Вот у меня есть чистая винда 7, у нее есть выход в интернет, время от времени я захожу на яндекс почитать новости, на этом все.Значит вероятность заражения отсутствует.Но вот я узнал что у нее есть какие-то порты и что через интернет к ним может кто-то попытаться подключится и взломать комп. Насколько реальна эта угроза?Если:а) пароль на компе естьб) если его нетв) если сидишь не из под админаГ) или если просто обнаружится уязвимость системы, которая позволит провернуть такое. или же подобное исключено?И последнее: Если ответ ДА, то это же ПИЗДЕЦ. Чистая свежая винда полностью пассивная только с доступом в интернет может быть скомпрометирована?Вопрос: как корректно ликвидировать такую угрозу? С инструкцией, как отрубать эти порты и т.д. а та же просто интересует матчасть, расскажите про эту хуйню в образовательных целях, пожалуйста.Вот такие новости меня заставили задуматься:>Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.>Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.>В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.>В этом наборе есть опасный инструмент DoublePulsar.>Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsarпростукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.>Мы закрыли 445 порт и рекомендуем ставить MS 17-010 нашим клиентам.
Да, и вот еще вопрос. 445 порт открыт по умолчанию?
Поставь комодо фаервол. Его интерфейс заменяет весь геморой с настройкой портов/записи/реестра и тд + система мониторит весь трафик и предотвращает атаки
>>2033731Охуительные истории.
>>2033735конкретизируйКомодо лучший фаервол для обычного пользователя уровня ламера и выше, сидящего на окнах
>>2033708 (OP)Ставлю win7 sp1, отключаю все обновления.Сижу без обновлений. все пароли, в том числе от платёжных систем хранятся в моих документах в папке пароли.Все сайты хранят логины, никто не спиздил рубля за всю время, никто ни разу не угнал аккаунт вк.
>>2033756>никто не спиздил рубля за всю время>implying кому то всралась эта туалетная бумага
>>2033756значит уязвимость описанная в оп посте применима к твоей системе
смотря какие порты открыты. на какие то порты эксплоитов просто дохерища и все рабочие, на какие то их единицы и они платные и не работающие и ббваьвыдаьвыщаывав. ну а серьёзно если - комодо реально помогает.
пишет человек с 10 виндой. т.е. я. вухаахах
>>2033708 (OP)По пунктам> а) пароль на компе есть> б) если его нет> в) если сидишь не из под админаНе спасет в случае уязвимости. Да ответ - да, может с большой вероятностью. Вывод делаю тупо из прошлого опыта. Из опыта поражения овцеебов Stuxnet'ом. Там ничего не было даже видимого: ты просто открывал проводник, винда пыталась отрендерить иконку из файлика, буфер -> стек переполнялся, происходила инъекция и запуск кода, еще одной уязвимостью повышались привилегии до системных. Точка, ты даже глазом не успевал моргнуть. Вот что такое - умения и знания - крутая работа. Это тебе не порнолокер какой-то. Но были в истории и массовые вирусы, которые использовали удаленные уязвимости в RPC Windows, массово валили системы тупа сканя адресное пространство Интернета (32 бита всего лишь тогда).Почему же этого не происходит? Почему же массово у всех не происходит ничего как было в 2003 с известным lsasser и MSBlast?!Моим долгом как сетевого инженера будет объяснить анону несколько моментов:1) В большинстве случаев, в связи с нехваткой IPv4 адресов ты сидишь как минимум за одним NAT (своего роутера), подключиться к твоим портам сложно. Только внутри сетки твоей. В большинстве случае еще есть и CGN (Carrier Grade NAT), когда оператор уже вторым заходом производит NAT абонентcких CPE (роутеров).Так как инициировать TCP-соединение к тебе невозможно, проблема сама отпадает для IPv4.2) Даже если у тебя есть публично маршрутизируемый IPv4 адрес. Провайдеры очень часто следуют совету, который был выведен с очень печальным опытом - блокировка портов Windows служб для абонентов провайдера и офисов. Любой админ без труда скажет тебе что означают, и какие ассоциации вызывают у него числа 135,139,445, спроси ты у него это хоть с бодуна! Эта практика настолько стандартна, что о ней даже не думают. Это - понятно сразу.3) Для IPv6 - на роутерах очень часто в фаерволлах по умолчанию включен stateful firewall, которые не даст создать новое соединение со стороны внешней сети к домашней сетке. Даже если нет, сканирование адресного пространства IPv6 (128 бит) 2^128 адресов та еще задача... (успех просто таки гарантирован, ага).3) Очень часто пользователи отключают прослушку служб Windows RPC и SMB на интерфейсе, снимая галочку как советуют хорошие админы, в разделе "Протоколы и службы" свойств сетевого подключения. Это еще более оптимистично.Итого - единственная наиболее угроза - твоя домашняя сетка. Никогда не отключай обновления Шинды, ставь последние патчи. Антивирус на усмотрения, от целевой хорошей атаки он не спасет почти никогда, как и хваленные Cisco ASA. Настоящий взлом - это искусство.Все же старайся избавляться от Шинды где возможно, и ставить ее за строгим фаерволлом. Если есть вопросы, пиши используя кнопку "Ответ".
