» »

Povezave na neznano stran

Povezave na neznano stran

marsovcek ::

Slučajno sem opazil, da imam cel kup (cca 10) povezav na stran blackhat.co.il; vse so v stanju close_wait. Če za kratek čas onemogočim omrežje, izginejo.

Zanima me, kaj bi to bilo, predvsem če je kaj škodljivega?

Sistem:
WinXP, v omrežje povezan čez IPCop (z Block outgoing traffic), lokalno teče Apache server. Sistem je preverjen z Ad-aware, Avira Antivir in on-line Pandinim skenerjem. Brez posebnosti, nobenega skena pa nisem delal v varnem zagonu.

Ugotovitve:
Če stran vpišem v google, dobim par zadetkov v izraelščini :\. Direkten vpis URLja mi izpljune 403-Forbidden.

Še boljši del: pred dnevi je njihov server očitno bil slabo nastavljen, tako da sem ob vpisu URLja videl vse datoteke na serverju >:D . Seveda sem si snel vseh 5 php-jev, a si ne znam razložiti njihove vsebine. (Poskusil sem se tudi povezati z njihovo SQL bazo, pa mi ni uspelo ;( ). Če kdo želi analizirati, so datoteke tukaj.

marsovcek ::

Nobene ideje?

No, v vmesnem času sem si inštaliral še Kaspersky-a, ki tudi ni našel nič posebnega. Sem pa opazil v registru vnos, da se ob vsakem zagonu požene %windir%\system32\system.exe.:\

File je imel zelo "svež" datum, zato sem ga preveril na virustotal.com, kjer tudi niso nič našli. Vseeno sem ga poslal v obdelavo še na Kaspersky.

Zaključek: v roku štirih ur so sporočili, da se v tem skriva nek neumen trojanec in čez pol ure je že bil v updatu. Register sem ročno počistil, okuženo datoteko in par podobnih zbrisal, zdaj pa ponovno poganjam AV. Povezava se s tem ne pojavlja več, upam samo, da svinje niso dobile preveč mojih podatkov...

R33D3M33R ::

Heh in kaj bi z njimi? Če je okuženih par tisoč PCjev se nabere tekstovnih podatkov kot smetja. Ker nisi angleško pisajoč (ali pač) uporabnik, te filtri verjetno kar odstranijo (ja kje bodo pa našli prevajalca za slovenščino v Izraelu, ki bi se ukvarjal z nelegalnimi stvarmi :)
Tako da brez skrbi. Sicer pa: nimaš firewalla? HItro ga namesti!
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Daedalus ::

// логин
$user = "root";
// пароль
$pass = "darkpower";

Khm, khm:D Pa ssh tud lavfajo, khm:D
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

marsovcek ::

Kdaj pa kdaj že kako angleško napišem 0:). Edina realna skrb so mi emajli (gmail, yahoo, gmx,...), kateri so vsi v svetovnih jezikih. Sem pa preventivno že zamenjal gesla.

Firewall je, hardverski - IPCop. S povprečno 10 zadetki na minuto se občasno kar znoji :D .

amigo_no1 ::

Preveri še za trojance.

R33D3M33R ::

Meni je pri softwerskih firewallih všeč to, da te vprašajo za vsak program ali ga prepustiš ali ne. To je neprecenljivo.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

poweroff ::

Ja, splača se imeti forewall TUDI za odhodne povezave.

Daedalus: how lame :-)
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

Anti-virus programi (strani: 1 2 3 447 48 49 50 )

Oddelek: Informacijska varnost
2496654116 (11653) Domini tm
»

Kateri firewall? (strani: 1 2 3 4 5 6 7 8 9 )

Oddelek: Informacijska varnost
413131952 (21439) Qushaak
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15444361 (26401) BorutK-73
»

Vdor v Gmail

Oddelek: Pomoč in nasveti
237029 (5683) Ericssony
»

antivirus (strani: 1 2 3 )

Oddelek: Programska oprema
10711836 (9199) frikihamster

Več podobnih tem