Xpoint
   [напомнить пароль]

Файрвол тоже не гарантия. Оутпост 1 сломали

Метки: [без меток]
[удл]
2005-01-05 23:22:42 [обр] DS[досье]
Причем Оутпост стоял в БЕЗОПАСНОМ режиме. Закачали какую-то программу, которая передала управление компьютером на лево, сменили заставку на столе и в Оутпосте в Детекторе Атак стерли логи. Причем логи детектор писать вообще перестал, мышкой за меня кто-то там водил.
Антивирусы и антитрояны ничего не обнаруживали.
Компьютер то я починил худо-бедно хирургическим методом, а вот осадок остался. Как можно было закачать трояна при Оутпосте стоящем в безопасном режиме? И как с этим бороться если файрвол не защита?
спустя 12 минут [обр] Владимир Палант(49/4445)[досье]
сообщение промодерировано
Вы, случайно, не Internet Explorer используете? Если так, то никакие файрволлы и антивирусы вам не помогут — первые, поскольку ничего не могут сделать против программы, которая уже на компьютере, а вторые, поскольку дрянь, инсталлирующаяся через дыры браузера, не по их специальности (кроме того: слишком просто такую программу написать и, соответственно, слишком много их развелось, все не распознаешь). Защита одна — использовать другой браузер, благо выбор уже есть (Mozilla Suite, Mozilla Firefox, Opera).
спустя 2 минуты [обр] Владимир Палант(49/4445)[досье]
PS: Регулярное посещение http://windowsupdate.microsoft.com/, тем не менее, всё равно обязательно. К сожалению, для этого всё ещё приходится запускать Internet Explorer...
спустя 18 минут [обр] DS[досье]
сообщение промодерировано

Владимир Палант

Вы, случайно, не Internet Explorer используете?

Его родимого и пользую... И Оперу тоже. Оперу чаще.
Перед загрузкой Файрвола, проверил компьютер на вирусы и трояны с помощью McAfee, после установки Оутпоста протестировал компьютер на уязвимости, тест показал, что компьтер неуязвим. Вообще ни одной дыры не нашел. Ну и вот результат... :(

спустя 10 минут [обр] Владимир Палант(49/4445)[досье]
"компьютер неуязвим" = "открытых портов нет"? Если используются дыры безопасности программ (к примеру, того же браузера), то открытые порты и не нужны — уязвимая программа сама соединится с сервером и скачает с него трояна. Так что никогда не верьте высказываниям типа "неуязвимая система" — таких в природе просто не существует. Просто поставить файрволл и забыть про безопасность недостаточно, нужно всё равно обновлять установленные программы, ведь всё время находят новые дыры безопасности. Ну а Internet Explorer вообще особый случай, вряд ли есть ещё одна программа, где так медленно и так криво закрывали бы критические дыры безопасности...
спустя 50 минут [обр] dip00dip(0/2)[досье]

2DS
Прочитайте вот это :
"Обход ограничений во многих персональных межсетевых экранах" (новость от 4-го января)
http://www.securitylab.ru/51293.html

Скорее всего именно так вас "поймали".
Самое простое - поставить в Outpost пароль на изменение настроек.

P.S. Присоеденюсь к вышесказанным замечаниям по поводу IE. Если хотите жить чуть спокойнее и удобнее - ставьте Firefox или Opera (по вкусу )

спустя 40 минут [обр] Владимир Палант(49/4445)[досье]
"4 января 2005" — любопытно... Я всё то же самое уже читал примерно два года назад. С тех пор, конечно, ничего не изменилось — если троян уже проник на компьютер, ему никто не мешает отключить файрволл (способов много).
спустя 9 часов [обр] DS[досье]
А вот еще вопрос. В случае если в Оутпосте стерты логи в Детекторе Атак, то не виден IP с которого произошла эта самая атака. Как можно определить этот IP в этом случае?
Я понимаю, что этот IP может быть левым, или это может быть IP какого-нибудь анонимного прокси.
спустя 3 часа 40 минут [обр] Владимир Палант(49/4445)[досье]
Сейчас что-то определять уже поздно...
спустя 21 час [обр] dip00dip(0/2)[досье]

Владимир Палант[досье]
Не думаю что 2 года назад была та же ошибка.
Что-то не верится, что производители на такие грабли
опять наступили.
А то, что регулярно находят способ обойти personal firewalls - это действительно как дежавю.
DS[досье]
Соглашусь с Владимиром. Тут уж Вы мало что сможете сделать.

Даже если и найдете IP - не надеетесь же Вы, что адрес из пула вашего знакомого ISP ?
(который поделится с Вами телефоном вашего обидчика) :)

спустя 1 день [обр] DS[досье]
Телефон никто не даст, а вот провайдеру, который обеспечивает подобную деятельность можно предъявлять претензии. Я имею ввиду не своего, а его провайдера. Мне приходилось это делать.
В итоге провайдер просто закрыл ему доступ в инет. Мелочь, но по крайней мере это хоть какой-то ответ.
Только одно НО. Для определения провайдера нужен IP, кроме того провайдер обычно просит заслать ему файрволовские логи, а тут они затерты. А уж коли он затер логи, то есть шанс, что ломился не через цепочку прокси, а напрямую, иначе, нет особого смысла их стирать.
Powered by POEM™ Engine Copyright © 2002-2005