Да, и вот еще вопрос. 445 порт открыт по умолчанию?
Поставь комодо фаервол. Его интерфейс заменяет весь геморой с настройкой портов/записи/реестра и тд + система мониторит весь трафик и предотвращает атаки
Охуительные истории.
конкретизируй
Комодо лучший фаервол для обычного пользователя уровня ламера и выше, сидящего на окнах
Ставлю win7 sp1, отключаю все обновления.
Сижу без обновлений. все пароли, в том числе от платёжных систем хранятся в моих документах в папке пароли.
Все сайты хранят логины, никто не спиздил рубля за всю время, никто ни разу не угнал аккаунт вк.
>никто не спиздил рубля за всю время
>implying кому то всралась эта туалетная бумага
значит уязвимость описанная в оп посте применима к твоей системе
смотря какие порты открыты. на какие то порты эксплоитов просто дохерища и все рабочие, на какие то их единицы и они платные и не работающие и ббваьвыдаьвыщаывав. ну а серьёзно если - комодо реально помогает.
пишет человек с 10 виндой. т.е. я. вухаахах
По пунктам
> а) пароль на компе есть
> б) если его нет
> в) если сидишь не из под админа
Не спасет в случае уязвимости. Да ответ - да, может с большой вероятностью. Вывод делаю тупо из прошлого опыта. Из опыта поражения овцеебов Stuxnet'ом. Там ничего не было даже видимого: ты просто открывал проводник, винда пыталась отрендерить иконку из файлика, буфер -> стек переполнялся, происходила инъекция и запуск кода, еще одной уязвимостью повышались привилегии до системных. Точка, ты даже глазом не успевал моргнуть. Вот что такое - умения и знания - крутая работа. Это тебе не порнолокер какой-то.
Но были в истории и массовые вирусы, которые использовали удаленные уязвимости в RPC Windows, массово валили системы тупа сканя адресное пространство Интернета (32 бита всего лишь тогда).
Почему же этого не происходит? Почему же массово у всех не происходит ничего как было в 2003 с известным lsasser и MSBlast?!
Моим долгом как сетевого инженера будет объяснить анону несколько моментов:
1) В большинстве случаев, в связи с нехваткой IPv4 адресов ты сидишь как минимум за одним NAT (своего роутера), подключиться к твоим портам сложно. Только внутри сетки твоей. В большинстве случае еще есть и CGN (Carrier Grade NAT), когда оператор уже вторым заходом производит NAT абонентcких CPE (роутеров).
Так как инициировать TCP-соединение к тебе невозможно, проблема сама отпадает для IPv4.
2) Даже если у тебя есть публично маршрутизируемый IPv4 адрес. Провайдеры очень часто следуют совету, который был выведен с очень печальным опытом - блокировка портов Windows служб для абонентов провайдера и офисов. Любой админ без труда скажет тебе что означают, и какие ассоциации вызывают у него числа 135,139,445, спроси ты у него это хоть с бодуна! Эта практика настолько стандартна, что о ней даже не думают. Это - понятно сразу.
3) Для IPv6 - на роутерах очень часто в фаерволлах по умолчанию включен stateful firewall, которые не даст создать новое соединение со стороны внешней сети к домашней сетке. Даже если нет, сканирование адресного пространства IPv6 (128 бит) 2^128 адресов та еще задача... (успех просто таки гарантирован, ага).
3) Очень часто пользователи отключают прослушку служб Windows RPC и SMB на интерфейсе, снимая галочку как советуют хорошие админы, в разделе "Протоколы и службы" свойств сетевого подключения. Это еще более оптимистично.
Итого - единственная наиболее угроза - твоя домашняя сетка.
Никогда не отключай обновления Шинды, ставь последние патчи. Антивирус на усмотрения, от целевой хорошей атаки он не спасет почти никогда, как и хваленные Cisco ASA. Настоящий взлом - это искусство.
Все же старайся избавляться от Шинды где возможно, и ставить ее за строгим фаерволлом.
Если есть вопросы, пиши используя кнопку "Ответ".
Вот ответ, почему он все равно жив и здоров.
