (0%)
|
|
|
|
|
|
Post
#3
|
|
|
Administrator serwera Grupa: Przyjaciele php.pl Postów: 909 Pomógł: 0 Dołączył: 12.08.2003 Skąd: /var/www/wroclaw.php Ostrzeżenie: (0%)
|
Przy okazji tematu ataków:
Czy istnieje jakiś sposób na sprawdzenie, czy firewall i antywirus jakie mam są skuteczne? Wiem, że symantec ma takie testy na swoich stronach, ale korzystam z ich oprogramowania, i wydaje mi się, że wyniki testów są przekłamane... Polecicie coś? |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 127 Pomógł: 0 Dołączył: 19.11.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat Przy okazji tematu ataków:
Czy istnieje jakiś sposób na sprawdzenie, czy firewall i antywirus jakie mam są skuteczne? Wiem, że symantec ma takie testy na swoich stronach, ale korzystam z ich oprogramowania, i wydaje mi się, że wyniki testów są przekłamane... Polecicie coś? Nigdy nie będziesz w 100% pewien że jesteś bezpieczny. Zawsze może znaleźć się ktoś kto ominie aktualne zabezpieczenia i żaden firewall i antywirus nie pomogą. Oczywiście jest to sytuacja extremalna (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Nie rozumiem jak chcesz sprawdzać skuteczność antyvira - wydaje mi się że jeśli wirus jest w bazie to powinien go wykryć i tyle - wystarczy aktualizować bazę. Aby się dobrze zabezpieczyć proponuję postawić bramę na linuxie, wyłączyć na niej wszystkie usługi sieciowe od strony WAN, po stronie LAN zostawić tylko proxy www, wyłączyć forwarding a zamiast niego zostawić redirecty tylko do wymaganych usług (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Do tego jeszcze można logować wszystkie pakiety przychodzące z WAN-u a potem je oglądać - metoda paraniodalna. |
|
|
|
|
Post
#5
|
|
|
Administrator serwera Grupa: Przyjaciele php.pl Postów: 909 Pomógł: 0 Dołączył: 12.08.2003 Skąd: /var/www/wroclaw.php Ostrzeżenie: (0%)
|
faktycznie...
Aczkolwiek, czy istnieje jakaś alternatywa dla testów symanteca? Chcę wiedzieć, czy chociarz przed początkującymi się obronie... |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 127 Pomógł: 0 Dołączył: 19.11.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat Aczkolwiek, czy istnieje jakaś alternatywa dla testów symanteca?
Daj URL-a do tych testów bo za bardzo nie wiem co chcesz testować (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) A od siebie polecam poszukanie możę jakichś testów/porównań na securityfocus.com (aczkolwiek ich Symantec też kupił (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) ) |
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 401 Pomógł: 0 Dołączył: 18.04.2003 Skąd: Trójmiasto Ostrzeżenie: (0%)
|
spen, dla mnie to wyglada jakby cie ktos nmapem macal pod katem uslug... hmm chociaz nie.. no za duzo konkretnych wywolan cmd ale szkoda ze tam nie widaz z jakim parametrem te wywolania... bynajmniej jak dla mnie jesli mialby byc to jakis atak to niestety sie nie powiodl..... a raczej cale szczescie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
|
|
|
|
|
Post
#8
|
|
|
Administrator serwera Grupa: Przyjaciele php.pl Postów: 909 Pomógł: 0 Dołączył: 12.08.2003 Skąd: /var/www/wroclaw.php Ostrzeżenie: (0%)
|
http://security.symantec.com/sscv6/home.as...CVGZBZTVOGXFSTZ
Chodzi o skanowanie komputera na jego podatność względem ataków... |
|
|
|
|
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 127 Pomógł: 0 Dołączył: 19.11.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat http://security.symantec.com/sscv6/home.as...CVGZBZTVOGXFSTZ
Chodzi o skanowanie komputera na jego podatność względem ataków... Obejrzalem - taki prosty, mily dla oka nmap (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Jeśli chcesz poskanować trochę bardziej dokładnie poczytaj o narzedziach typu Saint, jesli zas chodzi o antyvira, to jest zwykły skaner online, taki jak ma np. tez MKS - nic nadzwyczajnego, a daje afekt marketingowy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) |
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 2 064 Pomógł: 1 Dołączył: 22.01.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Hmm... przejrzałem sobie logi i widze że takich prób było więcej i o dokładnie takiej samej postaci - więc to może być jednak wirus - na szczęście nie ma IIS tylko Apache (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
|
|
|
|
|
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 127 Pomógł: 0 Dołączył: 19.11.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat Hmm... przejrzałem sobie logi i widze że takich prób było więcej i o dokładnie takiej samej postaci - więc to może być jednak wirus - na szczęście nie ma IIS tylko Apache (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Zapomniałe dodać że to w 100% wirus na IIS (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . BTW, kiedyś z ciekawości logowałem ruchu z internetu wywołamy przez MS Blasta.... zrezgnowałem po chwili bo logi rosły w zastraszającym tempie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Nie warto się czymś taki zupełnie przejmować. Najlepiej serwery developerskie w ogole nie wystawiać do netu - chyba ze trzeba. |
|
|
|
|
Post
#12
|
|
|
Administrator serwera Grupa: Przyjaciele php.pl Postów: 909 Pomógł: 0 Dołączył: 12.08.2003 Skąd: /var/www/wroclaw.php Ostrzeżenie: (0%)
|
Z ciekawości zacząłem przeglądać logi NIS'a, który strzee mojego "serwerka"...
