Хайде по-сериозно - сега точно заради теб съм с Panda IS 2014... Нали снощи уж аз спамих...

 
Ти случайно да ми виждаш спамерският пост? Представяш ли си ТИ колко постове трябва сам да си докладваш.

 

Ти случайно да ми виждаш спамерският пост? Представяш ли си ТИ колко постове трябва сам да си докладваш.

 

Ще ми е много трудно да го направя - защото по нещо ми харесва във всички програми. Като фен на всички - на себе си ли да се докладвам?  Това вече е и смешно.   Стига само с този Касперски, виж предимства и при останалите... Има такива.

Hacking Windows XP using IP Address (Metasploit)Кошмаротворно четиво за продължаващите да ползват отлъченото по-рано тази година 12 годишно отроче на M$.Всяко дете с Kali Linux, дори без да знае как да работи с конзолният интерфейс на Metasploit (msfconsole), може през графичният инструмент Armitage да ви own-не XP машинката, като използва готовата база данни с експлойти на Metasploit, в която е включен и експлойта, възползващ се от описаната в началото на статията по-горе уязвимост в Server Service, открита (видно по CVE номера) още през 2008 година, непачната през 2012, когато е писана статията, и работеща и до днес, след края на поддръжката (а познайте що), както се вижда на видеото по-долу:http://youtube.com/watch?v=SJZ5zj5YYGYА е толкова лесно да се burn-не едно CD или да се направи една флашка с Lubuntu или с максимално близката по интерфейс до XP, Debian базирана дистрибуция Q4OS, и да се спи спокойно, ма...

Редактирано 25 юли 201411 г. от programings (преглед на промените)

То да е само това....С Kali-то чудеса се правят, само малко да поназнайваш англ. и да имаш време да се ровиш!

Registry Manipulation Using NT Native APIs или как начина по който Regedit в Window$ чете имената на ключовете (чрез Win32 API), позволява скриването на ключове с използването на т.нар. "embedded nulls" в името.

Нещо от което се възползват много вирусописачи, например авторите на скоро откритият Win32/Poweliks, за да "крият" ключове в регистъра.

Доста интересна гад борим с колегите тези дни в доста теми (но смея да твърдя, че аз и още двама колеги след две безсънни нощи я разгадахме и ще се опитаме да обясним на авторите на инструментите как да я засичат и премахват)... Базирана е на тази твар...

П.С: Всъщност, така и не разбрах първоначално по какъв начин става заразяването, т.е. кое сваля Powershell и добавя registry key-овете?

Някакво executable ли?

Редактирано 26 юли 201411 г. от programings (преглед на промените)

Registry Manipulation Using NT Native APIs или как начина по който Regedit в Window$ чете имената на ключовете (чрез Win32 API), позволява скриването на ключове с използването на т.нар. "embedded nulls" в името.Нещо от което се възползват много вирусописачи, например авторите на скоро откритият Win32/Poweliks, за да "крият" ключове в регистъра.

 

Поне открихме как да се борим с него преди да го докладваме в kernelmode. (пост 481 от тази тема).

Колеги, някой може ли да ми обясни това?

 

 

Този сайт дава такава информация за IP-то: http://whatismyipaddress.com/ip/94.206.184.18

 

Методи,на кой доставчик си?...Може и на "лични"...

Редактирано 26 юли 201411 г. от NIKISHARK (преглед на промените)

Този сайт дава такава информация за IP-то: http://whatismyipaddress.com/ip/94.206.184.18

 

Методи,на кой доставчик си?...Може и на "лични"...

Е поне споделете, от какво е това. И кой е сайта. Ако може. Някъде от арабските държави, като гледам. Да не станем 'терористи'

Редактирано 26 юли 201411 г. от ghostBG86 (преглед на промените)

Колеги, някой може ли да ми обясни това?

Най-вероятно някой или нещо (не е задължително да е човек зад машина, може някой от сървърите на доставчика ти и след тях да проверява свързаността до теб) те ping-ва със зададен по-голям payload на пакетите и с вдигнат флаг за фрагментация.

Или пък без последните две, но на много кратки интервали.

Това не може по никакъв начин да повлияе на която и да е модерна операционна система (дните на smurf.c отдавна са минало), но защитните стени са чувствителни, и предупреждават за всичко.

Ако ти е много любопитно, пусни един Wireshark или друг снифър, напиши във филтъра ICMP, и виж source-а на идващите пакети.

Предполагам не си зад рутер? Ако имаш публично IP и не си зад рутер, източника може да е всеки в глобалната мрежа. Ако си в локалната мрежа на доставчика си, логично само от там.

Дай изход от командата netstat -s, ICMP частта, да видим пък да не би ping-а да е в резултат на някакъв packet loss, и проверяващи свързаността до теб постоянно звена.

