Защита в сети

[4L4K]

На прошлой неделе буквально парализовал всю нашу Республику червь "Троян ..." посетителей сайта "Однокласники", который аккуратно посещают наши домашние.

Вирусная эпидемия на ресурсе "ВКонтакте.Ру"

16 мая 2008 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети "ВКонтакте.Ру". Причиной эпидемии стал опасный сетевой червь, определяемый антивирусом Dr.Web как Win32.HLLW.AntiDurov.

Червь рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети Интернет (http://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым червем.......
......Самым надежным средством защиты от этого червя и его последствий является использование антивируса Dr.Web, который детектирует и удаляет его из системы.

Подробности: http://info.drweb.com/show/3359/ru

"Мисс Троянский конь" для "Одноклассников" не страшна пользователям Dr.Web

22 мая 2008 года

Служба вирусного мониторинга компании «Доктор Веб» зафиксировала массовую рассылку писем, адресованных пользователям социальной сети «Одноклассники». В письмах содержится ссылка на сайт, посетив который пользователь может заразить компьютер.

Рассылка писем производится от разных пользователей, в том числе от имени некой "Глории Чернявской, Россия, Москва Возраст: 22 года"..........
.......Если возможности приобрести коммерческую лицензию нет, можно воспользоваться бесплатным сканером Dr.Web CureIt!......чтобы впоследствии принять объективное, основанное на собственном опыте решение о целесообразности перехода на антивирус Dr.Web.

Подробности: http://info.drweb.com/show/3364/ru




Но, это еще не конец.

В очередной раз «Доктор Веб» впереди планеты всей:

Яндекс рекомендует Dr.Web CureIt! для бесплатного лечения от вирусов подмены страниц

28 мая 2008 года

Популярные поисковые системы страдают от вредоносных программ, подменяющих страницы. По свидетельству поисковой системы Яндекс, количество компьютеров, зараженных подобными троянцами, достигает сотен тысяч.

Инфицирование компьютеров производится с целью изменения результатов поиска. Пользователь зараженного ПК, задав в области поиска искомое слово, совершит переход не на нужный сайт, а на посторонний ресурс, причем один из результатов поиска внешне может выглядеть так же, как все остальные, но не иметь никакого отношения к запросу. В результате действия вируса пользователь не находит нужную информацию, рекламодатель платит за нецелевой трафик, но больше всего страдает репутация поисковых систем, которых пользователи обвиняют в продаже мест на первых страницах выдачи.........

Эта проблема затронула все поисковые системы РуНета. Представители Яндекса, посчитавшие проблему достаточно серьезной, обратились в антивирусную лабораторию компании «Доктор Веб». Антивирус Dr.Web до недавнего времени классифицировал вирусы подмены страниц как рекламное ПО, но после обращения Яндекса такие вредоносные объекты определяются теперь как троянские программы.
.......C сегодняшнего дня Яндекс рекомендует своим пользователям утилиту Dr.Web CureIt! для бесплатного лечения ПК, пораженных вирусами подмены страниц.
Использование утилиты поможет Вам в последствии принять объективное, основанное на собственном опыте решение о целесообразности перехода на антивирус Dr.Web.

Подробности последней страшилки здесь: http://info.drweb.com/

Наводит все это на определенные мысли.......

Но к утилите Dr.Web CureIt! претензий никаких, действительно полезная вещь, советую периодически ей пользоваться.

[UN7CI]

Предлагаю вам интересные сравнительные результаты тестирования известных антивирусников.
Ну очень забавно.
http://www.ua4fn.ru/readarticle.php?article_id=542

[4L4K]

Предлагаю вам интересные сравнительные результаты тестирования известных антивирусников.
Ну очень забавно.
http://www.ua4fn.ru/readarticle.php?article_id=542

Борис, это "кастрированная" версия.

Полная версия статьи на 3D News - смотреть здесь

От комментариев воздержусь.

[I love radio]

На мой непрофессиональный взгляд, правила фильтрации в IPTables логичнее и проще для понимания.

Да, действительно проще и понятнее (мне особенно нравится исповедывание принципа - запретить все, что не разрешено), использую Ubuntu Linux 7.10, уже обвыкся здесь и забыл о том, что такое windows. Однако нужно сказать, что iptables это все-таки "консольная" вещь и нужно либо найти готовые правила, либо, если пишите сами, выучить синтакис (и чуть чуть ужаснуться ) для их написания. В винде все-таки пощелкать мышкой попроще. Зато что можно написать в iptables! М-м-м, пальчики оближешь.

[RA9SCB]

Зато что можно написать в iptables! М-м-м, пальчики оближешь.

хватит облизывать ... где же текст iptables от I love radio ?!

[RA9SCB]

использую Ubuntu Linux 7.10, уже обвыкся здесь и забыл о том, что такое windows.

Вот так же использую *nix "Fedora-8-GNOME" (на 10 версию не перехожу) ... но Windows - рабочая лошадка и скорее всего будет долго пахать.

[RA9CTW]

Предлагаю Вашему вниманию утилиту AVZ4 (у меня версия 4.30), которая расправится с этим злом.