>>2034251>>2033756>>2034054Вот ответ, почему он все равно жив и здоров.
>>2034251спасибо за инфу
словил хуйню. очень похоже на описываемую в треде на PGhttp://forums.playground.ru/hardware/majner_winsec_exe_msiexev_exe-934689/имею реальный ip(динамик). по говну не лажу практическинесколько раз возвращаласьперезагружала падла комппоявляется в корне системного диска и в длинном пути в оси (на пике)ось не обновлял. имею нод и аутпостпоследнее что словлено из двух частейhttps://virustotal.com/en/file/d39a0fb9e4f85c309af17551c579d539e4f6e7abf65e1665c112db8047b0149e/analysis/1493894390/https://virustotal.com/en/file/bba5b3d56dc0b73a92716be5bc97400bd3d56911165e6de8ee9d3a7776e34a1c/analysis/1493894595/пытаюсь понять чо запатчитьвзял пока что это:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
IE не пользовал. в комп идёт напрямую провод.аутпост был в режиме РАЗРЕШАТЬ ВСЁ
названия основных частей в корне были qqss77889900.exe и 15321.exe
как в ручную позакрывать порты?
>>2034255Просто он нода ботнета и косвенно приносит прибыль его хозяину.
>>2033708 (OP)твоя "чистая" винда по-умолчанию слушает определенные порты, на них и направлены атаки.А куда ты там заходишь никого не интересует.Самое простое решение для любой винды - сидеть за NATом. Покупаешь копеешный роутер для раздачи инторнетов и реальный ойпи приземляешь на нем. А все эти кривые и тормозные виндовые поделия, по недаразумению называющие себя файрволами, абсолютно не нужны.
>>2039742> А все эти кривые и тормозные виндовые поделия, по недаразумению называющие себя файрволами, абсолютно не нужны.Они для удобного контроля сетевой активности на прикладном уровне ващет.
>>2039747Иди нахуй, долбоеб школьный.Сети выучи хоть немного.
>>2039758>>2039801И в чем же я не прав, порванный дебил? Ты чтобы игруле не дать выйти в сеть, лезешь в роутер? И что ты там делаешь?
>>2039742Двачую адеквата, роутер должен быть на открытой и обновляемой прошивке. Желательно настроить иптейблс. Иначе уязвимость в роутере>уязвимость в винде>винлокер с гомонигрой
>>2040006Да, лезу в роутер, внезапно! Делаю iptables -t filter .... и дальше много разных буковок идет, а в конце -j REJECT или -j DROP.Вот скоро хочу nftables изучить, но тебе не понять.Мало того, я перед этим еще и трафик этой игрули проанализирую, чтобы сделать выводы.
>>2040038Как ты будешь идентифицировать одно приложение от другого на сетевом уровне, дурачек? И главное зачем, когда для этого придуман прикладной уровень?
>>2040055Заебись, ты предлагаешь мне в операционку типа винды вгрузить кусок проприетарного говнокода? Идентификация по L7 возможна, но сука затратна, помни.
>>2040055И как ты предлагаешь дешево блочить приложение по L7 с нескольких машин без всяких васянофаерволов на конечных узлах? В Linux - есть возможность запускать приложение в netns, в Винде - только говнофаерволлы, которые далеко не всегда спасут, если приложение запускает разные дополнительные процессы.
