Сообщение было изменено pig: 29 Декабрь 2013 - 19:32
Какова роль в вирусном заражении отключенного брандмауэра?
#22
Отправлено 29 Декабрь 2013 - 19:53
был включен файрволл на роутереМог и наоткрывать. Роутер и файрволл на нем - штука хорошая, конечно, но проблема в том, что "роутерный" фаер не работает на уровне приложений, а именно это (работа на уровне приложений) могло бы с некоторой степенью вероятности предотвратить общение даунлоадера с внешним миром. Разумеется, при правильной настройке фаера.
#23
Отправлено 30 Декабрь 2013 - 13:15
Чтобы что-то наоткрывать надо сначала на компьютер попасть.
Отключенный брандмауэр мог поспособствовать только в одном случае - заражение через дыру с сетевых службах.
В случае отдельного компьютера за роутером (либо заведомо чистая локалка за роутером) этот сценарий исключается.
Поэтому ответ - нет, не могло отключение брандмауэра привести к заражению.
#24
Отправлено 30 Декабрь 2013 - 15:47
Либо мог, либо не мог. Кто ж его знает, как он устроен, этот вирус.
Вообще такая практика существует у вирусов? Пытаться наоткрывать порты на роутере. Или это я себе выдумываю?
#25
Отправлено 30 Декабрь 2013 - 15:49
Чтобы что-то наоткрывать надо сначала на компьютер попасть.
Отключенный брандмауэр мог поспособствовать только в одном случае - заражение через дыру с сетевых службах.
В случае отдельного компьютера за роутером (либо заведомо чистая локалка за роутером) этот сценарий исключается.
Поэтому ответ - нет, не могло отключение брандмауэра привести к заражению.
заражение через дыру с сетевых службах.
Извиняюсь - это означает через какую-то из служб, через уже открытые порты - так?
#26
Отправлено 30 Декабрь 2013 - 15:51
был включен файрволл на роутереМог и наоткрывать. Роутер и файрволл на нем - штука хорошая, конечно, но проблема в том, что "роутерный" фаер не работает на уровне приложений, а именно это (работа на уровне приложений) могло бы с некоторой степенью вероятности предотвратить общение даунлоадера с внешним миром. Разумеется, при правильной настройке фаера.
Тогда вопрос - как проверить наоткрывал или нет? (Роутер Time Capsule) Куда ткнуть чтоб увидеть или какую команду ввести?
Работает через NAT, интернет получает через VPN
#27
Отправлено 30 Декабрь 2013 - 16:36
Открытие портов можно сделать программно, одна строчка кода. У них нет переключателей - вкл-выкл. Это виртуальные порты. Просто - используется или нет. 65535 портов..
Уже говорил - вирусы пытаются обойти файервол - то есть остаться не замеченными пользователем. (создают правила и применяют политику файрвола, иногда удачно)
Сообщение было изменено l.e.e.: 30 Декабрь 2013 - 16:37
#28
Отправлено 30 Декабрь 2013 - 17:14
Перезагрузите роутер и всё закроется.
Если уж совсем уверенным хочется быть, то сбросьте настройки роутера к заводским, настройте заново (тех поддержка провайдера подскажет как) и поставьте сложный пароль на вход в админку роутера.
#29
Отправлено 30 Декабрь 2013 - 20:38
Смотря что значит понятие "открытый порт". Одно дело – установленное соединение, другое – сокет, который принимает входящие соединения. Вы сейчас о чём конкретно говорите?Мог и наоткрывать. Роутер и файрволл на нем - штука хорошая, конечно, но проблема в том, что "роутерный" фаер не работает на уровне приложений, а именно это (работа на уровне приложений) могло бы с некоторой степенью вероятности предотвратить общение даунлоадера с внешним миром. Разумеется, при правильной настройке фаера.
Тогда вопрос - как проверить наоткрывал или нет? (Роутер Time Capsule) Куда ткнуть чтоб увидеть или какую команду ввести?
Работает через NAT, интернет получает через VPN
#30
Отправлено 30 Декабрь 2013 - 22:55
Поэтому ответ - нет, не могло отключение брандмауэра привести к заражению.
То есть можно отключать фаеры ? (за не надобностью ?)
А я вот помню, как долго и нудно собирались правила для брандмауэра DrWeb.
Смотря что значит понятие "открытый порт". Одно дело – установленное соединение, другое – сокет, который принимает входящие соединения. Вы сейчас о чём конкретно говорите?
http://msdn.microsoft.com/ru-ru/library/dd335942.aspx - а тут почитать, не понятно что первичнее - сокет или сеодинение... но всё таки сокет имхо. Как можно установить соединение без сокета, подскажете ?
Сообщение было изменено l.e.e.: 30 Декабрь 2013 - 22:59
#31
Отправлено 30 Декабрь 2013 - 23:05
# Copyright © 1993-2004 Microsoft Corp.
#
# This file contains port numbers for well-known services defined by IANA
#
# Format:
#
# <service name> <port number>/<protocol> [aliases...] [#<comment>]
#
Знаете откуда это ? notepad C:\windows\system32\drivers\etc\services
http://technet.microsoft.com/ru-ru/sysinternals/bb897437
TCPView — это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений.