спасибо за инфу
словил хуйню. очень похоже на описываемую в треде на PG
http://forums.playground.ru/hardware/majner_winsec_exe_msiexev_exe-934689/
имею реальный ip(динамик). по говну не лажу практически
несколько раз возвращалась
перезагружала падла комп
появляется в корне системного диска и в длинном пути в оси (на пике)
ось не обновлял. имею нод и аутпост
последнее что словлено из двух частей
https://virustotal.com/en/file/d39a0fb9e4f85c309af17551c579d539e4f6e7abf65e1665c112db8047b0149e/analysis/1493894390/
https://virustotal.com/en/file/bba5b3d56dc0b73a92716be5bc97400bd3d56911165e6de8ee9d3a7776e34a1c/analysis/1493894595/
пытаюсь понять чо запатчить
взял пока что это:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
http://forums.playground.ru/hardware/majner_winsec_exe_msiexev_exe-934689/
имею реальный ip(динамик). по говну не лажу практически
несколько раз возвращалась
перезагружала падла комп
появляется в корне системного диска и в длинном пути в оси (на пике)
ось не обновлял. имею нод и аутпост
последнее что словлено из двух частей
https://virustotal.com/en/file/d39a0fb9e4f85c309af17551c579d539e4f6e7abf65e1665c112db8047b0149e/analysis/1493894390/
https://virustotal.com/en/file/bba5b3d56dc0b73a92716be5bc97400bd3d56911165e6de8ee9d3a7776e34a1c/analysis/1493894595/
пытаюсь понять чо запатчить
взял пока что это:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
IE не пользовал.
в комп идёт напрямую провод.
аутпост был в режиме РАЗРЕШАТЬ ВСЁ
в комп идёт напрямую провод.
аутпост был в режиме РАЗРЕШАТЬ ВСЁ
названия основных частей в корне были qqss77889900.exe и 15321.exe
как в ручную позакрывать порты?
Просто он нода ботнета и косвенно приносит прибыль его хозяину.
твоя "чистая" винда по-умолчанию слушает определенные порты, на них и направлены атаки.
А куда ты там заходишь никого не интересует.
Самое простое решение для любой винды - сидеть за NATом. Покупаешь копеешный роутер для раздачи инторнетов и реальный ойпи приземляешь на нем. А все эти кривые и тормозные виндовые поделия, по недаразумению называющие себя файрволами, абсолютно не нужны.
> А все эти кривые и тормозные виндовые поделия, по недаразумению называющие себя файрволами, абсолютно не нужны.
Они для удобного контроля сетевой активности на прикладном уровне ващет.
Иди нахуй, школодебил.
Иди нахуй, долбоеб школьный.
Сети выучи хоть немного.
И в чем же я не прав, порванный дебил? Ты чтобы игруле не дать выйти в сеть, лезешь в роутер? И что ты там делаешь?
Двачую адеквата, роутер должен быть на открытой и обновляемой прошивке. Желательно настроить иптейблс. Иначе уязвимость в роутере>уязвимость в винде>винлокер с гомонигрой
Да, лезу в роутер, внезапно!
Делаю iptables -t filter .... и дальше много разных буковок идет, а в конце -j REJECT или -j DROP.
Вот скоро хочу nftables изучить, но тебе не понять.
Мало того, я перед этим еще и трафик этой игрули проанализирую, чтобы сделать выводы.
Как ты будешь идентифицировать одно приложение от другого на сетевом уровне, дурачек? И главное зачем, когда для этого придуман прикладной уровень?
Заебись, ты предлагаешь мне в операционку типа винды вгрузить кусок проприетарного говнокода? Идентификация по L7 возможна, но сука затратна, помни.
И как ты предлагаешь дешево блочить приложение по L7 с нескольких машин без всяких васянофаерволов на конечных узлах? В Linux - есть возможность запускать приложение в netns, в Винде - только говнофаерволлы, которые далеко не всегда спасут, если приложение запускает разные дополнительные процессы.
Рассмотрим также сценарий BYOD-среды, когда машинами ты управлять не можешь.
Ну-ка, ну-ка, покажи конкретные правила, которые блокируют игрую и больше ничего другого.
Так его там всё ядро, этого говнокода, от ещё одного куска ничего особо не изменится.
>Так его там всё ядро, этого говнокода, от ещё одного куска ничего особо не изменится.
Ну да - ну да. Видел я такие вскукареки. Видел как ребята эти дополнительные куски кода исследовали и находили в них strcpy который может переписать кусок за буфером или вне области в куче. Благо там были проверки, которые компилятор и DDK добавил, которые затем вызывали BugCheck (что спасало от пробивания днища в контекст ядра путем аварийной перезагрузки).
