Безопасность в интеренте, Обсуждение проблем безопасности, настройка файрволов, описание уязвимо Опции

[Z@RrAZza]

хисэм вот ты упертый. я тебе про одно ты мне про другое. или не знаешь что ответить. хорошо развею твои заблуждения. чтобы народ не повелся на этот твой развод.
заблуждение рас:

тарелкин - я имел ввиду каспер покатит тем, у кого нету мозгов на номаный файр.
А дома круто натсроенный файр будет лишним

видел я каспера. старого правда. не глядел на нового что с 6м антивирем в комбайне. так вот практически копия агнитума. и настройки из той же оперы. т.е. на первом месте контроль компонентов. галабльные настройки на таком уровне что кажутся соврешенно не гибкими. есть определенный набор известный ткомо самой проге если писать свои рулезы не уверен что прога их адекватно обрабатывать будет. к чему это ведет. видел я эти случаи. дыр столько что мама не горюй. т.к. простой юзверь не заморачивается и разрешает компонентам все. хехе) ему кажется что значек в трее горит. значит защищает. а то что практически все компоненты в разрешенных висят его не волнует. и скажи какая тут защита?
нормальный фаер задает юзверю минимум вопросов и все работает. и главное все защищается. а для такого каспер точно не подходит. и агнитум в том числе. потому как писалось выше через месяцок юзания ламером это дыра а не фаер. не скажу что это плохие файрволы. нет конечно. но не для тех кто привых жать только кнопку да.
заблуждение ту:

Лмион по этому поводу уже говорил... читай внимательно. У тебя же дома не база данных всех жителей города или секретная информация. А личку можно скрыть от всех простейшими способами

перефразирую. мол нафиг кому я нужен. поэтому и защищаться не обязательно. так думает мальчик петя который гамает в свои гамы и ни о чем не замарачивается. только часты случаи когда мама приносит работу на дом. только петя про это не думает. у него же ни каких секретов нет. или если петин комп затроянили и через него поломали другой комп. как такой петя потом докажет что он не лось? или опять же самое распространенное, петин комп выступает в качестве бота ddos атаки. как ты думаешь кто будет за трафик платить. хакер или мальчик петя? прову по барабану что тебя порутили. трафик есть, плати. опять же я думаю что как минимум логин пасс на соединение на емайл или на аську есть у всех. и чтобы у тебя их сперли ты не хочешь. можно конечно сказать мол нафиг мои мыло левое или аська девятизнак. смогу тебя расстроить надо. но это другой разговор. опять же гемор по восстановлению контактов даже того минимума что есть, стоит того чтобы изначально защититься.

[хисэм]

Разве я писал что каспер такой великолепный и хороший?... да фтопку его! и вообще он больше по вирусам чем по защите от атак.
Конечно я ценю твои познания, но так пафосно их написать. У меня много знакомых сисадминов так чтож нечего меня грузить

Сообщение отредактировал хисэм - 8.10.2006, 19:42

[Z@RrAZza]

Разве я писал что каспер такой великолепный и хороший?... да фтопку его! и вообще он больше по вирусам чем по защите от атак.
Конечно я ценю твои познания, но так пафосно их написать. У меня много знакомых сисадминов так чтож нечего меня грузить

нормальный фаер каспер. именно как фаер стабильнее и безопаснее того же комбайна агнитума. тока руки к нему нужны прямые.

[Limon]

Это называется СПАМ и отсеивается фильтром спама (Бэт, Оутлук), зачастую это правда. Напрямую никогда не работаю, только через курьерскую службу или через почту.

[father]

BlackICE PC Protection - вот так называется моя защита...
Думаю продвинутым пользователям это название ни о чем не говорит...
Ну для тех кому интересно, в двух стволах...:
На самом деле ни какой атаки не происходит. Атака проглатывается, атакующий даже не подозревает о существовании моей машины...

[Z@RrAZza]

вопрос для всех.
кто пользуется сервисом летитбит?
если пользуетесь каким способом получаете ссылки?

[windowlicker]

вопрос для всех.
кто пользуется сервисом летитбит?
если пользуетесь каким способом получаете ссылки?

Я пользовал... через плагин к файрфоксу получал... сначала не очень доверял этому сайту, особенна когда раньше там надо было их приложение устанавливать... но потом заметил что многие сайты начали юзать этот сайт - стал относиццо проще - устанавливаю плагин - скачиваю нужное - удаляю плагин =))

[Altair]

я пользовался... как и поззер сначала смотрел на все это дело с опаской... но через некоторое время решился и поставил их програмку... пока никто не умер...

