25. august 2003 - 21:03Der er
25 kommentarer og 2 løsninger
Stort antal trojans.
Er jeg den eneste der har oplevet et stort antal angreb på det sidste? De sidste par timer har jeg fået ca 5-10 sub7 backdoor meldinger fra norton. Er der noget andet end sobig der går amok for tiden?
Subseven har vel normalt en helt annen spredningsprofil og spredningsmåte måte enn sobig. Den sprer seg vel en hel del mere langsomt, mens angrepene "bare" er rettet mot bestemte mål. Kan spres via gratis programmer som "vedlegg". Du er sikker på at "angrepene" kommer utenfra og ikke innenfra ? Hva sier loggen ??
Eks fra log: "Trojan attempt detected from address xx.xx.xxx.xx by rule "Default Block Backdoor/SubSeven Trojan horse". Blocked further access for 30 minutes."
Sub seven inneholder blandt annet server funksjoner som muliggjør at den som sitter med en sub seven client kan overta kontrollen over maskinen din hvis du har fått en Sub seven installert på maskinen din for eksempel vha gratis programvare.
Den kan også sende beskjed om alle dine tastetrykk til en mottaker (Hvis du har den på din maskin).
Den kan også gjennomføre automatiserte portscan fra den maskin den står installert på. Det spørs om det er et slikt automatisert portscan fra en annen infisert maskin som når din maskin.
Det er sånn sett ganske viktig om Subseven meldingene kommer som resultat av trafikk utenfra eller som et resultat av trafikk innefra fordi din egen maskin er infisert.
Da er det vel snakk om et automatisert "angrep" eller en scanning utenfra. I seg selv ikke kjempekritisk.
Det forhold at denne trafikken i det hele når fram til din maskin viser at du ikke kjører noen hardware firewall. Den viser også at du har en global ip som går direkte inn på din maskin "bare" beskyttet av en personal firewall.
En hardware firewall "in-front" som fjerner all slik trafikk før den når fram til maskinen din ville ikke være dumt. Kan kjøpes fra ca kr 400,-
Når jeg tager en "All Service Ports" scanning her: https://grc.com/x/ne.dll?bh0bkyd2 er alle mine porte stealthed. Har desværre ikke råd til en hardware firewall. Det er bare fordi antallet er exploderet siden igår. Har ikke installeret noget specielt, og bruger kun gamespy, counterstrike mirc og icq online.
Forteller for så vidt bare at firewall sannsynligvis fungerer helt ok, ellers så ville du sett åpne porter. Om du eventuelt har noen trojan må sjekkes på endre måter. Den vil eventuelt kunne kjøre på innsiden av firewall slik at den er "usynlig".
Den største risikoen ved softwarefirewalls det er vel at de ofte er så enkle og hurtige å feilkonfigurere eller det kan være hurtig å gi en feil brukerinnput. Så lenge de er rett konfigurert og betjenes riktig så fungerer de vel rimelig ok.
En gammel PC med 2 stk nettverkskort og gratis Smoothwall 2.0 blir til en veldig bra firewall http://www.smoothwall.org
Her i den sidste tid har jeg fået ca. 30 mails hver dag, elle sendt af Sobig.F virussen - Heldigvis har man Panda som stopper dem med det samme - Uden bøvl
Har scannet for trojans. Ingen fundet. Har heldigvis ikke fået en eneste mail med sobig f. Men jeg ka vel regne med at det er en mindre bølge hvis det stiller af i løbet af et par dage (havde en ligende bølge i maj)
man skal bare opsætte en trap; mange af dem som scanner er newbies, og har selv trojanen lyttende aktivt. så i det split sekund de scanner ens computer -*bam* - så er det sgu slut prut.
Ja det er mye merkelig der ute. Hvorfor subseven egentlig driver å scanner utvalgte mål det vet jeg ikke, for jeg tror at den viktigste spredningsmekanismen er via infiserte programmer. Hvis man kjører en hardware firewall så vil man normalt være lykkelig uvitende om all denne aktiviteten, med mindre man setter den opp til å generere logg. Hvis man kombnerer en hardware firewall for eksempel smoothwall med Norton personal firewall så vil det være uhyre skjelden eller så godt som aldri at det kommer noen "skummel trafikk" fram til personal firewall i det hele tatt.
så skal du i gang med at kode. du laver en server, som simulerer et antal trojanere (du kigger på den protokol de bruger), og når hax0ren forsøger at komme ind, så knalder du ham.
Det kan den muliggens, men Win 95 blir da overskrevet slik at den vil forsvinne. Prosessoren vil vel sansynligvis være ok, det kritiske vil være kravet til minne (ram). Smoothwall inneholder sitt eget operativsystem, dvs Linux slik at Windows 95 vil bli overskrevet og slettet.
Hvis den har 96 MB + Pentium 75 så bør dette kjøre helt fint. Den neste faktoren som kan være litt kritisk er å få tak i to nettverkskort som den kan detekte og bruke. Hvis dette er moderne pci kort så pleier det ikke å være noe problem. Hvis det der i mot dreier seg om gamle kort så må man bare prøve seg fram. Det kan godt kjøre fint, men man bør i starten nøye seg med 2 kort. Min erfaring at det kan gi bugs å forsøke å sette opp med 3 kort og dmz hvis det dreier seg om gamle nettverkskort. "Vanlig firewall" med 2 nettverkskort pleier å fungere enklere.
Ok. Jeg takker for hjælpen. Hvis det ikke stilner af i løbet af et par dage, sætter jeg den gamle comp op med smoothwall. (ska bare lige have fat i et extra netkort)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.