90% logów, to próby dostępu przez port 135... A podobno misrosoft wydał poprawkę... (IMG:http://forum.php.pl/style_emoticons/default/sad.gif) Czy ludzie nie pojmują zagroeń jakie czychają na nich w sieci? |
|
|
|
|
Post
#13
|
|
|
Grupa: Zarejestrowani Postów: 127 Pomógł: 0 Dołączył: 19.11.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat 90% logów, to próby dostępu przez port 135... A podobno misrosoft wydał poprawkę... (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)
Kiedyś zapuściłem jeszcze logowanie KAŻDEGO pakietu który idzie w stronę domen związanych z MS (skrypt mi wybrał z whois-a). Aplikacje MS czasem starają się łączyć z serwerami, np. media player (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) , kiedyś sprawdzę co się dzieje przy instalacji winXP juz teraz wiem że łączą się do serwerów czasu MS, niby drobiazg a ile statystycznych informacji można z tego wyciągnąć 8) Wielki Brat patrzy. |
|
|
|
|
Post
#14
|
|
|
Grupa: Zarejestrowani Postów: 80 Pomógł: 0 Dołączył: 1.11.2003 Skąd: Long Island, NY USA Ostrzeżenie: (0%)
|
najlepszym sposobem na zabezpieczenie jest dobra firewall i wszystkie update zainstalowane na czas
na windows xp sadze ze ZoneAlarm Pro 4.5 jest najlepszym wyjsciem z software. Ktoś zna coś innego i lepszego? |
|
|
|
|
Post
#15
|
|
|
Grupa: Zarejestrowani Postów: 127 Pomógł: 0 Dołączył: 19.11.2003 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat najlepszym sposobem na zabezpieczenie jest dobra firewall i wszystkie update zainstalowane na czas
na windows xp sadze ze ZoneAlarm Pro 4.5 jest najlepszym wyjsciem z software. Ktoś zna coś innego i lepszego? Jeśli jesteś od początku do końca legalny to spoko (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ale i tak dodatkowy firewall zawsze będzie lepszy od host based firewall. Pomyśl sobie: ktoś bardzo chce włamać się na twego kompa. Rozpoznaje jakiego masz firewall-a, pisze trojana który może zostać przez Ciebie z jakichś powodów uruchomiony, ewentualnie robi stronę na którą możesz trafić (jak... np. przez to forum (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ). taki trojan/strona dezaktywują ZoneAlarm ... i co wtedy (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Polecam lekturę książki Mitnick-a. Dlatego w domu odcięty jestem od netu firewallem na linuxie, dane trzymam na 2-giem maszynie linuxowej a pracuję na lapsie... a i tak wiem że ktoś może się włamać. |
|
|
|
|
Post
#16
|
|
|
Grupa: Zarejestrowani Postów: 20 Pomógł: 0 Dołączył: 10.12.2003 Ostrzeżenie: (0%)
|
to zwykly skan na ISS'a
Jedyne sensowne rozwiazanie to posiadanie apache (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) |
|
|
|
|
|
Aktualny czas: 6.03.2026 - 05:38 |
