99 ответов в этой теме

[VVS]

 

Так что считал и продолжаю считать админов, не устанавливающих обновления, профнепригодными

жОсткий мушшына

 

Строг, но справедлив.

[Afalin]

Проверка на 2ip.ru показала, что у меня port 445 закрыт ( на GRC даже Stealth ).
Однако, мартовский патч MS17-010 благополучно отсутствует.

Если Вы сидите за NAT'ом, то никакой 2ip.ru ничего полезного не покажет. Смотрите netstat хотя бы.

[Boris Morozov]

Суть не просто в том, открыт у вас порт или нет, важно, можно ли до него добраться. Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру. Единственный мой знакомый, который пострадал вчера не имел роутера. У него был шнурок сетевой, приходящий от провайдера. И ни в коем случае не используйте роутеры в режиме бриджа. PPPoE всегда нужно настраивать на железке.

Виндовс с прямым выходом в инет это всегда потенциальная угроза. Завтра посмотрим, что у наших корпоративных клиентов. Но судя по тому, что мы им всегда рекомендовали ставить линуксы на входе, проблем особых быть не должно. Пока ни одного пострадавшего нет, хотя многие работают без выходных. 

[Dmitry Mikhirev]

Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру.

IPv6, teredo — не слышали? NAT придумали не как защиту от чего бы то ни было, и рассматривать его как защиту крайне опрометчиво.

[Dmitry Mikhirev]

NikolayHAOS, установка сигнализации не означает, что дверь можно не запирать.

[NikolayHAOS]

Dmitry Mikhirev, Красиво сказано, жаль толку ноль.

[Boris Morozov]

Я достаточно хорошо осведомлен и сказал лишь о том, что NAT прикрывает от подобных атак, хоть и сделан не для этого. Но это ни в коей мере не отменяет весь комплекс защитных мер. От внутренних источников типа скачанных файлов абы откуда и пришедших по почте он не спасет. От данной атаки по порту спасает.

[Boris Morozov]

Конечно, если настроить себе DMZ, пробросить порты или настроить проброс Ipv6 тем же teredo, то можно и нарваться. Но это уже требует определенных знаний и те люди должны знать, что делают. Но это не массовый случай.

[Dmitry Mikhirev]

Конечно, если настроить себе DMZ, пробросить порты или настроить проброс Ipv6 тем же teredo, то можно и нарваться. Но это уже требует определенных знаний и те люди должны знать, что делают. Но это не массовый случай.

На всякий случай проверил на виртуалке с семёркой: teredo включён по умолчанию, 445 порт слушается на всех IPv6-адресах. Не знаю, распространяется ли данный конкретный червь через IPv6, но теоретически ему ничто не мешает это делать.

[German AW]

А можно попросить админов объединить все темы про этот чудо-вирус? Читать обсуждение конечно интересно, но не очень удобно мониторить несколько тем подряд

[GeoJ]

Никогда обновления не отключал, начиная с XP.
За всё это время ЕМНИП у меня только 2 или 3 раза были проблемы, связанные с обновлением.
За это же время кол-во вирусов, пользующихся уже закрытыми уязвимостями винды, было на порядки больше.
но...

Всегда отключал автообновления сразу и навсегда. Ставил обновления только те, без которых никак, и исключительно руками.
Заразу подцепил один единственный раз, когда у племяша на флешке нашел в автозапуске вирь (exe-шник) и с какого-то перепугу клацнул по ентеру. А все эти многочисленные уязвимости Винды никак жить не мешали.
А вот то, что Винда в обновлении может что-то "исправить" в соответствии с собственными представлениями о том, как мне лучше -- это куда как вероятнее.
Так что каждому свое.

Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру.
<...>
PPPoE всегда нужно настраивать на железке.

Спасибо, ценная информация. По крайней мере, дома голова болеть не будет. А на работе пущай думают админы и начальство

[sergeyko]

Вчера 12.03 была проблема с системой. 

Система Win10, антивирус DrWeb 11 (некоммерческая лицензия выигранная по Я+Dr. Web).

С утра система отказалась загружаться. Был черный экран на этапе загрузки, хотя диспетчер

процессов работал. После нескольких неудачных попыток запуска было решено переустановить

систему с форматированием системного раздела.

Переустановил, все работает нормально. Следов WannaCrypt на дисках не найдено. Интересно, что 

это было: совпадение или попытка атаки WannaCrypt, отбитая антивирусом.

146% совпадение. 

[DSA]

Как эксплуатируют уязвимость? Какая служба и какой процесс у пользователя должен быть запущен, чтобы его могли атаковать? 