>>2040070Рассмотрим также сценарий BYOD-среды, когда машинами ты управлять не можешь.
>>2040038Ну-ка, ну-ка, покажи конкретные правила, которые блокируют игрую и больше ничего другого.>>2040067Так его там всё ядро, этого говнокода, от ещё одного куска ничего особо не изменится.
>>2040075>Так его там всё ядро, этого говнокода, от ещё одного куска ничего особо не изменится.Ну да - ну да. Видел я такие вскукареки. Видел как ребята эти дополнительные куски кода исследовали и находили в них strcpy который может переписать кусок за буфером или вне области в куче. Благо там были проверки, которые компилятор и DDK добавил, которые затем вызывали BugCheck (что спасало от пробивания днища в контекст ядра путем аварийной перезагрузки).Не пиши большей такой херни здесь. Видно сразу, что ты нихера не знаешь в архитектуре операционных систем.>Ну-ка, ну-ка, покажи конкретные правила, которые блокируют игрую и больше ничего другого.Если ты хочешь КОНКРЕТНУЮ игру без привязки к порту и транспортному протоколу (TCP/UDP/SCTP/DCCP) в условиях BYOD, то ты либо используешь L7 фильтр, либо гуляешь к чертам. Ты должен сделать запуск приложения на конечному узле для юзера в его пространстве имен сети (netns) и тогда блочить сотрудникам трафик, а в шинде этого не сделать. Сотрудник переименует исполняемый файлик - и твой васянофаервол обосрется - только белый список приложений, что накладно уже. Опять же это не реализуемо в условиях BYOD среды.
>>2040080>Если ты хочешь КОНКРЕТНУЮ игру, то ты либо используешь L7 фильтр, либо гуляешь к чертам.Но ты же сам только что сказал, что блокируешь игрулю на роутере >>2040038. У нас что, роутеры по волшебству научились в уровень приложений?
>>2040087О, мать моя, женщина. Могут! Слыхал про netfilter string match, о netfilter u32 match, о коллекции уже готовых матчей L7 протоколов ? О проекте OpenDPI? А если слыхал, то знаешь как это накладно. Потому я РЕДКО страдаю такой херней. Использую тупо легкие матчи, поверь это редко когда приводит к collateral damage.
Игрульки игрульками, а я вот помню как обосанный Керио Винроуте не мог справиться даже с 10мбитами. Со своими разбором пакетов L4+. А ведь серверу еще надо было заниматься делом, а не хуйней.
>>2040109Вот-вот, BSD-кун. И так со всеми пердподелиями. Если хочешь блочить приложения на шинде своей личной - стандартный фаервол. Если хочешь блочить приложение в офисе где люди носят с собой свои железки - роутер на базе FreeBSD (ipfw) либо на базе Linux (netfilter). P.S. Люблю бздю!
>>2034251Такой вопрос - Комп висит за роутером, к нему нужен доступ по rdp. Открыт порт, проброшен через роутер, статичный ip.Как опутать всё это колючей проволокой от хакеров-хуякеров?
>>2040070>>2040080Ты наркоман или повыебываться решил? ОП спрашивал про сетевую защиту для домашней пекрани на венде блять а не сложного ентырпрайза, где совсем другие инструменты используются. И ты предлагаешь ОПу вместо удобного приложения пердолиться на роутере для каждого приложения с непонятными результатами. Долбоёб или что? Да нет, видимо омежный студентик прочитал пару книжек и решил выебнуться.
>>2040235> сетевую защиту для домашней пекрани на венде Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи. </response> >роутере для каждого приложения с непонятными результатами.Здесь проиграл. Я здесь для того, чтобы анончики узнали немного больше о работе с сетью, не стоит на меня наезжать. Манямирок любителей всяких Eset и Outpost должен вконце-концов лопнуть, так как я чувствую позор на своей душе, когда люди мне несует херню.>>2040187>Комп висит за роутером, к нему нужен доступ по rdp. Открыт порт, проброшен через роутер, статичный ip.Так парни с campranks получают клиентов. Не делать этого. Особенно на стандартном порте 3389.Сделать IPsec туннель, гнать трафик до RDP только по IPsec. Как вариант - какой-нибудь OpenVPN может быть альтернативой, но в IPsec я более уверен.IPsec настраивать сложней немного (нужно настроить IKE, политики и другие штуки), тогда как с OpenVPN все проще и работает он в userspace. Подумай что тебе лучше.На PPTP, L2TP и прочих аутсайдеров даже не смотри.
