|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
28-12-2010, 10.29.09 | #1 |
Hero Member
Registrato: 19-12-2008
Messaggi: 535
|
Attacco da sito DCOM EXPLOIT ...che fare ?
un (non ricordo se accesso o tentativo di connessione…) di un sito chiamato DCOM EXPLOIT , ma di che si tratta ? come mai Avast l’ha bloccato 2 volte ? come elimino sto problema ? http://forum.avast.com/index.php?topic=66551.0 http://forum.avast.com/index.php?topic=67010.0 http://forum.avast.com/index.php?topic=63295.0 http://www.grc.com/freeware/dcom.htm http://www.microsoft.com/technet/sec.../MS03-026.mspx http://forum.avast.com/index.php?topic=65990.0 https://www.grc.com/x/ne.dll?rh1dkyd2 questo TEST mi da tutto verde con stealth ! "- Attacchi DCOM sono speculative, non mirata e cerca di sfruttare una vulnerabilità nel sistema operativo obsoleto, se il vostro sistema operativo sia aggiornato, allora non sono vulnerabili a sfruttare le. Ciò non impedisce loro (di solito una persona dallo stesso ISP con un computer infetto), cercando di vedere se si può infettare gli altri. Il tuo firewall dovrebbe essere la prima linea di difesa in questo, ma avast controlla anche le porte comuni di attacco utilizzando la protezione di rete, in teoria il firewall dovrebbe bloccare e avast non lo sanno, ma per qualsiasi motivo avast è in prima linea sul vostro firewall ...." che significa ????? ma in inglese…cosa dicono che sia ??? quindi NON c’e da preoccuparsi ? fatto il TEST sopra e mi da tutto verde e stealth quindi mio firwall di xp ok e mi protegge ? avast cmq sembra che blocca questa intrusione di DCOM ! che dite che fare ? |
15-01-2011, 11.43.56 | #2 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Dice semplicemente che un computer infetto può scandagliare la rete in cerca della porta TCP 445 aperta, sulla quale sono in ascolto i servizi DCOM, RPC ed SMB: Se la trova, prova ad iniettare codice malevolo sulla macchina attraverso un exploit che agisce sulla vulnerabilità non patchata del servizio stesso. L'accesso al computer attraverso internet è il primo veicolo d'infezione, per poi consentire l'attacco sulla sottorete di appartenenza del client infetto che può consentire l'uscita all'esterno del protocollo TCP su porta 445 attarverso il router. Anche i client appartenenti alla tua rete interna possono essere interessati dal malware. In particolare, la pagina internet che il tuo browser elabora, può contenere al suo interno il link al malware che viene eseguito in locale grazie all'automazione fornita dagli ActiveX o scripting host, oppure dalla errata interpretazione del codice HTML. Quella pagina, però, non è quella de siti di test, pertanto da quei siti risulta solo che il tuo firewall blocca dall'esterno l'accesso alla TCP 445, oppure che la consente, ma il tuo client è patchato e l'attacco non può essere portato a termine con successo.
In linea generale, un buon utente (ed anche sysadmin) deve provvedere a mantenere aggornati sia il S.O., sia i dispositivi di rete, sia gli applicativi come il browser che consentono l'esecuzione in locale di codice acquisito dall'esterno (pagine internet): Al tutto, deve essere aggiunta una buona dose di intelligenza da parte dell'utente nel far uso coscente di Internet, nonchè limitare col suo operato la possibilità di infettare gli altrui PC. NB: In sintesi, quanto sopra è il sunto di quanto riguarda l'ambito sicurezza SOLO lato client. Ultima modifica di LoryOne : 15-01-2011 alle ore 11.50.07 |
15-01-2011, 13.24.47 | #3 |
Hero Member
Registrato: 19-12-2008
Messaggi: 535
|
re
grazie... quindi devo fare qualcosa per i continui pop up rossi di avast o significa attachi all dcom bloccati da avast ? che faccio ?