 

Я так понял, уязвимость есть в службе "Сервер", то есть если 445 или 139 порты ожидают входящие соединения, то можно атаковать (процесс svchost.exe или system ?). В "Мониторинге сети" Kaspersky Endpoint Security 10 написано, что 139 и 445 порты использует System (на вкладке "Открытые порты"). В AVZ написано, что их использует System.exe (статус "LISTENING"). В System Explorer на вкладке "Соединения" нет ни одного процесса, который использовал бы 139 или 445 порт.

 

У пользователя должен быть внешний (белый) IP, чтобы его могли атаковать? Если у него нет внешнего IP, то его невозможно атаковать этим трояном?

[NikolayHAOS]

На счет обновлений и их автоматической установки, следует добавить оговорку " На технически исправных компьютерах" 
В школьной сети 8! машин имеют разные железные проблемы (3 битую паять и 5 повреждённый HDD) НО при этом работают и не доставляют сильных неудобств ни мне ни пользователям. НО сразу скажу они работают так как есть и на 5 из них работает доктор. Синих экранов нет. НО если начать ставить обновы с 99% уверенностью могу сказать что компы не загрузятся после перезагрузки.

Это я не против установки обновлений высказываюсь, а говорю о том, что теории это хорошо, а вот реалии это совсем другое. НО защищать эти машины тоже нужно. Вот и кручусь как могу и умею, а умею уже больше чем знал ранее во многом благодаря данному форуму и его форумчанам, за что им Огромное спасибо. :-)

[l.e.e.]

http://portscan.ru/stuff-open-ports.html

https://chrome.google.com/webstore/detail/portchecker/leebgfjiljadmconbpkhlfambnlcchai/related

Сканер портов.

 zerox.png   19,07К   2 Скачано раз

О, а кто это сделал ? Ни у кого нет такого ? (Катана такое делает ?)

Сообщение было изменено l.e.e.: 16 Май 2017 - 09:07

[Gun]

Сканер портов.

Удалите записи из

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

Вирус внес туда сертификаты приложений и система не даёт их запустить.

[oldman666]

http://portscan.ru/stuff-open-ports.html

https://chrome.google.com/webstore/detail/portchecker/leebgfjiljadmconbpkhlfambnlcchai/related

Сканер портов.

   Самый простой и надёжный сканер портов это, как предложил Afalin
в этой ветке форума - это встроенная в Windows команда netstat:

Смотрите netstat хотя бы

  Вот только он забыл добавить,что для получения полной информации
надо запускать с параметрами:    netstat -anbo

    Выяснилось, что согласно netstat, у меня порт 445 открыт ( Win10 Home ).
  Однако, несколько тестирующих Web сайтов показали, что p445 закрыт или Stealth( Filtered ).

Если Вы сидите за NAT'ом, то никакой 2ip.ru ничего полезного не покажет.

  Он безусловно прав, что такой результат тестирующих Web сайтов может быть
связан с наличием на пути железячных NAT ( Firewall-ов etc ).

  Переформулирую теперь вопрос к экспертам форума - если port 445 извне ( из инета )
определяется как закрытый ( или даже Stealth ), то
вообще нужны ли патчи типа MS17-010.?

Хотя:

Суть не просто в том, открыт у вас порт или нет, важно, можно ли до него добраться. Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру.

 Но хотелось бы услышать  и другие мнения.

[Afalin]

Переформулирую теперь вопрос к экспертам форума - если port 445 извне ( из инета )
определяется как закрытый ( или даже Stealth ), то
вообще нужны ли патчи типа MS17-010.?

Если Вы можете гарантировать, что внутри сети этого или другого подобного суслика не будет – тогда не нужны.

Подсказка: гарантировать это Вы скорее всего не можете.

Сообщение было изменено Afalin: 16 Май 2017 - 15:42

[GEV]

Кстати 445 порт довольно популярен, многие пробрасывают его в роутерах для шар/nas/вэбкамер/ect

[oldman666]

Если Вы можете гарантировать, что внутри сети этого или другого подобного суслика не будет – тогда не нужны.

Подсказка: гарантировать это Вы скорее всего не можете.

  Мой Desktop  и нотбук выходят в инет через DSL модем, работающий в
режиме Bridge. С трудом найдя пароль, вошёл в настройки и увидел :

 NAT Status:Deactivated
 Firewall:Disabled
 UPnP:Deactivated etc.

  Т.е. имеет место быть прямое подключение к провайдеру.
И тогда о какой локальной сети, в которой может завестись суслик, вы, Afalin, говорите?
  Похоже железячные NAT, Firewall-ы, etc. находятся именно у провайдера.
 И тогда, если у него кто-нибудь захочет приоткрыть заслонку даже на короткое время,
пользователям режима Bridge может не поздоровится.
 На всякий случай буду искать решение, как закрыть порт 445 в Win10 Home.
Припоминаю, что лет 12 назад для WinXP такие решения были.