Не пиши большей такой херни здесь. Видно сразу, что ты нихера не знаешь в архитектуре операционных систем.
>Ну-ка, ну-ка, покажи конкретные правила, которые блокируют игрую и больше ничего другого.
Если ты хочешь КОНКРЕТНУЮ игру без привязки к порту и транспортному протоколу (TCP/UDP/SCTP/DCCP) в условиях BYOD, то ты либо используешь L7 фильтр, либо гуляешь к чертам. Ты должен сделать запуск приложения на конечному узле для юзера в его пространстве имен сети (netns) и тогда блочить сотрудникам трафик, а в шинде этого не сделать. Сотрудник переименует исполняемый файлик - и твой васянофаервол обосрется - только белый список приложений, что накладно уже. Опять же это не реализуемо в условиях BYOD среды.
>Если ты хочешь КОНКРЕТНУЮ игру, то ты либо используешь L7 фильтр, либо гуляешь к чертам.
Но ты же сам только что сказал, что блокируешь игрулю на роутере . У нас что, роутеры по волшебству научились в уровень приложений?
О, мать моя, женщина. Могут! Слыхал про netfilter string match, о netfilter u32 match, о коллекции уже готовых матчей L7 протоколов ? О проекте OpenDPI?
А если слыхал, то знаешь как это накладно.
Потому я РЕДКО страдаю такой херней. Использую тупо легкие матчи, поверь это редко когда приводит к collateral damage.
Игрульки игрульками, а я вот помню как обосанный Керио Винроуте не мог справиться даже с 10мбитами. Со своими разбором пакетов L4+. А ведь серверу еще надо было заниматься делом, а не хуйней.
Вот-вот, BSD-кун. И так со всеми пердподелиями. Если хочешь блочить приложения на шинде своей личной - стандартный фаервол. Если хочешь блочить приложение в офисе где люди носят с собой свои железки - роутер на базе FreeBSD (ipfw) либо на базе Linux (netfilter).
P.S. Люблю бздю!
Такой вопрос -
Комп висит за роутером, к нему нужен доступ по rdp. Открыт порт, проброшен через роутер, статичный ip.
Как опутать всё это колючей проволокой от хакеров-хуякеров?
Ты наркоман или повыебываться решил? ОП спрашивал про сетевую защиту для домашней пекрани на венде блять а не сложного ентырпрайза, где совсем другие инструменты используются. И ты предлагаешь ОПу вместо удобного приложения пердолиться на роутере для каждого приложения с непонятными результатами. Долбоёб или что? Да нет, видимо омежный студентик прочитал пару книжек и решил выебнуться.
> сетевую защиту для домашней пекрани на венде
Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи. </response>
>роутере для каждого приложения с непонятными результатами.
Здесь проиграл. Я здесь для того, чтобы анончики узнали немного больше о работе с сетью, не стоит на меня наезжать. Манямирок любителей всяких Eset и Outpost должен вконце-концов лопнуть, так как я чувствую позор на своей душе, когда люди мне несует херню.
>Комп висит за роутером, к нему нужен доступ по rdp. Открыт порт, проброшен через роутер, статичный ip.
Так парни с campranks получают клиентов. Не делать этого. Особенно на стандартном порте 3389.
Сделать IPsec туннель, гнать трафик до RDP только по IPsec. Как вариант - какой-нибудь OpenVPN может быть альтернативой, но в IPsec я более уверен.
IPsec настраивать сложней немного (нужно настроить IKE, политики и другие штуки), тогда как с OpenVPN все проще и работает он в userspace. Подумай что тебе лучше.
На PPTP, L2TP и прочих аутсайдеров даже не смотри.
На window 7 закрыт, на ХР открыт.
Пользоваться ограниченой учетной записью делов то, потом щас воон какие роутеры домашниие борзые, фильтрацию настроить можно, что ни одна анб не проберёться.
О б!я! А я как-раз с опенвпн дрочусь! :)
В голову не пришло совместить эти технологии! Спасибо!
Всегда пожалуйста.
