16. august 2003 - 17:24Der er
14 kommentarer og 2 løsninger
Norton, win XP, firewall & den nye virus
Hejsa! Jeg skriver dette indlæg for en af mine venner (brugeren lch)
Jeg er er ved at flytte mit arbejde fra min gamle maskine og til min nye, har så instaleret min norton antivir / firewall på min nye maskine, men nu da jeg så forsøger at oprette alle mine FTP kontoer i mit ftp prog. (totalcomander tidligere kaldet windowscomander) - skal lige siges at alle lch's domæner er hos den samme udbyver (hos mig) får jeg blot besked på at norton suspenderet ip'en i 30 min da der førsøges hacking fra den adresse af..... - det er mig der har serveren stående (cyberdude) serveren indeholder intet - ej heller de 5 maskiner der er på indersiden af serveren - serveren køre linux og er fuldt opdateret, og efter hvad jeg har forstået så kan en virus som eks. *blast* vel heller ikke "leve" på en linux maskine, eller er der noget jeg er gået glip af ???
Hvor sikke rer den indbyggede firewall i XP i forhold til eks. norton ??
XP firewallen er ret sikker, og skulle faktisk give noget der minder om stateful inspection, hvilket Norton ikke kan håndtere. Til gengæld har norton en anderkendt certificering og den har XP ikke endnu
kan Blast virusen "forklæde" sig så det ser ud som om den kommer fra den ip man nu prøver at komme i kontakt med, men rent faktisk er andetsteds på nettet?
Jeg sider lige nu ved min egen pc XP med firewall aktiveret, og jeg får ingen warning når jeg prøver at oprette FPT access til føromtalte fpt/site.... SÅ måske det blot er en bug i selve FTP programmet, som firewallen reagere over for....
Jo, da. XP har vel faktisk to forskjellige måter man kan sette opp firewall på. "Den gamle 2000 måten" og "XP måten". XP varianten har en log her: C:\WINDOWS\pfirewall.log
The vulnerability affects unpatched systems running Windows NT, 2000, XP, and Server 2003. This worm, however, can only propagate into systems running Windows 2000 and XP.
Gratis versjon av Zone Alarm bør ellers også kunne klare ormen, i hvert fall hindre den i å tre i funksjon. (XP innebygde vil muliggens kunne hindre den i å komme inn men ikke i å tre i funksjon hvis den først er inne.) Zone Alarm bør kunne hindre dette ved anvendelsen av et prosess filtering prinsipp. Norton, Bitguard, Zonealarm og en del andre bruker vel dette. XP firewall mangler både dette pluss sansynligvis også statefull inspection (??)
Det ser ut som det er port 111 og 135 som er de som kan være utsatt for et angrep. De fleste firewalls har jo dette sperret for inngående. Er ormen først inne så kreves enten prosessfiltering a la zone alarm eller en annen litt avansert firewall for å hindre ormen i å tre i funksjon. Statefull inspection prinsippet allene vil uansett ikke være tilstrekkelig.
Nu sider jeg ved den putter der giver mig problemerne...
Dette er meddelsen fra norton : Forsøg på indtrængen konstateret fra adressen skansespil.dk(80.62.48.230) af reglen "Bloker som standard Sokets de Trois v1. Trojan". Blokerede yderligere adgang i 30 minutter.
Denne meddelse fremkommer, NÅR jeg forsøger at tilgå sitet via FTP...
nå man har lige prøvet til en anden FTP server, og det er samme problem, har nu rodet lidt i nortonen, og kan se at det er al trafik på port 20 der bliver blokleret for, så n uskal jeg blot lige forsøge at finde ud af hvor jeg åbner for den port....
jeg har nu fundet ud af at ved at sætte `FTP programmet til at bruge "passiv mode" så får jeg ikke alarmerne...... sååå, noget kunne vel helt sikkert tyde på en bug i ftp programmet, eller er der noget ved "passiv mode" jeg har misforstået Som jeg har forstået begrepet "passiv mode" er at det er serveren der sender/kræver alle oplysningerne af programmet, altså programmet gør INTET af sig selv, er det ikke korekt ?
Viste sig at FTP programmet blot skulle sættes til at bruge passiv-overførsel/tilstand så virkerde det!
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.