[SaNMaN]

я пользовался... как и поззер сначала смотрел на все это дело с опаской... но через некоторое время решился и поставил их програмку... пока никто не умер...

Хмм...А я вот по прежнему не доверяю-ставится программа, а каспер опознает ее как программа-реклама...даж не знаю кому верить а кому нет.

[Altair]

касперыч слишком подозрительный и шизофренический антивирь... мой симантек корпорейт ни слова не сказал о их проге

[Bakugan]

А я всегда доверял и буду доверять касперу. У меня вечно пробные версии, зато самые последние, скаченные.

[Z@RrAZza]

премабула

говорить о том что антивирусы видят в фарбите и в битакселетраторе вирусы я не буду. это и так все знают.
первый это плагин для фарфокса второй для ие. сущетсвует еще и для оперы скрипты но я про них ничего не могу сказать.

амбула.

лично я пользовался утилитой фулурл. очень удобная штука. скармиливашь ей ссылку летитбитовскую и получаешь прямую ссыль к файлу. и можно лить тем же дм в один поток но зато с докачкой.

прознали про это летитбитовцы. сперва меняли скрипты потом и капчи подабовляли но фул урл жил и нормально давал ссылки на файло. в результате вышли на хостера зеке ру. сайта который распространял фул урл. для того чтобы закрыли ресурс. не получилось. вышли на разрабов тоже не договорились. в этой войне был эпизод когда ддосили сайт зеке ру. причем был нормальный распереденный ддос вот ссыль на отчет. как видно ддосили именно те у кого все эти утилиты(ба и фб) и установлены. делается это за счет перенаправления запросов. никто же не мешает отправить запрос на нужный ему скрипт. вобщем имеет летитбит свою распределенную цепь ботов. ха и вполне "легально".

постамбула

вобщем есть в сети несколько логов переговоров между летитбитовцами и хостерми, создателями фулурл. вот одна из фраз(цитати из переписки между летитбитовцами и разрабом фулурла)

Mr.Max - Zeke.RU (12:57:00 31/03/2008)
вопрос тогда такой

-------------------------------------->-
Mr.Max - Zeke.RU (12:57:15 31/03/2008)
БА работает только на IE верно?

--------------------------------------<-
letitbit.net (12:57:23 31/03/2008)
нет

--------------------------------------<-
letitbit.net (12:57:32 31/03/2008)
под лису есть фаербит это одно и тоже

и еще почему на сайтах так распространяются ссылки на летитбит.

-------------------------------------->-
Mr.Max - Zeke.RU (12:01:48 31/03/2008)
тогда такой вопрос: Как вебмастера вознаграждаются?

--------------------------------------<-
letitbit.net (12:02:14 31/03/2008)
Вебмастера вознаграждаются в тот момент, когда по их ссылке пользователь устанавливает себе БА

вобщем каждмоу решать становиться или нет чьимто ботом.

[Гришкин сын Сашк...]

Как узнать, что это за адрес 91.202.99.17? Сайт 2ip показал следующее:

Проверка
Соединяюсь с whois.ripe.net:43...
Соединение с whois.ripe.net:43 установлено, ждите...
(IP/Domain: 91.202.99.17)
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '91.202.96.0 - 91.202.99.255'

inetnum: 91.202.96.0 - 91.202.99.255
netname: KOMPLEKSNIYE-SISTEMI-NET
descr: NTC Komleksniye Sistemi Ltd.
country: RU
org: ORG-NKSL1-RIPE
admin-c: KVN40-RIPE
tech-c: KVN40-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-by: MNT-KOMPLEKSNIYE-SISTEMI
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-routes: MNT-KOMPLEKSNIYE-SISTEMI
mnt-domains: MNT-KOMPLEKSNIYE-SISTEMI
source: RIPE # Filtered

organisation: ORG-NKSL1-RIPE
org-name: NTC Komleksniye Sistemi Ltd.
org-type: OTHER
address: Russia, Moscow, Verhnyaya Krasnoselskaya str., h. 2/1, sect. 1
e-mail: kvn@comsistema.com
mnt-ref: MNT-KOMPLEKSNIYE-SISTEMI
mnt-by: MNT-KOMPLEKSNIYE-SISTEMI
source: RIPE # Filtered

person: Kuznetsov Vitaliy Nikolayevich
address: Russia, Moscow, Verhnyaya Krasnoselskaya str., h. 2/1, sect. 1
phone: +7 (495) 967-9018
nic-hdl: KVN40-RIPE
source: RIPE # Filtered

% Information related to '91.202.96.0/22AS44621'

route: 91.202.96.0/22
descr: NTC Kompleks syst
origin: AS44621
mnt-by: MNT-KOMPLEKSNIYE-SISTEMI
source: RIPE # Filtered

% Information related to '91.202.99.0/24AS44621'

route: 91.202.99.0/24
descr: NTC Komleksniye Sistemi Ltd.
origin: AS44621
mnt-by: MNT-KOMPLEKSNIYE-SISTEMI
source: RIPE # Filtered


Соединение разорвано.