Сообщение было изменено l.e.e.: 30 Декабрь 2013 - 23:07
#32
Отправлено 31 Декабрь 2013 - 06:47
а тут почитать, не понятно что первичнее - сокет или сеодинение... но всё таки сокет имхо. Как можно установить соединение без сокета, подскажете ?
Да всё там понятно. Это понятия вообще совсем разные =)
Но если говорить о первичности в конкретных жизненных реалиях, то первичный - сокет, ясное дело. Против стека не попрёшь =)
#33
Отправлено 31 Декабрь 2013 - 09:31
http://2ip.ru/firewalltest/ - Самый простой тест файервола. Если фаер не реагирует на установленное соединение, вероятно он не правильно настроен (пропускать всё).
тест.png 15,23К 0 Скачано раз
http://2ip.ru/article/portsrule/ как закрыть порты.
Сообщение было изменено l.e.e.: 31 Декабрь 2013 - 09:35
#34
Отправлено 31 Декабрь 2013 - 11:08
А может кто-нибудь на пальцах пояснить, при каких обстоятельств и от кого/чего роутер защитит комп, и при каких - нет? Допустем: (перед чтением выпейте валериянки, пожалуйста )) XP SP2, Java5, Adobe reader 5, FF 10, IE 7 и т.т. Не пугайтесь. Моя машына не такая ))То-есть, система - дыра, но человек не скачает ничего, только гуляет по интернету и у его есть роутер D-link with SPI and NAT (как у меня) брандмауэрами. Другого софтварьного брандмауэра нету.
А по теме - роутер от drive-by аттак и скаченных траянов, эксплойтов, по-моему, не защатит.
Windows 8 брандмауэр может защитить, а XP - вряд ли.
#35
Отправлено 31 Декабрь 2013 - 11:25
не скачает ничего, только гуляет по интернетуЛогическая ошибка detected. Если "гуляет" - то уже качает. Или страницы, открываемые браузером, уже перестали скачиваться? И вредоносный код, содержащийся в них, перестал исполняться? Роутерный фаер, как уже отмечалось, не контролирует приложения, ему всё равно, отсылает ли пакет в сеть iexplore.exe или Trojan_Downloader.exe. Если исходящие соединения по данному порту разрешаются - то пакет будет пропущен. О последствиях предлагаю поразмыслить самостоятельно. Иногда бывают случаи, когда вредоносные программы садятся на нестандартные порты и ждут команд извне. Если входящие соединения по этому порту запрещены и блокируются фаером, то о последствиях, опять же, предлагаю подумать самому.
#36
Отправлено 31 Декабрь 2013 - 11:41
Dmitry_rus, спасибо за ,,вежливый" и ,,ясный" ответ на мой вопрос :
,,...при каких обстоятельств и от кого/чего роутер защитит комп"?
Пример: человек пошел на нормальный - не взломаный сайт. У человека есть роутер с брандмауэрами, но система - дыра (другой вариант - все программы обновлены, но нету софтового брандмауэра). Другой злой человек - хакер, как-то узнал его IP и задумал взломать его комп, но он (хакер) в том сайте не сидит. Может ли хакер найти того бедного человека и взломать его комп? Чем все это кончится?
Сообщение было изменено Kirv: 31 Декабрь 2013 - 11:43
#37
Отправлено 31 Декабрь 2013 - 12:01
Пример: человек пошел на нормальный - не взломаный сайт. У человека есть роутер с брандмауэрами, но система - дыра (другой вариант - все программы обновлены, но нету софтового брандмауэра). Другой злой человек - хакер, как-то узнал его IP и задумал взломать его комп, но он (хакер) в том сайте не сидит. Может ли хакер найти того бедного человека и взломать его комп? Чем все это кончится?
Это две совершенно не связанные друг с другом ситуации (если я правильно понял, о чём идёт речь), их нет смысла рассматривать одновременно.
#38
Отправлено 08 Январь 2014 - 20:28
Перезагрузите роутер и всё закроется.
Если уж совсем уверенным хочется быть, то сбросьте настройки роутера к заводским, настройте заново (тех поддержка провайдера подскажет как) и поставьте сложный пароль на вход в админку роутера.
Спасибо! Так и поступил. Пароль поставил 8 цифр (совпадает с паролем на WiFi, чтоб не мучиться). Это достаточно/нет? Мне кажется, если потенциальный вирус у меня на машине будет перебирать 100 млн паролей, то я уж как-нить это замечу - нет?
#39
Отправлено 08 Январь 2014 - 20:34
УТОЧНЕНИЕ!
У меня уже паранойя на эту тему.
Подскажите, в логе своего роутера (Time Capsule) вижу каждые 1-10 минут (среди прочих) вот такие строчки:
#40
Отправлено 08 Январь 2014 - 20:37
Выключить uTorrent и посмотреть, как изменится лог. Затем DC, и опять посмотреть. И так далее.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых