Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 28-12-2010, 10.29.09   #1
miciotta62
Hero Member
 
Registrato: 19-12-2008
Messaggi: 535
miciotta62 promette bene
Attacco da sito DCOM EXPLOIT ...che fare ?

sia altro ieri che ieri mentre navigavo in 2 siti ipersicuri, mi e’ apparso il pop ROSSO di avast che mi segnalava
un (non ricordo se accesso o tentativo di connessione…) di un sito chiamato DCOM EXPLOIT , ma di
che si tratta ? come mai Avast l’ha bloccato 2 volte ? come elimino sto problema ?



http://forum.avast.com/index.php?topic=66551.0

http://forum.avast.com/index.php?topic=67010.0

http://forum.avast.com/index.php?topic=63295.0

http://www.grc.com/freeware/dcom.htm

http://www.microsoft.com/technet/sec.../MS03-026.mspx

http://forum.avast.com/index.php?topic=65990.0

https://www.grc.com/x/ne.dll?rh1dkyd2

questo TEST mi da tutto verde con stealth !


"- Attacchi DCOM sono speculative, non mirata e cerca di sfruttare una vulnerabilità nel sistema operativo obsoleto, se il vostro sistema operativo sia aggiornato, allora non sono vulnerabili a sfruttare le. Ciò non impedisce loro (di solito una persona dallo stesso ISP con un computer infetto), cercando di vedere se si può infettare gli altri.

Il tuo firewall dovrebbe essere la prima linea di difesa in questo, ma avast controlla anche le porte comuni di attacco utilizzando la protezione di rete, in teoria il firewall dovrebbe bloccare e avast non lo sanno, ma per qualsiasi motivo avast è in prima linea sul vostro firewall ...."

che significa ?????


ma in inglese…cosa dicono che sia ??? quindi NON c’e da preoccuparsi ? fatto il TEST sopra e mi da tutto verde e stealth quindi
mio firwall di xp ok e mi protegge ? avast cmq sembra che blocca questa intrusione di DCOM ! che dite che fare ?
miciotta62 non è collegato   Rispondi citando
Vecchio 15-01-2011, 11.43.56   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Smile

Dice semplicemente che un computer infetto può scandagliare la rete in cerca della porta TCP 445 aperta, sulla quale sono in ascolto i servizi DCOM, RPC ed SMB: Se la trova, prova ad iniettare codice malevolo sulla macchina attraverso un exploit che agisce sulla vulnerabilità non patchata del servizio stesso. L'accesso al computer attraverso internet è il primo veicolo d'infezione, per poi consentire l'attacco sulla sottorete di appartenenza del client infetto che può consentire l'uscita all'esterno del protocollo TCP su porta 445 attarverso il router. Anche i client appartenenti alla tua rete interna possono essere interessati dal malware. In particolare, la pagina internet che il tuo browser elabora, può contenere al suo interno il link al malware che viene eseguito in locale grazie all'automazione fornita dagli ActiveX o scripting host, oppure dalla errata interpretazione del codice HTML. Quella pagina, però, non è quella de siti di test, pertanto da quei siti risulta solo che il tuo firewall blocca dall'esterno l'accesso alla TCP 445, oppure che la consente, ma il tuo client è patchato e l'attacco non può essere portato a termine con successo.

In linea generale, un buon utente (ed anche sysadmin) deve provvedere a mantenere aggornati sia il S.O., sia i dispositivi di rete, sia gli applicativi come il browser che consentono l'esecuzione in locale di codice acquisito dall'esterno (pagine internet): Al tutto, deve essere aggiunta una buona dose di intelligenza da parte dell'utente nel far uso coscente di Internet, nonchè limitare col suo operato la possibilità di infettare gli altrui PC.

NB: In sintesi, quanto sopra è il sunto di quanto riguarda l'ambito sicurezza SOLO lato client.

Ultima modifica di LoryOne : 15-01-2011 alle ore 11.50.07
LoryOne non è collegato   Rispondi citando
Vecchio 15-01-2011, 13.24.47   #3
miciotta62
Hero Member
 
Registrato: 19-12-2008
Messaggi: 535
miciotta62 promette bene
re

grazie... quindi devo fare qualcosa per i continui pop up rossi di avast o significa attachi all dcom bloccati da avast ? che faccio ?
miciotta62 non è collegato   Rispondi citando
Vecchio 15-01-2011, 16.23.10   #4
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Bisogna prima vedere se AVAST segnala il tentatvo di attacco dall' * esterno o dall'interno: Quando hai fatto il test e sei risultata stealth, sono state verificate le porte TCP 135,139 e 445 ? Se no, allora puoi essere già infetta dall'interno, cioè sei tu che provi ad aprire un canale d'infezione. Quel DCOM Exploit non è il nome di un sito (perdonami, ma mi sono fidato di cio che hai scritto), bensì il payload relativo all'exploit che AVAST ha identificato e forse bloccato. La prima cosa che ti consiglio di fare, è patchare opportunamente il tuo Windows, verificare che il messaggio appaia nuovamente e poi procedere ad una scansione antivirus (McAfee stinger, ad esempio) che sia in grado di identificare eventuali trojan già presenti sul tuo PC e non identificati da AVAST.

* Esattamente, cosa appare sullo schermo ?
E' riportato l'IP da cui proviene l'attacco ?