Днем подключался к инету, фаервол показал, что с этого адреса скачано 20Мб, хотя я его не открывал. Вечером то же подключился, с этого адреса мой комп засосал 40Мб. Куда он их засосал, что это за объем? Из чего он состоит? Где его посмотреть? Что это за Komleksniye Sistemi Ltd?
Очень интересно.

[DmZeitgeist]

sa-12,

Куда он их засосал, что это за объем?

А кто засосал разве не видно? Файрвол твой не показывает какие процессы в интернет ходят?

[-NitroJuice-]

Мы все под колпаком

[Гришкин сын Сашк...]

sa-12,

А кто засосал разве не видно? Файрвол твой не показывает какие процессы в интернет ходят?

Касперский Анти-хакер не поазывает.


Я въехал. При открытии сайта ruschudo.ru, с него автоматически закачиваются ролики *.flv. В папке Temporary Internet Files они благополучно лежат.
Вот только почему меня не спрашивается, хочу ли этого.

[father]

премабула

говорить о том что антивирусы видят в фарбите и в битакселетраторе вирусы я не буду. это и так все знают.
первый это плагин для фарфокса второй для ие. сущетсвует еще и для оперы скрипты но я про них ничего не могу сказать.

амбула.

лично я пользовался утилитой фулурл. очень удобная штука. скармиливашь ей ссылку летитбитовскую и получаешь прямую ссыль к файлу. и можно лить тем же дм в один поток но зато с докачкой.

прознали про это летитбитовцы. сперва меняли скрипты потом и капчи подабовляли но фул урл жил и нормально давал ссылки на файло. в результате вышли на хостера зеке ру. сайта который распространял фул урл. для того чтобы закрыли ресурс. не получилось. вышли на разрабов тоже не договорились. в этой войне был эпизод когда ддосили сайт зеке ру. причем был нормальный распереденный ддос вот ссыль на отчет. как видно ддосили именно те у кого все эти утилиты(ба и фб) и установлены. делается это за счет перенаправления запросов. никто же не мешает отправить запрос на нужный ему скрипт. вобщем имеет летитбит свою распределенную цепь ботов. ха и вполне "легально".

постамбула

вобщем есть в сети несколько логов переговоров между летитбитовцами и хостерми, создателями фулурл. вот одна из фраз(цитати из переписки между летитбитовцами и разрабом фулурла)

и еще почему на сайтах так распространяются ссылки на летитбит.
вобщем каждмоу решать становиться или нет чьимто ботом.

а я использую вот этот ресурс. Вполне удобно
ссылки получает и отдает, вот только докачка условная, до первой перезагрузки машины.
Я тут переоценил возможности своего компа и переразогнал, до зависания. Завис ночью. Перегружал утром. Так вот докачку не делает после перезагрузки.
А удобство заключается в том, что качается одним файлом Не надо отслеживать части.
В общем ни когда не был клиентом таких странных услуг, где нужно было бы скачивать что-то себе на машину, для их удобства.
Вот, то же лог переговоров
Очень показательный:

<ICQ-773776 letitbit.net (14:35:00 18/02/2008)
Здравствуйте.

Я являюсь представителем проекта letitbit.net. Меня зовут Сергей Владимирович. У одного из ваших клиентов размещен
скрипт нарушающий работу нашего проекта.Адрес http://xxxx.org/direct_download.html (доступно после регистрации.)
Хозяин сайта никак не реагирует. Просьба переговорить с вашим клиентом. Нам бы не хотелось идти куда то дальше.
Отнеситесь с пониманием. Мы будем взаимны.

Спасибо

MacHoster.Ru (14:48:11 18/02/2008)
Понимаете это варезник.. которых в сети много. прошу писать ему жалобу на данные. Email:xxxx@yandex.ru
. И еще если вы предоставите документы о том что файло-обменник это частное лицо фирмы ООО. letitbit.net Тогда уже будем искать разработчика скрипта и удалять его с сервера. Т.к авторские права и компания ваша. Жду всю информацию на почту company@machoster.ru Спасибо. Да и лучше сразу писать такие письма на почту.