|
15-01-2011, 16.23.10 | #4 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Bisogna prima vedere se AVAST segnala il tentatvo di attacco dall' * esterno o dall'interno: Quando hai fatto il test e sei risultata stealth, sono state verificate le porte TCP 135,139 e 445 ? Se no, allora puoi essere già infetta dall'interno, cioè sei tu che provi ad aprire un canale d'infezione. Quel DCOM Exploit non è il nome di un sito (perdonami, ma mi sono fidato di cio che hai scritto), bensì il payload relativo all'exploit che AVAST ha identificato e forse bloccato. La prima cosa che ti consiglio di fare, è patchare opportunamente il tuo Windows, verificare che il messaggio appaia nuovamente e poi procedere ad una scansione antivirus (McAfee stinger, ad esempio) che sia in grado di identificare eventuali trojan già presenti sul tuo PC e non identificati da AVAST.
* Esattamente, cosa appare sullo schermo ? E' riportato l'IP da cui proviene l'attacco ? Ultima modifica di LoryOne : 15-01-2011 alle ore 16.26.44 |
15-01-2011, 17.41.52 | #5 | |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Piccolo appunto:
Quota:
|
|
16-01-2011, 11.28.09 | #6 |
Hero Member
Registrato: 19-12-2008
Messaggi: 535
|
re
sicuri ?
si cmq le porte sono tutte stealth ..quindi bloccate ? nel forum avast invece dicono che avsat avverte ma che appunto averte di un attacco a quella porta dcom , ma che avast ha bloccato ! e quindi non dovrei avre preso infezione tramite quelle porte dcom...giusto ? |
16-01-2011, 12.13.21 | #7 | ||
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Beh ... Sono sicuro di quel che affermo, però è a te che AVAST segnala l'attacco.
Non ti preoccupare, in caso segnalerai ancora il messaggio di AVAST. Bisogna vedere cosa intende quel sito con stealth: solitamente si attribuisce ad una scansione la tipologia "stealth" solo se più scansioni con lo stesso protocollo e sulla stessa porta si sono effettuate con differenti metodologie, ma che non hanno prodotto i risultati attesi in risposta alle sollecitazioni delle varie sonde (probes) inviate: Le porte sondate, ad ogni modo, sono sicuramente chiuse. Controlla il log del tuo firewall. Quota:
Quota:
Ripeto: Devi essere certa di non essere stata infettata comunque, ma attraverso il browser. In questo caso il firewall non avrebbe alcuna colpa, ma siccome tutti i firewall sono impostati per consentire qualunque connessione dall'interno verso l'esterno, tu potresti essere la causa di una scansione ad ampio raggio a "danno" di altri utenti. Per questo dovresti efettuare comunque una scansione approfondita di eventuali trojan presenti sul tuo PC, ma con altro tool antivirus. Ultima modifica di LoryOne : 16-01-2011 alle ore 12.20.23 |
||
16-01-2011, 19.11.17 | #8 |
Hero Member
Registrato: 19-12-2008
Messaggi: 535
|
re
uso il firewaal di xp !
ok ma come testo le porte ? e per sapere se infetto il pc....scansione con combifix o come ? avast mi dice tutto ok ! grazieeee |
16-01-2011, 20.45.43 | #9 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Scarica MCAfee Stinger da qui: http://www.mcafee.com/us/downloads/f...e-stinger.aspx e lancialo
|
17-01-2011, 20.57.01 | #10 |
Hero Member
Registrato: 19-12-2008
Messaggi: 535
|
re
ma NON meglio combifix di stinger ?
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Sito web per squadra sportiva. Come fare?? | Aquax | Programmazione | 10 | 10-02-2009 17.57.57 |
il sito malteam | pegasus_fantasy | Multimedia | audio - video | 8 | 10-01-2007 10.06.02 |
DCOM Exploit attack... ??? | Mc|Atm0s | Sicurezza&Privacy | 5 | 26-01-2005 17.09.56 |
F30002 DCE/RPC DCOM buffer overflow exploit attempt detected. | claudia1974 | Sicurezza&Privacy | 7 | 29-09-2003 19.41.11 |
posso farmi un sito con pubbl della dittà?!? | alepav | Internet e Reti locali | 3 | 30-08-2003 13.35.16 |