Отличная утилита, давно ей пользуюсь.
А если ещё в корень этой утилиты поместить файлик (см. прикрепленный)
То она очень хорошо разделывается с вредными файлами auturan и некотороми другими руткитами.
Для этого надо, запустив утилиту в меню Файл выбрать «Выполнить скрипт»
В появившемся окне выбрать «Загрузить» и найти этот файл (amvo.txt).

[RA9SCB]

AVZ 4 ... хорошо разделывается с вредными файлами auturan и некотороми другими руткитами.

rkhunter - консольная утилита для обнаружения RootKit в ОС *nix.

It is recommended that all users of RootKit Hunter (RKH) join the rkhunter-users mailing list. Subscribing to the list can be done via the RKH website at http://rkhunter.sourceforge.net

Bзять утилиту можно ЗДЕСЬ.
---
обновить: rkhunter --update
запуск: rkhunter --check

[UN7RX]

Сегодня повеселили начинающие (а может и заканчивающие) хакерята.
Как раз из серии "на дурака". Приходит мне на один из ящиков грозное письмо, "от администрации yandex.ru" с жалобой на спам, якобы от меня исходящий.
Мгновенно стало понятно от кого это реально, как по тексту, так и по обратному адресу. Смотрим:

Обратите внимание на исходящий адрес и на адреса в подписи. Какой прежде всего оценит невнимательный, или неопытный юзер?

Первое что хотел автоматом сделать - удалить эту чушь, но потом решил "отдать" свои логин и пароль - ну надо людям!
Кликнул по указанному адресу, открылась вполне себе фишинговая страничка:

В качестве логина ввел рожденное душой, абсолютно искреннее и не совсем печатное выражение. Пароль тоже, но пришлось латиницой - не хочет на русском выслушивать!

И что вИ думаете? Сжалились надо мной, осчастливили!

После чего переадресовали уже на настоящую страницу.

Вобщем, неймется кретинам и ведь что самое обидное - многие на такую чушь попадаются...

[RN3AHT/WWW]

Да уж. Грустный Вам хакер попался.

[Олег Ховайко]

Когда-то ко мне тоже приходили фишинговые письма. Написал для таких
умников скритп перловый, который заливает формы на фишинговом
сайте в автоматическом режиме всяким псевдослучайным мусором.
Как только такое письмо приходило -- 3 минуты на анализ странички, ешё 5 - модификация скрипта, и процесс заливания БД мусором ставится на самообслуживание. Пара сотен тысяч записей псевдослучайного мусора -
и пусть эти кулхацкеры поищут в этой мусорной куче
записи, которые оставили неосторожные юзера.

А счас другие умники появились - пытаются с моего сайта php-админку запустить,
вот лог энтой активности:

[root@olegh /usr/local/freeswitch/conf]# grep admin /var/log/httpd-access.log | head
91.120.21.93 - - [16/Jan/2010:20:01:51 -0500] "GET //phpmyadmin/ HTTP/1.1" 404 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:43 -0500] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 230 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:43 -0500] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 225 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:44 -0500] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 227 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:44 -0500] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 232 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:44 -0500] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 227 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:45 -0500] "GET //phppgadmin/config.inc.php?p=phpinfo(); HTTP/1.1" 404 223 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
209.44.99.194 - - [16/Jan/2010:23:09:45 -0500] "GET //phpmyadmin2/config.inc.php?p=phpinfo(); HTTP/1.1" 404 224 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.193.238.16 - - [19/Jan/2010:19:30:04 -0500] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 230 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.193.238.16 - - [19/Jan/2010:19:30:04 -0500] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 225 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
[root@olegh /usr/local/freeswitch/conf]#

Для таких умников у нас имеется другой скрипт (см ниже), который
наносит ответный удар.

ВНИМАНИЕ: если Вы попробуете зайти на этот URL, ваш браузер зависнет гарантировано. Возможен также крах системы и другие неприятности.

http://olegh.ath.cx/
<сцепить>
phpmyadmin/config/config.inc.php

[-VS-]

А у меня следующая проблема: вводишь запрос в гугле, гугль выдает найденые ссылки, по первому щелчку любой из этих ссылок открывается новое окно, в нем адрес, что-то типа results3.google.com или search3.google.com Потом шла переадресация на другую страницу с рекламой-мусором, но сейчас остается висеть пустое окно. Закрываешь/сворачиваешь окно. Со второго щелчка по той же ссылке открывается найденая страница, в том же окошке, как и положено у гугля, отвечающая запросу. Пробовал разные антивиры из доступных, молчат как партизаны. В данный момент установлен Sophos. Ось: Snow Leopard. (недавно пересел, еще толком не освоился). Буду благодарен за любой совет.

[4Z5ML]

Буду благодарен за любой совет.

Мда... MACоводов тут (на форуме) маловато будет. Ось больше для графиков.
Удачи с решением.

[-VS-]

Мда... MACоводов тут (на форуме) маловато будет.

Зато уровень образованности и эрудиции выше...
Такая проблема могла возникнуть и на виндовой машине. Правда там метод устранения отработан уже. А здесь даже непонятно пока, куда рыть...

[RN3AHT/WWW]

Такая проблема могла возникнуть и на виндовой машине. Правда там метод устранения отработан уже.

Поподробней, плз. Где почитать?