Редактирано 26 юли 201411 г. от programings (преглед на промените)

Най-вероятно някой или нещо (не е задължително да е човек зад машина, може някой от сървърите на доставчика ти и след тях да проверява свързаността до теб) те ping-ва със зададен по-голям payload на пакетите и с вдигнат флаг за фрагментация.Или пък без последните две, но на много кратки интервали.Това не може по никакъв начин да повлияе на която и да е модерна операционна система (дните на smurf.c отдавна са минало), но защитните стени са чувствителни, и предупреждават за всичко. Ако ти е много любопитно, пусни един Wireshark или друг снифър, напиши във филтъра ICMP, и виж source-а на идващите пакети.Предполагам не си зад рутер? Ако имаш публично IP и не си зад рутер, източника може да е всеки в глобалната мрежа. Ако си в локалната мрежа на доставчика си, логично само от там.Дай изход от командата netstat -s, ICMP частта, да видим пък да не би ping-а да е в резултат на някакъв packet loss, и проверяващи свързаността до теб постоянно звена.

 

IPv4 StatisticsPackets Received = 5136963Received Header Errors = 0Received Address Errors = 1045Datagrams Forwarded = 0Unknown Protocols Received = 0Received Packets Discarded = 3Received Packets Delivered = 5136944Output Requests = 3962776Routing Discards = 0Discarded Output Packets = 0Output Packet No Route = 0Reassembly Required = 23Reassembly Successful = 9Reassembly Failures = 0Datagrams Successfully Fragmented = 0Datagrams Failing Fragmentation = 0Fragments Created = 0ICMPv4 StatisticsReceived SentMessages 3223 7Errors 22 0Destination Unreachable 3110 7Time Exceeded 91 0Parameter Problems 0 0Source Quenches 0 0Redirects 0 0Echos 0 0Echo Replies 0 0Timestamps 0 0Timestamp Replies 0 0Address Masks 0 0Address Mask Replies 0 0TCP Statistics for IPv4Active Opens = 28366Passive Opens = 49377Failed Connection Attempts = 2503Reset Connections = 3320Current Connections = 12Segments Received = 4877802Segments Sent = 3759498Segments Retransmitted = 20170UDP Statistics for IPv4Datagrams Received = 261314No Ports = 1055Receive Errors = 4Datagrams Sent = 182636C:Documents and SettingsAdministrator>netstat -s

 

Може ли да е чрез юторент? И преди съм имал известия от стената при включен торент. Без включен не помня. Само питам. Не ми е грижа. 

Редактирано 26 юли 201411 г. от Методи Дамянов (преглед на промените)

Ако беше от торент клиента най-вероятно щеше да ти изпише поне порта или програмата ...

IPv4 StatisticsPackets Received = 5136963Received Header Errors = 0Received Address Errors = 1045Datagrams Forwarded = 0Unknown Protocols Received = 0Received Packets Discarded = 3Received Packets Delivered = 5136944Output Requests = 3962776Routing Discards = 0Discarded Output Packets = 0Output Packet No Route = 0Reassembly Required = 23Reassembly Successful = 9Reassembly Failures = 0Datagrams Successfully Fragmented = 0Datagrams Failing Fragmentation = 0Fragments Created = 0ICMPv4 StatisticsReceived SentMessages 3223 7Errors 22 0Destination Unreachable 3110 7Time Exceeded 91 0Parameter Problems 0 0Source Quenches 0 0Redirects 0 0Echos 0 0Echo Replies 0 0Timestamps 0 0Timestamp Replies 0 0Address Masks 0 0Address Mask Replies 0 0TCP Statistics for IPv4Active Opens = 28366Passive Opens = 49377Failed Connection Attempts = 2503Reset Connections = 3320Current Connections = 12Segments Received = 4877802Segments Sent = 3759498Segments Retransmitted = 20170UDP Statistics for IPv4Datagrams Received = 261314No Ports = 1055Receive Errors = 4Datagrams Sent = 182636C:Documents and SettingsAdministrator>netstat -s

Може ли да е чрез юторент? И преди съм имал известия от стената при включен торент. Без включен не помня. Само питам. Не ми е грижа.

Хм, определено има (или е имало в момента в който си получил съобщението от защитната стена, тъй като ICMP е диагностичен протокол, и когато комуникацията се срине на някой hoop, към последният се изпращат поредица от Echo Request заявки, на които ако въпросният хост не може да бъде достигнат, в резултат се връща Destination Unreachable) някакъв packet loss от някое звено, съдейки по големия (не чак огромен, но...) брой на Destination unreachable съобщенията, които си получил.Я пусни pathping dir.bg > log.txt, и качи log.txt.От P2P - едва ли. Все пак не каза каква е мрежовата ти конфигурация? Рутер?

