Forum » Pomoč in nasveti » Povezave na neznano stran
Povezave na neznano stran
marsovcek ::
Slučajno sem opazil, da imam cel kup (cca 10) povezav na stran blackhat.co.il; vse so v stanju close_wait. Če za kratek čas onemogočim omrežje, izginejo.
Zanima me, kaj bi to bilo, predvsem če je kaj škodljivega?
Sistem:
WinXP, v omrežje povezan čez IPCop (z Block outgoing traffic), lokalno teče Apache server. Sistem je preverjen z Ad-aware, Avira Antivir in on-line Pandinim skenerjem. Brez posebnosti, nobenega skena pa nisem delal v varnem zagonu.
Ugotovitve:
Če stran vpišem v google, dobim par zadetkov v izraelščini . Direkten vpis URLja mi izpljune 403-Forbidden.
Še boljši del: pred dnevi je njihov server očitno bil slabo nastavljen, tako da sem ob vpisu URLja videl vse datoteke na serverju . Seveda sem si snel vseh 5 php-jev, a si ne znam razložiti njihove vsebine. (Poskusil sem se tudi povezati z njihovo SQL bazo, pa mi ni uspelo ). Če kdo želi analizirati, so datoteke tukaj.
Zanima me, kaj bi to bilo, predvsem če je kaj škodljivega?
Sistem:
WinXP, v omrežje povezan čez IPCop (z Block outgoing traffic), lokalno teče Apache server. Sistem je preverjen z Ad-aware, Avira Antivir in on-line Pandinim skenerjem. Brez posebnosti, nobenega skena pa nisem delal v varnem zagonu.
Ugotovitve:
Če stran vpišem v google, dobim par zadetkov v izraelščini . Direkten vpis URLja mi izpljune 403-Forbidden.
Še boljši del: pred dnevi je njihov server očitno bil slabo nastavljen, tako da sem ob vpisu URLja videl vse datoteke na serverju . Seveda sem si snel vseh 5 php-jev, a si ne znam razložiti njihove vsebine. (Poskusil sem se tudi povezati z njihovo SQL bazo, pa mi ni uspelo ). Če kdo želi analizirati, so datoteke tukaj.
marsovcek ::
Nobene ideje?
No, v vmesnem času sem si inštaliral še Kaspersky-a, ki tudi ni našel nič posebnega. Sem pa opazil v registru vnos, da se ob vsakem zagonu požene %windir%\system32\system.exe.
File je imel zelo "svež" datum, zato sem ga preveril na virustotal.com, kjer tudi niso nič našli. Vseeno sem ga poslal v obdelavo še na Kaspersky.
Zaključek: v roku štirih ur so sporočili, da se v tem skriva nek neumen trojanec in čez pol ure je že bil v updatu. Register sem ročno počistil, okuženo datoteko in par podobnih zbrisal, zdaj pa ponovno poganjam AV. Povezava se s tem ne pojavlja več, upam samo, da svinje niso dobile preveč mojih podatkov...
No, v vmesnem času sem si inštaliral še Kaspersky-a, ki tudi ni našel nič posebnega. Sem pa opazil v registru vnos, da se ob vsakem zagonu požene %windir%\system32\system.exe.
File je imel zelo "svež" datum, zato sem ga preveril na virustotal.com, kjer tudi niso nič našli. Vseeno sem ga poslal v obdelavo še na Kaspersky.
Zaključek: v roku štirih ur so sporočili, da se v tem skriva nek neumen trojanec in čez pol ure je že bil v updatu. Register sem ročno počistil, okuženo datoteko in par podobnih zbrisal, zdaj pa ponovno poganjam AV. Povezava se s tem ne pojavlja več, upam samo, da svinje niso dobile preveč mojih podatkov...
R33D3M33R ::
Heh in kaj bi z njimi? Če je okuženih par tisoč PCjev se nabere tekstovnih podatkov kot smetja. Ker nisi angleško pisajoč (ali pač) uporabnik, te filtri verjetno kar odstranijo (ja kje bodo pa našli prevajalca za slovenščino v Izraelu, ki bi se ukvarjal z nelegalnimi stvarmi :)
Tako da brez skrbi. Sicer pa: nimaš firewalla? HItro ga namesti!
Tako da brez skrbi. Sicer pa: nimaš firewalla? HItro ga namesti!
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Daedalus ::
// логин
$user = "root";
// пароль
$pass = "darkpower";
Khm, khm Pa ssh tud lavfajo, khm
$user = "root";
// пароль
$pass = "darkpower";
Khm, khm Pa ssh tud lavfajo, khm
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
marsovcek ::
Kdaj pa kdaj že kako angleško napišem . Edina realna skrb so mi emajli (gmail, yahoo, gmx,...), kateri so vsi v svetovnih jezikih. Sem pa preventivno že zamenjal gesla.
Firewall je, hardverski - IPCop. S povprečno 10 zadetki na minuto se občasno kar znoji .
Firewall je, hardverski - IPCop. S povprečno 10 zadetki na minuto se občasno kar znoji .
R33D3M33R ::
Meni je pri softwerskih firewallih všeč to, da te vprašajo za vsak program ali ga prepustiš ali ne. To je neprecenljivo.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
poweroff ::
Ja, splača se imeti forewall TUDI za odhodne povezave.
Daedalus: how lame :-)
Daedalus: how lame :-)
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
! | Anti-virus programi (strani: 1 2 3 4 … 47 48 49 50 )Oddelek: Informacijska varnost | 654116 (11653) | Domini tm |
» | Kateri firewall? (strani: 1 2 3 4 5 6 7 8 9 )Oddelek: Informacijska varnost | 131952 (21439) | Qushaak |
» | Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 44361 (26401) | BorutK-73 |
» | Vdor v GmailOddelek: Pomoč in nasveti | 7029 (5683) | Ericssony |
» | antivirus (strani: 1 2 3 )Oddelek: Programska oprema | 11836 (9199) | frikihamster |