MacHoster.Ru (14:50:39 18/02/2008)
Кстате я не советую вам громко кричать о легальности. В новостях пишут что ваша фирма распростроняет в прогармах еселераторах трояны. http://www.softlenta.com/ru/document/57576

Печально он известен тем, что предлагает для скачки с себя файлов установить свой клиент для скачки с именем BitAccelerator. И хотя те, кто греют руки на файлообменнике (почитайте форум этих спекулянтов и мошенников), кричат на всех углах, что данный клиент для скачки не содержит троянов и шпионов, сама программа имеет в себе троян-технологию передачи множества данных с компьютера владельца на сайт скачки, за что на владельцев хостинга компания Eset Russia подавала в суд.

ICQ-773776 letitbit.net (14:52:45 18/02/2008)
> Понимаете это варезник.. которых в сети много. прошу писать ему жалобу на данные. Email:xxxx@yandex.ru

Никак не реагирует.

> . И еще если вы предоставите документы о том что файло-обменник это частное лицо фирмы ООО. letitbit.net Тогда уже будем искать разработчика скрипта и удалять его с сервера. Т.к авторские права и компания ваша.

Авторские права нас не волнуют. Кто там писал скрипт и зачем.
Данный скрипт нарушает нормальную работу сервиса. Можем предоставить логи.

А пишут много чего. Я у вас лицензию на телематические услуги не спрашиваю же

MacHoster.Ru (14:54:39 18/02/2008)
У нас она есть. Извините ребята ни чем не могу помочь. Лучше соблюдайте свои права. а то скоро ваш обменник прикроют. Даже хорошо что нашлись програмисты которые обходят трояна ..

ICQ-773776 letitbit.net (14:55:09 18/02/2008)
мм...вот так оно значит Такой тон задаём. Окей. Удачи вам

MacHoster.Ru (14:55:57 18/02/2008)
Кстате довольно странно что еще никто не пожаловался с ДЦ у которых там выделенные серверы стоят. и експлоит или троян на них находится.

ICQ-773776 letitbit.net (14:56:39 18/02/2008)
все, спасибо за ответы и советы. Удачи

MacHoster.Ru (14:56:47 18/02/2008)
И вам удачи.>

Сообщение отредактировал father - 21.5.2008, 7:17

[jar]

Бугагища, какой-то козел, поменял мне пароль на аське! еле возвернул его обратно, как такое возможно?

пароль сменил, основную почту сделал не на мэйл ру сижу думаю теперь...как такое могло случиться.

вроде кроме своего рабочего компа пароль не сохранял нигде, хотя пароль тупейший был терь научен горьким опытом ввел девятизначный

[-NitroJuice-]

Бугагища, какой-то козел, поменял мне пароль на аське! еле возвернул его обратно, как такое возможно?

Легко и просто. Пинч или брут.

UP

терь научен горьким опытом ввел девятизначный

Максимальная длина пароля - 8 знаков

Сообщение отредактировал -NitroJuice- - 26.5.2008, 12:24

[jar]

ну я не считал сколько туда знаков влезло, набираю по привычке

перебор - понятно

а что есть пинч?

вопрос снят

[-NitroJuice-]

Пинч - троянская программа для IM-клиентов. Часто модифицируется и остается незамеченой для популярных антивирусных приложений. Ранее модифицированые версии ловит утилита AntiPinch.

[jar]

да-да, прочитал уже и ужаснулся

[infinity]

Переустановив винду из true-image-образа, в очередной раз наблюдаю.... есть комментарии?






сдесь много несказанного....

[infinity]

ненадолго исключил ICMP. К сожалению весь.

[infinity]

вы могли бы обратить внимание на процессы с неизвестным портом (n/a)

[infinity]

глобальных или каких-нибудь других правил для нижнего процесса <SYSTEM> сделать невозможно вообще... а при блокировании нижнего LSASS правила наследуются верхними 2-мя и исключить это невозможно...

[Pavlentiy]

Вообще-то файервол не является специализированным приложением для идентификации процессов. Попробуй ProcessExplorer для начала.

[infinity]

спасибо за программу, едва нашёл русифицированную, но всё же... а процессы видит те же, только процессы в agnitum иначе рассортированы.

у них ip-адрес динамический, но это роли не сыграет... есть ip абонента в конкретное время, этого будет достаточно для СЗТ.

[infinity]

кстати, в process explorer не надо искать свойства/настройки/прочее приложения внутри правил приложений через настройки (абракадабра...), процесс виден в нескольких экземплярах как dns- или web-клиент, удобно.


(изменил абракадабру на верную)))

[infinity]

люди пожалуйста ответьте... кто ближе знаком с работой СЗТ ?

[infinity]

ура, узнана вся необходимая информация...