Редактирано 26 юли 201411 г. от programings (преглед на промените)

Нямам рутер... Съобщението дойде мисля след отваряне на страница в легитимен бг сайт (или спортал или форума на гонг... не съм сигурен)

 

 

 

C:Documents and SettingsAdministrator>pathping dir.bgTracing route to dir.bg [194.145.63.12]over a maximum of 30 hops:0 user-10e862cf7f [212.50.69.55]1 10.0.0.12 core.telnet.bg [88.87.0.136]3 telnet-spnet.telnet.bg [88.87.0.6]4 10.251.206.995 spnet2bdata.spnet.net [212.50.10.250]6 dir.bg [194.145.63.12]Computing statistics for 150 seconds...Source to Here This Node/LinkHop RTT Lost/Sent = Pct Lost/Sent = Pct Address0 user-10e862cf7f [212.50.69.55]0/ 100 = 0% |1 2ms 0/ 100 = 0% 0/ 100 = 0% 10.0.0.10/ 100 = 0% |2 2ms 0/ 100 = 0% 0/ 100 = 0% core.telnet.bg [88.87.0.136]0/ 100 = 0% |3 10ms 0/ 100 = 0% 0/ 100 = 0% telnet-spnet.telnet.bg [88.87.0.0/ 100 = 0% |4 --- 100/ 100 =100% 100/ 100 =100% 10.251.206.990/ 100 = 0% |5 8ms 0/ 100 = 0% 0/ 100 = 0% spnet2bdata.spnet.net [212.50.1050]0/ 100 = 0% |6 8ms 0/ 100 = 0% 0/ 100 = 0% dir.bg [194.145.63.12]Trace complete.

Редактирано 26 юли 201411 г. от Методи Дамянов (преглед на промените)

Всичко изглежда наред откъм свързаност.IP адреса, който се вижда в съобщението е от Дубай. Явно автоматичен бот, сканиращ голям рейндж от IP-та, в който е попаднало и твоето (предполагам имаш публичен IP адрес от Телнет, така, като им гледам пакетите..). Няма връзка кой сайт си отварял, нещата са на съвсем различно ниво (или може да има, ако си попаднал на някоя реклама, която събира всички request-нали я IP-та, и след това бот ги сканира, де...).Може спокойно да не му обръщаш внимание, нищо не може да се случи. Ако те гони много параноята, помисли за рутер, тъй като така реално нямаш никакъв NAT или каквато и да е била друга филтрация на трафика, и всичко идва директно до теб. По-уязвим си на преки мрежови атаки.

Редактирано 26 юли 201411 г. от programings (преглед на промените)

Ами зачудих се, понеже рядко получавам известия от стената за стопиране на атака. 

Безплатната версия на Superantispyware с години ми лови някакви уж вредоносни бисквитки от Калдата - направо ми омръзна да ги игнорирам и пренебрегвам... Някой сеща ли се защо това е толкова продължително и упорито?

"Иначе да, не ни интересува особено Панда, нито другите ти домашни любимци." Откога защитният софтуер се вписва в категория "домашни любимци"? Кихчо май още е недоузрял да се вписва дори и там.  Явно трябва да го инсталирам на свеж Win - защото като пробвах не можах да активирам енджините на Авира и Бита... А ако бях успял - щях пък да се чудя защо съм го направил... Досега не съм видял прилична китайска измишльотина - а многократно всичките съм ги инсталирал...Само Rising донякъде е заслужаващ внимание - защото там почти липсват FP.

Само Rising донякъде е заслужаващ внимание - защото там почти липсват FP.

e той дрисинга нестига, че мълчи на всичко, остава да има и ФП

e той дрисинга нестига, че мълчи на всичко, остава да има и ФП

Мълчанието е злато... са казали някои хора.... Rising според мен е най-добрата китайска програма..   Кихчо чурулика за какво ли не - а паника за никой не е добре дошла....

Мълчанието е злато... са казали някои хора.... Rising според мен е най-добрата китайска програма..   Кихчо чурулика за какво ли не - а паника за никой не е добре дошла....

пусни му на дрисинга секс екзето от темата за подпомагането и изчуруликай кво е станало

пусни му на дрисинга секс екзето от темата за подпомагането и изчуруликай кво е станало

Ще стане същото като с Panda IS 2014 -  а това го пробвах лично...

пусни му на дрисинга секс екзето от темата за подпомагането и изчуруликай кво е станало

 

Аз като го пусках на виртуалката без нищо какво стана ? Едно голямо нищо. Изхвърли ме и се логнах без никакъв проблем. Даже и парола не ми искаше.

В темата с подпомагането съм дал видео за да не съм голословен. Автора на творението има още да поработи.

Да, може и да не е доизпипан блокера - а аз си помислих че ме спасил сандъка на Кихо.

http://www.theinquirer.net/inquirer/news/2357943/security-researcher-finds-exploitable-flaws-in-14-major-anti-virus-engines

http://www.syscan360.org/slides/2014_EN_BreakingAVSoftware_JoxeanKoret.pdf