Порядок действий
1) Скриптами Easy-RSA поднять PKI: скопировать папку в easy-rsa, в копии поменять файлик vars под свои нужды, ./clean-all, . ./vars, ./build-dh (згенерировать параметры Диффи-Хелмана), ./build-ca, ./build-key-server server, ./build-key my_client_anon.vpn.vasyan.local
2) Раздать файлики по машинам. Никому не отдать лишнего! Будет в папке keys (не помню точну).
server.key - приватный ключ сервера (на сервере), ca.crt (публичный ключ ca - везде), ca.key (никуда, только в папке с PKI), server.crt - публичный ключ сервера (сервер), my_client_anon.vpn.vasyan.local.crt (публичный ключ клиента - только одному клиенту), my_client_anon.vpn.vasyan.local.key (приватный ключ клиента - только одному клиенту), dh1024.pem - Параметры Диффи-Хеллмана - на сервере
3) Папку с PKI бэкапим и непроебываем, через нее будет выдача ключей новый клиентам. Процедура: . ./vars, ./build-key my_client_xxx.vasyan.local
4) Создание папки c конфигом и написание конфигурации сервера с забросом туда необходимых файлов из PKI. Смотри мануал.
5) Создание конфига для клиента + переброс ему ca.crt, my_client_anon.vasyan.local.
Советую использовать режим tun (L3-туннелирование, меньше оверхед по MTU) + udp-транспорт (актуально для херовых мобильных сетей, нет TCP-оверхеда) + tls-client + topology subnet + server + cipher типа AES-256-GCM (режим Галуа), auth SHA256 + remote-cert-tls server + pull централизованно маршрутов с сервера + comp-lzo adaptive
6) Настроить на сервере роутинг, в сети решить вопрос с маршрутами. Если VPN идет на твой основной шлюз в сетке - проблем не будет.
7) Настроить firewall
Вопросы можешь писать в тред. Советую запускать OpenVPN на хорошем маршрутизаторе из-за его ограничений. Если есть говнороутеры от TP-Link: хотя бы уровня WR1043ND или ну хоть WR741ND - начни с прошивки их в LEDE, на OpenWRT не смотри - он устарел как говно мамонта. Из микророутеров советую TP-Link Archer C7 либо UniFi EdgeRouter
> , не стоит на меня наезжать.
А в этих сообщениях значит наезда нет?
Слыш, строничку вконтакте взломаеш?))
Это не слова автора . Вам два человека указали их отношение к вашим словам после Вашего поста, мсье. Это Интерсеть, будьте готовы к критике.
> Это не слова автора
Это следовало бы указать, не было бы никаких "наездов".
> будьте готовы к критике.
Это не критика это высер обычного двачебыдла. Мсье, вы так и не предложили удобную альтернативу вендовому фаерволу для домашней пекарни. Об абсолютной защите никто и не говорит, поэтому мне непонятны эти слова
> Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи
Свои юзкейсы у этого инструмента есть, не понимаю зачем это отрицать.
Имхо лучше использовать OpenVPN для твоего RDP. Настройка проста как 5 копеек, есть возможность включить сжатие (хотя не знаю даст ли это выигрыш для RDP) и клиенты под все платформы.
А смамое главное нужно быдет открыть лишь один порт для любых сервисов, а на внешнем ойпи не светить RDP.
Плюс удобное прокидывание маршрутов и свои днсов при подключении. Чтоб работало и с виндовым маняднсом.
А смамое главное нужно быдет открыть лишь один порт для любых сервисов, а на внешнем ойпи не светить RDP.
Плюс удобное прокидывание маршрутов и свои днсов при подключении. Чтоб работало и с виндовым маняднсом.
Спасибо!
А если опенвпн поднять на той машине, к которой нужен рдп доступ? Пробросить опенвпн через роутер и всё?
>
>А если опенвпн поднять на той машине, к которой нужен рдп доступ? Пробросить опенвпн через роутер и всё?
Именно так! RDP будет доступен на интерфейсе VPN-сервера внутри туннеля.
>Это не критика это высер обычного двачебыдла
Что поделаешь. Такой нынче язык в моде: нахуй-захуй без малейшего понимания что эти слова значат.
Отупение молодого поколения на лицо... На лицо и в глаза им матерям...
Комодо сложно назвать фаерволом. Это типичная убогая мокрописька с нелогичными настройками и тонной мусора в комплекте. К тому же свои непосредственные задачи выполняет через жопу. Самый лучший фаер - это родной виндовый.
