49 ответов в этой теме

[pig]

Либо мог, либо не мог. Кто ж его знает, как он устроен, этот вирус.

Сообщение было изменено pig: 29 Декабрь 2013 - 19:32

[Dmitry_rus]

был включен файрволл на роутере

Мог и наоткрывать. Роутер и файрволл на нем - штука хорошая, конечно, но проблема в том, что "роутерный" фаер не работает на уровне приложений, а именно это (работа на уровне приложений) могло бы с некоторой степенью вероятности предотвратить общение даунлоадера с внешним миром. Разумеется, при правильной настройке фаера.

[HHH]

Чтобы что-то наоткрывать надо сначала на компьютер попасть.

 

Отключенный брандмауэр мог поспособствовать только в одном случае - заражение через дыру с сетевых службах.

 

В случае отдельного компьютера за роутером (либо заведомо чистая локалка за роутером) этот сценарий исключается.

 

Поэтому ответ - нет, не могло отключение брандмауэра привести к заражению.

[Alejandro64]

Либо мог, либо не мог. Кто ж его знает, как он устроен, этот вирус.

 

Вообще такая практика существует у вирусов? Пытаться наоткрывать порты на роутере. Или это я себе выдумываю?

[Alejandro64]

Чтобы что-то наоткрывать надо сначала на компьютер попасть.

 

Отключенный брандмауэр мог поспособствовать только в одном случае - заражение через дыру с сетевых службах.

 

В случае отдельного компьютера за роутером (либо заведомо чистая локалка за роутером) этот сценарий исключается.

 

Поэтому ответ - нет, не могло отключение брандмауэра привести к заражению.

 

 

 

заражение через дыру с сетевых службах.

 

 

Извиняюсь - это означает через какую-то из служб, через уже открытые порты - так?

[Alejandro64]

 

был включен файрволл на роутере

Мог и наоткрывать. Роутер и файрволл на нем - штука хорошая, конечно, но проблема в том, что "роутерный" фаер не работает на уровне приложений, а именно это (работа на уровне приложений) могло бы с некоторой степенью вероятности предотвратить общение даунлоадера с внешним миром. Разумеется, при правильной настройке фаера.

 

 

 

Тогда вопрос - как проверить наоткрывал или нет? (Роутер Time Capsule) Куда ткнуть чтоб увидеть или какую команду ввести?

 

Работает через NAT, интернет получает через VPN

[l.e.e.]

Открытие портов можно сделать программно, одна строчка кода. У них нет переключателей - вкл-выкл. Это виртуальные порты. Просто - используется или нет. 65535 портов..

Уже говорил - вирусы пытаются обойти файервол - то есть остаться не замеченными пользователем. (создают правила и применяют политику файрвола, иногда удачно)

Сообщение было изменено l.e.e.: 30 Декабрь 2013 - 16:37

[HHH]

Перезагрузите роутер и всё закроется.

 

Если уж совсем уверенным хочется быть, то сбросьте настройки роутера к заводским, настройте заново (тех поддержка провайдера подскажет как) и поставьте сложный пароль на вход в админку роутера.

[Afalin]

Мог и наоткрывать. Роутер и файрволл на нем - штука хорошая, конечно, но проблема в том, что "роутерный" фаер не работает на уровне приложений, а именно это (работа на уровне приложений) могло бы с некоторой степенью вероятности предотвратить общение даунлоадера с внешним миром. Разумеется, при правильной настройке фаера.

  
Тогда вопрос - как проверить наоткрывал или нет? (Роутер Time Capsule) Куда ткнуть чтоб увидеть или какую команду ввести?
 
Работает через NAT, интернет получает через VPN

Смотря что значит понятие "открытый порт". Одно дело – установленное соединение, другое – сокет, который принимает входящие соединения. Вы сейчас о чём конкретно говорите?

[l.e.e.]

Поэтому ответ - нет, не могло отключение брандмауэра привести к заражению.

То есть можно отключать фаеры ? (за не надобностью   ?)

 

А я вот помню, как долго и нудно собирались правила для брандмауэра DrWeb.

Смотря что значит понятие "открытый порт". Одно дело – установленное соединение, другое – сокет, который принимает входящие соединения. Вы сейчас о чём конкретно говорите?

http://msdn.microsoft.com/ru-ru/library/dd335942.aspx - а тут почитать, не понятно что первичнее - сокет или сеодинение... но всё таки сокет имхо.  Как можно установить соединение без сокета, подскажете ?

Сообщение было изменено l.e.e.: 30 Декабрь 2013 - 22:59

[l.e.e.]

# Copyright © 1993-2004 Microsoft Corp.

#

# This file contains port numbers for well-known services defined by IANA

#

# Format:

#

# <service name>  <port number>/<protocol>  [aliases...]   [#<comment>]

#

Знаете откуда это ? notepad C:\windows\system32\drivers\etc\services

 

http://technet.microsoft.com/ru-ru/sysinternals/bb897437

TCPView — это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. 

Сообщение было изменено l.e.e.: 30 Декабрь 2013 - 23:07

[Afalin]

а тут почитать, не понятно что первичнее - сокет или сеодинение... но всё таки сокет имхо.  Как можно установить соединение без сокета, подскажете ?

Да всё там понятно. Это понятия вообще совсем разные =)

Но если говорить о первичности в конкретных жизненных реалиях, то первичный - сокет, ясное дело. Против стека не попрёшь =)

[l.e.e.]

http://2ip.ru/firewalltest/ - Самый простой тест файервола. Если фаер не реагирует на установленное соединение, вероятно он не правильно настроен (пропускать всё).