>>2033718На window 7 закрыт, на ХР открыт.Пользоваться ограниченой учетной записью делов то, потом щас воон какие роутеры домашниие борзые, фильтрацию настроить можно, что ни одна анб не проберёться.
>>2040262О б!я! А я как-раз с опенвпн дрочусь! :)В голову не пришло совместить эти технологии! Спасибо!
>>2040292Всегда пожалуйста.Порядок действий1) Скриптами Easy-RSA поднять PKI: скопировать папку в easy-rsa, в копии поменять файлик vars под свои нужды, ./clean-all, . ./vars, ./build-dh (згенерировать параметры Диффи-Хелмана), ./build-ca, ./build-key-server server, ./build-key my_client_anon.vpn.vasyan.local2) Раздать файлики по машинам. Никому не отдать лишнего! Будет в папке keys (не помню точну).server.key - приватный ключ сервера (на сервере), ca.crt (публичный ключ ca - везде), ca.key (никуда, только в папке с PKI), server.crt - публичный ключ сервера (сервер), my_client_anon.vpn.vasyan.local.crt (публичный ключ клиента - только одному клиенту), my_client_anon.vpn.vasyan.local.key (приватный ключ клиента - только одному клиенту), dh1024.pem - Параметры Диффи-Хеллмана - на сервере3) Папку с PKI бэкапим и непроебываем, через нее будет выдача ключей новый клиентам. Процедура: . ./vars, ./build-key my_client_xxx.vasyan.local 4) Создание папки c конфигом и написание конфигурации сервера с забросом туда необходимых файлов из PKI. Смотри мануал.5) Создание конфига для клиента + переброс ему ca.crt, my_client_anon.vasyan.local. Советую использовать режим tun (L3-туннелирование, меньше оверхед по MTU) + udp-транспорт (актуально для херовых мобильных сетей, нет TCP-оверхеда) + tls-client + topology subnet + server + cipher типа AES-256-GCM (режим Галуа), auth SHA256 + remote-cert-tls server + pull централизованно маршрутов с сервера + comp-lzo adaptive6) Настроить на сервере роутинг, в сети решить вопрос с маршрутами. Если VPN идет на твой основной шлюз в сетке - проблем не будет.7) Настроить firewallВопросы можешь писать в тред. Советую запускать OpenVPN на хорошем маршрутизаторе из-за его ограничений. Если есть говнороутеры от TP-Link: хотя бы уровня WR1043ND или ну хоть WR741ND - начни с прошивки их в LEDE, на OpenWRT не смотри - он устарел как говно мамонта. Из микророутеров советую TP-Link Archer C7 либо UniFi EdgeRouter
>>2040262> , не стоит на меня наезжать.А в этих сообщениях значит наезда нет?>>2039758>>2039801
>>2040315Слыш, строничку вконтакте взломаеш?))
>>2040376Это не слова автора >>2040262. Вам два человека указали их отношение к вашим словам после Вашего поста, мсье. Это Интерсеть, будьте готовы к критике.
>>2040398> Это не слова автораЭто следовало бы указать, не было бы никаких "наездов".> будьте готовы к критике. Это не критика это высер обычного двачебыдла. Мсье, вы так и не предложили удобную альтернативу вендовому фаерволу для домашней пекарни. Об абсолютной защите никто и не говорит, поэтому мне непонятны эти слова > Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещиСвои юзкейсы у этого инструмента есть, не понимаю зачем это отрицать.
Имхо лучше использовать OpenVPN для твоего RDP. Настройка проста как 5 копеек, есть возможность включить сжатие (хотя не знаю даст ли это выигрыш для RDP) и клиенты под все платформы. А смамое главное нужно быдет открыть лишь один порт для любых сервисов, а на внешнем ойпи не светить RDP.Плюс удобное прокидывание маршрутов и свои днсов при подключении. Чтоб работало и с виндовым маняднсом.
>>2040315Спасибо!А если опенвпн поднять на той машине, к которой нужен рдп доступ? Пробросить опенвпн через роутер и всё?