Купи роутер.
/Тред
/Тред
>Самый лучший фаер - это
iptables
Правильно говорить «netfilter».
>
>Но были в истории и массовые вирусы, которые использовали удаленные уязвимости в RPC Windows, массово валили системы тупа сканя адресное пространство Интернета (32 бита всего лишь тогда).
Похоже, история имеет свойство повторятся :-)
Кек. Я предсказал жопу.
Сижу ржу как дебил.
>Чистая свежая винда полностью пассивная только с доступом в интернет может быть скомпрометирована?
Любое устройство с доступом в интернет уже не пассивное. Даже kernel.org ломали.
>> сетевую защиту для домашней пекрани на венде
>Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи.
Ах эти экспертные заключения!
Раз уж такая тема пошла: где в шинде сделать так, чтобы любой запуск программы/любое интернет соединение запрашивало доступ у меня? Прям каждое действие.
Перед каждым действием спрашивай разрешения у мамки.
Так это поведение по умолчанию вообще-то. Только учти, что многие приложения при установке добавляют для себя правило в таблицу файрвола (поэтому ты не видишь предупреждения), а могут они это делать потому что инсталяторы обычно запускаются с админскими правами.
> Под рутом не работай. В том числе под виндой. Сделай себе пользовательскую учётку и сиди под ней. А лучше несколько. Например, игровая, порнодрочильная, семейно-фоточная, двачесетевая. Будет неудобно, да. Настрой права так, что из под любой из учёток не сможешь открыть данные соседних. Каким бы хитровыебанным не был вирус, он не пробьётся к твоим фотачкам, если ты сидишь в инете, самой опасной будет эта учётка.
> Я сам сейчас под админом сижу. Чот забеспокоился. Пойду понижу себе права.
Не совсем то, но я думаю пойдет.
https://vz.ru/news/2017/5/12/870062.html
У тебя не будет вирусов, если твой компютер не может запускать программы вообще.
Действительно не то, но тоже включил.
Есть такое же для сетевых подключений?
Не буду, вдруг ещё комп заберёт.
Как проверять открытые порты вообще? Стоит роутер, хз как там настраивать блокировку. Надо прописывать исходящий и входящие порты плюс айпи тоже. В 2ip все порты закрыты. В netstat 445 порта нету, но есть 135 порт, которые юзают две системные службы и отключить их невозможно.
Закрывай порты 135, 137, 138, 139, 445 в виндузятном Брендмауэре, если не стоит сторонний фаерволл.
Пуск -> панель управления -> Брендмауэр шиндовс -> дополнительные параметры -> правила для входящих подключений -> создать правило... -> для порта -> далее -> поставить галку протокол ТСP, в поле ввести номер порта -> далее -> блокировать подключение -> далее -> вводишь любое имя -> готово
Проделываешь тоже самое для тех же портов ставя галку напротив UDP.
Есть много эксплоитов на повышение привилегий. Может и не спасти.
Не ссы.
* Открываем "Панель управления -> Программы и компоненты - Включение и отключение компонентов Windows". Находим "Поддержка общего доступа к файлам SMB 1.0/CIFS", отключаем.
И всё.
Это для десятой видны. На седьмой надо отключать по другому.
Это верно.
Способов всего три. Для хр, 7 и 8-10.
Про висту не в курсе. Да и кому она нужна?
Значит вероятность заражения отсутствует.
Но вот я узнал что у нее есть какие-то порты и что через интернет к ним может кто-то попытаться подключится и взломать комп. Насколько реальна эта угроза?
Если:
а) пароль на компе есть
б) если его нет
в) если сидишь не из под админа
Г) или если просто обнаружится уязвимость системы, которая позволит провернуть такое. или же подобное исключено?
И последнее: Если ответ ДА, то это же ПИЗДЕЦ. Чистая свежая винда полностью пассивная только с доступом в интернет может быть скомпрометирована?
Вопрос: как корректно ликвидировать такую угрозу?
С инструкцией, как отрубать эти порты и т.д. а та же просто интересует матчасть, расскажите про эту хуйню в образовательных целях, пожалуйста.
Вот такие новости меня заставили задуматься:
>Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
>Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
>В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
>В этом наборе есть опасный инструмент DoublePulsar.
>Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
>Мы закрыли 445 порт и рекомендуем ставить MS 17-010 нашим клиентам.