banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Avast báo DCOM exploit  XML
  [Question]   Avast báo DCOM exploit 08/11/2009 11:51:33 (+0700) | #1 | 197840
laocoi
Member

[Minus]    0    [Plus]
Joined: 06/11/2009 23:38:54
Messages: 3
Offline
[Profile] [PM]
Xin chào mọi người

Máy mình cài avast và comodo. Không hiểu sao dạo gần đây avast hay báo là có người muốn tấn công vào máy mình thông qua lỗi DCOM (port 135), mặc dù mình đã tắt cổng 135 rồi.

Khi dùng nmap quét thử các IP mà avast thông báo thì thấy từ các chỗ khác nhau, khi thì viettel lúc lại từ một chỗ nào đó ở Nhật.

Code:
Interesting ports on pa29596.tokynt01.ap.so-net.ne.jp (115.162.149.150):
Not shown: 997 closed ports
PORT     STATE SERVICE
135/tcp  open  msrpc
1025/tcp open  NFS-or-IIS
5000/tcp open  upnp


Mong mọi người tư vấn giúp.

Cảm ơn
[Up] [Print Copy]
  [Question]   Avast báo DCOM exploit 08/11/2009 21:10:04 (+0700) | #2 | 197852
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
chào bạn laocoi,mình thấy trong kết quả báo của nmap,mình thấy rằng ở cổng 135 đang chạy dịch vụ msRPC,xin nói 1 tí về RPC:

-Remote Procedure Call (RPC) là một giao thức được sử dụng bởi hệ điều hành Windows. RPC cung cấp một cơ chế liên quan quá trình giao tiếp cho phép một chương trình chạy trên một máy tính dễ dàng thực thi mã trên một hệ thống từ xa.Có một lỗ hổng trong một phần của RPC khi trao đổi tin nhắn qua TCP / IP. Giao diện DCOM xử lý yêu cầu kích hoạt đối tượng đó được gửi bằng máy khách đến máy chủ. Một kẻ tấn công sẽ khai thác lỗ hổng này để cho phép chạy mã độc trên hệ thống trên một hệ thống.

- Để khai thác lỗ hổng này, kẻ tấn công đòi hỏi phải có khả năng gửi một yêu cầu đặc biệt đến cổng 135, 139, hoặc 445 hay bất kỳ cấu hình cụ thể khác RPC cổng trên máy từ xa.

QUÉT ĐỂ TÌM THẤY HỆ THỐNG BỊ LỖI:




TẤN CÔNG:




-chặn tất cả các cổng TCP / IP bạn không sử dụng, vào đây để tìm hiểu thêm về bảo mật cho RPC:

http://msdn.microsoft.com/en-us/library/aa379441(VS.85).aspx
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   Avast báo DCOM exploit 09/11/2009 06:08:21 (+0700) | #3 | 197880
laocoi
Member

[Minus]    0    [Plus]
Joined: 06/11/2009 23:38:54
Messages: 3
Offline
[Profile] [PM]
Cảm ơn holiganvn, như ở trên mình nói, cổng 135 mình đã đóng lại trên máy của mình, còn thông tin mình đưa ra đó là do mình thử nmap IP mà avast thông báo là đang tấn công vào máy của mình. Mình thắc mắc ở chỗ là không biết có phải có chương trình nào chạy ngầm trong máy của mình để yêu cầu một máy ở đâu đó tấn công vào máy mình không? hay là tấn công ngẫu nhiên.

Do mình sử dụng 1 line adsl riêng nên việc ai đó trong mạng nội bộ tấn công là không có, khi lên cty thì không xảy ra hiện tượng này.

Mình nói thêm là máy mình chạy winxp sp3 (đã tắt firewall mặc định của window và thay bằng comodo), không sử dụng các chương trình dạng P2P

Thân
[Up] [Print Copy]
  [Question]   Avast báo DCOM exploit 09/11/2009 10:12:16 (+0700) | #4 | 197893
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

laocoi wrote:
Mình thắc mắc ở chỗ là không biết có phải có chương trình nào chạy ngầm trong máy của mình để yêu cầu một máy ở đâu đó tấn công vào máy mình không? hay là tấn công ngẫu nhiên.
 


Về câu hỏi này thì bạn phải tự theo dõi các kết nối từ máy bạn ra ngoài thôi.

Bạn cho thêm thông tin về phiên bản Comodo Firewall đang được sử dụng, Comodo Firewall và Avast bạn đang dùng đều miễn phí và được tải từ trang chủ tương ứng các phần mềm này chứ ?
Bạn thử xem kĩ trong phần log ( defense + events ) xem Comodo Firewall có gì liên quan port 135 không, ghi rõ đầy đủ lên đây xem.

Nếu máy bạn qua được kiểm tra ở trang này thì bạn có thể yên tâm rồi:
https://www.grc.com/x/ne.dll?bh0bkyd2
Nếu được, bạn gửi kết quả kiểm tra ở trang này lên đây.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Avast báo DCOM exploit 09/11/2009 23:17:53 (+0700) | #5 | 197915
laocoi
Member

[Minus]    0    [Plus]
Joined: 06/11/2009 23:38:54
Messages: 3
Offline
[Profile] [PM]
Cả Comodo và Avast mình đều tải trực tiếp từ trang chính và đều cập nhật thường xuyên. Svchost.exe mình cũng đã thiết lập trong comodo là outgoing only.

Mình cũng đã thử trang mà bolzano_1989, đây là kết quả

GRC Port Authority Report created on UTC: 2009-11-09 at 02:09:37

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

 
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|