 |
|
25.11.2008, 23:18
|
#1 |
|
Модератор
Join Date: 06.03.2007
Location: Киев, Украина
Posts: 11391
 |
Intrusion.Win.NETAPI.buffer-overflow.exploit
Оно как бы не совсем по теме форума, но ... В общем, никому из практикующих системщиков не встречался "зверек", атакующий удаленные машины посредством помянутого переполнения буфера запросами на порт 139/445? Завелся, млин, у нас в сети такой, а как вычислить - не совсем понятно
 Походу, он подменяет IP адрес, с которого идет атака, произвольно выбирая его из диапазона адресов подсети, в результате в логах файрвола присутствуют чуть ли не все машины сети  Тут вот упоминается червячок W32.Wargbot, юзающий эту уязвимость (а.к.а. RCBot.ST, IRC-Mocbot!MS06-040, W32/Cuebot-L, Backdoor.Win32.IRCBot.st, WORM_IRCBOT.JL), но внятного описалова его я пока не нашел 
__________________
|
|
|
|
26.11.2008, 01:33
|
#2 |
|
Изменник родины
Join Date: 28.02.2007
Location: Ивано-Франковск
Posts: 1084
|
Простите за трюизм, но решение одно - юзать Линукс. Могу посоветовать крайний Дебиан, но ни в коем случае не Убунту, она глючивая уже на стадии установки: у меня даже ядро не установилось толком.
Теперь по теме (чувствую, что сейчас сморожу глупость, но чего уж): я бы пошёл дорогой извилистой, но стопроцентно ведущей к успеху. Взял бы поотключал все машины - по одной, и смотрел, что происходит. Атаки прекратились - всё, заражение найдено. Жаль, что мне в администрировании осталось только "этикетки читать"© - уже года два-три не занимался привычным мазохизмом с локальными сетями.
__________________
Коммунист, сепаратист, интернационалист. Зацветут ещё мои деревья в саду. |
|
|
|
 |
| Currently Active Users Viewing This Thread: 1 (0 members and 1 guests) | |
|
|
Linear Mode