Ждём весёлых новостей, имена и ники будут опубликованы в данной теме (не сегодня, сегодня наведу с помощью СЗТ порядок)...

[infinity]

а эта картина - особенная...

[Logotip]

ЖЖ инфинити

[Nikorl]

PrintScreen освоил? Молодец!
Теперь изучай как делать миниатюры, чтобы не рвать людям браузеры.
Там глядишь и до сетевых хитростей дойдешь...

З.Ы.
Что подразумевается под "true-image-образом"?

[infinity]

ой какой молодец, картинку режешь...


Acronis True Image, 11-я версия, загрузка "из под DOS" (в "современных ОС" начиная с 98 без самой DOS), то есть до винды, чтобы час привод с болванкой не юзать, всё решается за 10-ть минут.

(смайл)

[Nikorl]

Ок.
Задаю вопрос по другому: Что это за винда? Сборка какая-то?

[infinity]

зверь 9.9.9
wpi 3.3

время летит...

[Nikorl]

Это многое объясняет.
Взять оригинальный тыренный прямо из майкрософт дистрибутив религия не позволяет?
Научно доказано, поставил сборку - не удивляйся ни на что.

[Altair]

а вам не говорили что все эти звересборки - полный кал? вообще любые сборки...

[infinity]

там вроде все обновления безопасности, если не ошибаюсь...)

ошибаюсь... буду качать обновления...

[infinity]

кстати... эти навозные клопы заблокировали мне 2 почтовых ящика и аккаунт на torrents.ru... это 2 статьи УК.

если совсем лишь малость пошевелить мозгами, становятся понятными данные о этих "героях"...

сдесь много несказанного....

вот...

[infinity]

у них есть возможность не только пользоваться каким-нибудь брутфорсом, они изначально знают в определённые моменты ip-адрес, у них изначально есть сведения о некоторых паролях... понимаете, о каких я говорю ничтожествах? они изначально могут лезть в личку, одна (один?) знакомых могла полезть в личку знакомому всем персонажу и ещё много чего...

но всё это, естественно, предположения и до момента абсолютных доказательств (официальных бумаг) здесь разглашено не будет. Правила бана читаем здесь же. Никаких правил не нарушено, имею право написать.

то есть эта знакомая имеет с ними определённую связь.

вспоминаем.

[steder]

Это паранойя. Поставьте нормальную официальную сборку. Или продолжайте ловить в своей сборке троянов. Почему то когда у меня завелся один раз троян, создававший левый траффик (только так о нём и узнал), я просто его прибил и дальше работаю. Работал он из под services.exe

[Nikorl]

у них есть возможность не только пользоваться каким-нибудь брутфорсом, они изначально знают в определённые моменты ip-адрес, у них изначально есть сведения о некоторых паролях... понимаете, о каких я говорю ничтожествах? они изначально могут лезть в личку, одна (один?) знакомых могла полезть в личку знакомому всем персонажу и ещё много чего...

Как найдешь этих злобных кулхацкеров огласи имена, я им пива поставлю.

[AMYudin]

PrintScreen освоил? Молодец!
Теперь изучай как делать миниатюры, чтобы не рвать людям браузеры.
Там глядишь и до сетевых хитростей дойдешь...

я думаю применение в данной ситуации альт+принтскрин даст вполне нормальный результат, без углубления в тонкости графических редакторов для создания миниатюр :-)

[Nikorl]

я думаю применение в данной ситуации альт+принтскрин даст вполне нормальный результат, без углубления в тонкости графических редакторов для создания миниатюр :-)

Это стандартная функция редактора сообщений лол, какие графические редакторы?

[infinity]

Это паранойя. Поставьте нормальную официальную сборку. Или продолжайте ловить в своей сборке троянов. Почему то когда у меня завелся один раз троян, создававший левый траффик (только так о нём и узнал), я просто его прибил и дальше работаю. Работал он из под services.exe

Спасибо, уже скачал все критические и второстепенные обновления, сейчас перезагружу комп и схожу в СЗТ, дальше посмотрим.

[Kreg]

Сколько энергии зря пропадает :-)
А что ты хочешь от СЗТ я так и не понял?

[Nikorl]

Сколько энергии зря пропадает :-)
А что ты хочешь от СЗТ я так и не понял?

Он наивно полагает что ему там кулхацкеров сдадут.

[AMYudin]

Это стандартная функция редактора сообщений лол, какие графические редакторы?
[attachment=8571:attachment]

круть-крутовская :-)
я предложил общий метод решения данной проблемы, редакторы сообщений на всех форумах разные и вникать в их тонкости нет ни времени, ни желания :-)