Ultima modifica di LoryOne : 15-01-2011 alle ore 16.26.44
LoryOne non è collegato   Rispondi citando
Vecchio 15-01-2011, 17.41.52   #5
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Piccolo appunto:

Quota:
Inviato da LoryOne Visualizza messaggio
La prima cosa che ti consiglio di fare, è patchare opportunamente il tuo Windows, verificare che il messaggio appaia nuovamente e poi procedere ad una scansione antivirus (McAfee stinger, ad esempio) che sia in grado di identificare eventuali trojan già presenti sul tuo PC e non identificati da AVAST.
Anche patchando opportunamente Windows può comparire l'avvertimento, poichè la pacth è indipendente dal contenuto dell' eventuale sessione aperta. La patch consente a te di evitare che il servizio in questione (sono più di uno interdipendenti) possa essere sfruttato dal payload, ma tu puoi essere colei che scansiona altri IP in cerca di vulnerabilità. Per questo devi patchare e verificare di non essere infetta da trojan che ti sfruttano come portatrice sana del virus, con internet come veicolo di contagio.
LoryOne non è collegato   Rispondi citando
Vecchio 16-01-2011, 11.28.09   #6
miciotta62
Hero Member
 
Registrato: 19-12-2008
Messaggi: 535
miciotta62 promette bene
re

sicuri ?

si cmq le porte sono tutte stealth ..quindi bloccate ?

nel forum avast invece dicono che avsat avverte ma che appunto averte
di un attacco a quella porta dcom , ma che avast ha bloccato !

e quindi non dovrei avre preso infezione tramite quelle porte dcom...giusto ?
miciotta62 non è collegato   Rispondi citando
Vecchio 16-01-2011, 12.13.21   #7
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Quota:
Inviato da miciotta62 Visualizza messaggio
sicuri ?
Beh ... Sono sicuro di quel che affermo, però è a te che AVAST segnala l'attacco.
Non ti preoccupare, in caso segnalerai ancora il messaggio di AVAST.

Quota:
Inviato da miciotta62 Visualizza messaggio
sicuri ?
si cmq le porte sono tutte stealth ..quindi bloccate ?
Bisogna vedere cosa intende quel sito con stealth: solitamente si attribuisce ad una scansione la tipologia "stealth" solo se più scansioni con lo stesso protocollo e sulla stessa porta si sono effettuate con differenti metodologie, ma che non hanno prodotto i risultati attesi in risposta alle sollecitazioni delle varie sonde (probes) inviate: Le porte sondate, ad ogni modo, sono sicuramente chiuse. Controlla il log del tuo firewall.

Quota:
Inviato da miciotta62 Visualizza messaggio
nel forum avast invece dicono che avsat avverte ma che appunto averte
di un attacco a quella porta dcom , ma che avast ha bloccato !
Sicura ? Sniffa per esserne certa.

Quota:
Inviato da miciotta62 Visualizza messaggio
e quindi non dovrei avre preso infezione tramite quelle porte dcom...giusto ?
Dall'esterno no se hai ben configurato il firewall ed hai patchato opportunamente Windows
Ripeto: Devi essere certa di non essere stata infettata comunque, ma attraverso il browser. In questo caso il firewall non avrebbe alcuna colpa, ma siccome tutti i firewall sono impostati per consentire qualunque connessione dall'interno verso l'esterno, tu potresti essere la causa di una scansione ad ampio raggio a "danno" di altri utenti. Per questo dovresti efettuare comunque una scansione approfondita di eventuali trojan presenti sul tuo PC, ma con altro tool antivirus.

Ultima modifica di LoryOne : 16-01-2011 alle ore 12.20.23
LoryOne non è collegato   Rispondi citando
Vecchio 16-01-2011, 19.11.17   #8
miciotta62
Hero Member
 
Registrato: 19-12-2008
Messaggi: 535
miciotta62 promette bene
re

uso il firewaal di xp !

ok ma come testo le porte ?

e per sapere se infetto il pc....scansione con combifix o come ?

avast mi dice tutto ok ! grazieeee
miciotta62 non è collegato   Rispondi citando
Vecchio 16-01-2011, 20.45.43   #9
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.502
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Scarica MCAfee Stinger da qui: http://www.mcafee.com/us/downloads/f...e-stinger.aspx e lancialo
LoryOne non è collegato   Rispondi citando
Vecchio 17-01-2011, 20.57.01   #10
miciotta62
Hero Member
 
Registrato: 19-12-2008
Messaggi: 535
miciotta62 promette bene
re

ma NON meglio combifix di stinger ?
miciotta62 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Sito web per squadra sportiva. Come fare?? Aquax Programmazione 10 10-02-2009 17.57.57
il sito malteam pegasus_fantasy Multimedia | audio - video 8 10-01-2007 10.06.02
DCOM Exploit attack... ??? Mc|Atm0s Sicurezza&Privacy 5 26-01-2005 17.09.56
F30002 DCE/RPC DCOM buffer overflow exploit attempt detected. claudia1974 Sicurezza&Privacy 7 29-09-2003 19.41.11
posso farmi un sito con pubbl della dittà?!? alepav Internet e Reti locali 3 30-08-2003 13.35.16

Orario GMT +2. Ora sono le: 21.02.22.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.