>>2040491>>А если опенвпн поднять на той машине, к которой нужен рдп доступ? Пробросить опенвпн через роутер и всё?Именно так! RDP будет доступен на интерфейсе VPN-сервера внутри туннеля.
>>2040432>Это не критика это высер обычного двачебыдлаЧто поделаешь. Такой нынче язык в моде: нахуй-захуй без малейшего понимания что эти слова значат. Отупение молодого поколения на лицо... На лицо и в глаза им матерям...
>>2033738 Комодо сложно назвать фаерволом. Это типичная убогая мокрописька с нелогичными настройками и тонной мусора в комплекте. К тому же свои непосредственные задачи выполняет через жопу. Самый лучший фаер - это родной виндовый.
Купи роутер./Тред
>>2041206Правильно говорить «netfilter».
>>2034251>>Но были в истории и массовые вирусы, которые использовали удаленные уязвимости в RPC Windows, массово валили системы тупа сканя адресное пространство Интернета (32 бита всего лишь тогда).Похоже, история имеет свойство повторятся :-)Кек. Я предсказал жопу.Сижу ржу как дебил.
>>2033708 (OP)>Чистая свежая винда полностью пассивная только с доступом в интернет может быть скомпрометирована?Любое устройство с доступом в интернет уже не пассивное. Даже kernel.org ломали.
>>2040262>> сетевую защиту для домашней пекрани на венде >Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи. Ах эти экспертные заключения!
>>2042496
Раз уж такая тема пошла: где в шинде сделать так, чтобы любой запуск программы/любое интернет соединение запрашивало доступ у меня? Прям каждое действие.
>>2042511Перед каждым действием спрашивай разрешения у мамки.
>>2042511Так это поведение по умолчанию вообще-то. Только учти, что многие приложения при установке добавляют для себя правило в таблицу файрвола (поэтому ты не видишь предупреждения), а могут они это делать потому что инсталяторы обычно запускаются с админскими правами.
>>2042511> Под рутом не работай. В том числе под виндой. Сделай себе пользовательскую учётку и сиди под ней. А лучше несколько. Например, игровая, порнодрочильная, семейно-фоточная, двачесетевая. Будет неудобно, да. Настрой права так, что из под любой из учёток не сможешь открыть данные соседних. Каким бы хитровыебанным не был вирус, он не пробьётся к твоим фотачкам, если ты сидишь в инете, самой опасной будет эта учётка.> Я сам сейчас под админом сижу. Чот забеспокоился. Пойду понижу себе права.
>>2042511Не совсем то, но я думаю пойдет.
>>2033708 (OP)https://vz.ru/news/2017/5/12/870062.htmlУ тебя не будет вирусов, если твой компютер не может запускать программы вообще.
>>2042547Действительно не то, но тоже включил.>>2042518Есть такое же для сетевых подключений?>>2042516Не буду, вдруг ещё комп заберёт.
Как проверять открытые порты вообще? Стоит роутер, хз как там настраивать блокировку. Надо прописывать исходящий и входящие порты плюс айпи тоже. В 2ip все порты закрыты. В netstat 445 порта нету, но есть 135 порт, которые юзают две системные службы и отключить их невозможно.
>>2033708 (OP)Закрывай порты 135, 137, 138, 139, 445 в виндузятном Брендмауэре, если не стоит сторонний фаерволл.Пуск -> панель управления -> Брендмауэр шиндовс -> дополнительные параметры -> правила для входящих подключений -> создать правило... -> для порта -> далее -> поставить галку протокол ТСP, в поле ввести номер порта -> далее -> блокировать подключение -> далее -> вводишь любое имя -> готовоПроделываешь тоже самое для тех же портов ставя галку напротив UDP.
>>2042521Есть много эксплоитов на повышение привилегий. Может и не спасти.>>2042892Не ссы.* Открываем "Панель управления -> Программы и компоненты - Включение и отключение компонентов Windows". Находим "Поддержка общего доступа к файлам SMB 1.0/CIFS", отключаем.И всё.
>>2044298Это для десятой видны. На седьмой надо отключать по другому.
>>2044365Это верно.Способов всего три. Для хр, 7 и 8-10.Про висту не в курсе. Да и кому она нужна?