 тест.png   15,23К   0 Скачано раз

http://2ip.ru/article/portsrule/ как закрыть порты.

Сообщение было изменено l.e.e.: 31 Декабрь 2013 - 09:35

[Kirv]

А может кто-нибудь на пальцах пояснить, при каких обстоятельств и от кого/чего роутер защитит комп, и при каких - нет? Допустем: (перед чтением выпейте валериянки, пожалуйста ))  XP SP2, Java5, Adobe reader 5, FF 10, IE 7 и т.т. Не пугайтесь. Моя машына не такая ))То-есть, система - дыра, но человек не скачает ничего, только гуляет по интернету и у его есть роутер D-link with SPI and NAT (как у меня)   брандмауэрами. Другого софтварьного брандмауэра нету.

 

А по теме - роутер от drive-by аттак и скаченных траянов, эксплойтов, по-моему, не защатит.

 

Windows 8 брандмауэр может защитить, а XP - вряд ли.

 

 

[Dmitry_rus]

не скачает ничего, только гуляет по интернету

Логическая ошибка detected. Если "гуляет" - то уже качает. Или страницы, открываемые браузером, уже перестали скачиваться? И вредоносный код, содержащийся в них, перестал исполняться? Роутерный фаер, как уже отмечалось, не контролирует приложения, ему всё равно, отсылает ли пакет в сеть iexplore.exe или Trojan_Downloader.exe. Если исходящие соединения по данному порту разрешаются - то пакет будет пропущен. О последствиях предлагаю поразмыслить самостоятельно. Иногда бывают случаи, когда вредоносные программы садятся на нестандартные порты и ждут команд извне. Если входящие соединения по этому порту запрещены и блокируются фаером, то о последствиях, опять же, предлагаю подумать самому.

[Kirv]

Dmitry_rus, спасибо за ,,вежливый" и ,,ясный" ответ на мой вопрос :

 

,,...при каких обстоятельств и от кого/чего роутер защитит комп"?

 

Пример: человек пошел на нормальный - не взломаный сайт. У человека есть роутер с брандмауэрами, но система - дыра (другой вариант - все программы обновлены, но нету софтового брандмауэра). Другой злой человек - хакер, как-то узнал его IP и задумал взломать его комп, но он (хакер) в том сайте не сидит. Может ли хакер найти того бедного человека и взломать его комп? Чем все это кончится? 

Сообщение было изменено Kirv: 31 Декабрь 2013 - 11:43

[Afalin]

Пример: человек пошел на нормальный - не взломаный сайт. У человека есть роутер с брандмауэрами, но система - дыра (другой вариант - все программы обновлены, но нету софтового брандмауэра). Другой злой человек - хакер, как-то узнал его IP и задумал взломать его комп, но он (хакер) в том сайте не сидит. Может ли хакер найти того бедного человека и взломать его комп? Чем все это кончится?

Это две совершенно не связанные друг с другом ситуации (если я правильно понял, о чём идёт речь), их нет смысла рассматривать одновременно.

[Alejandro64]

Перезагрузите роутер и всё закроется.

 

Если уж совсем уверенным хочется быть, то сбросьте настройки роутера к заводским, настройте заново (тех поддержка провайдера подскажет как) и поставьте сложный пароль на вход в админку роутера.

 

 

Спасибо! Так и поступил. Пароль поставил 8 цифр (совпадает с паролем на WiFi, чтоб не мучиться). Это достаточно/нет? Мне кажется, если потенциальный вирус у меня на машине будет перебирать 100 млн паролей, то я уж как-нить это замечу -  нет?

[Alejandro64]

УТОЧНЕНИЕ!

 

У меня уже паранойя на эту тему.

 

Подскажите, в логе своего роутера (Time Capsule) вижу каждые 1-10 минут (среди прочих) вот такие строчки:

Jan  8 11:57:44 5 Binding added for tcp, 176.215.96.67:52513 to 10.0.1.21:52513 with lifetime 3600

Jan  8 11:57:44 5 Binding added for tcp, 176.215.96.67:52514 to 10.0.1.21:52514 with lifetime 3600

Jan  8 11:57:44 5 Binding added for udp, 176.215.96.67:52575 to 10.0.1.21:52575 with lifetime 3600

Jan  8 11:58:03 5 Binding added for tcp, 176.215.96.67:35120 to 10.0.1.21:35120 with lifetime 3600

Jan  8 11:58:03 5 Binding added for udp, 176.215.96.67:35120 to 10.0.1.21:35120 with lifetime 3600

Jan  8 12:28:14 5 Binding added for tcp, 176.215.96.67:52513 to 10.0.1.21:52513 with lifetime 3600

Jan  8 12:28:14 5 Binding added for tcp, 176.215.96.67:52514 to 10.0.1.21:52514 with lifetime 3600

Jan  8 12:28:14 5 Binding added for udp, 176.215.96.67:52575 to 10.0.1.21:52575 with lifetime 3600

 

1.21-это мой главный писюк (Win 7 x64, 1GBit кабель)

Как узнать что это за порты и какая прога наоткрывала?

Это может быть вирусом действующим по udp или это uTorrent или DC?

 

Подключен PPPoE через VPN. Раздача по внутренней сети - NAT.

[HHH]

Выключить uTorrent и посмотреть, как изменится лог. Затем DC, и опять посмотреть. И так далее.