اين LSASS Exploit چيه که من دچار حمله اش شده ام؟

[Persiana]

سلام،

از ديروز بعد از ظهر من دچار اين مشکل شدم که آنتي ويروسم مدام داره هشدار ميده که کامپيوترم از جانب يک IP مشخص دچار حمله ي LSASS Exploit (SXP) شده که اون رو بلوکه کرده. اين اتفاق هم نه يک بار، نه دو بار، بلکه تا زماني که به اينترنت متصل بودم (بيش از 30 - 40 بار!) افتاد و من را ديوانه کرد. تو گوگل براش سرچ کردم ولي چيز هاي مختلفي براش نوشته بود، از کرم ساسر گرفته تا نفوذ همينجوري به کامپيوتر قرباني بدبخت که اينبار من بيچاره ام لابد (خوبه حالا چيز به درد بخوري تو کامپيوتر من پيدا نميشه!).

الان صبح هم دوباره يه حمله ي ديگه داشتم که اينبار نتونستم بخونم چي بود ولي يه چيزي شبيه DCOM يا DCM يا مشابه بود. حالا ممکنه يک نفر توضيح بده که چه بلايي داره سرم مياد؟ و اينکه چه بايد بکنم من. پيشاپيش مرسي

اينم 2 تا اسکرين شات از هشدار مربوط به اين حمله:







اين 2 تا IP راستي به کاري مياد؟ در ضمن بگم که نصف اين حملات با آي پي اوليه بود و بعدش شد آي پي دوميه.

 

[erfan005]

اين آی پی فکر می کنم ايرانی هست چون خيلی شبيه آی پی منه ! از p2p استفاده می کنی ؟

 

[Persiana]

درسته، آي پيش حتما ايرانيه چون مال منم با 213 شروع ميشه! بعدشم بله، از Azureus داشتم استفاده مي کردم (ولي هيچ IP وطني اي توي swarm ش نبود، همه چيني بودند!) و امروز صبح هم ديگه کاري نمي کردم که باز اينجوري شد.

 

[erfan005]

شما اگه از نورتون استفاده کنی نسخه کاملش وقتی کسی بخواد وارد سيستمت بشه جلوش رو می گيره محل زندگيش ای پی و جايی که ازش سرويس اينترنت رو می گيره رو بهت می ده اونوقت می تونی راحت به شرکتش زنگ بزنی و حالشو بگيری (البته اگه از ايران باشه)

 

[Persiana]

اوه، نه من قبلا نورتون داشتم ولي سر نسخه ي 2005 ش پدرم دراومد و ديگه ازش استفاده نکردم، الان آنتي ويروسم از اين رايگان هاست، اسمشم Avast! ه (ولي از اين الکي ها نيست چون رتبه اش تو بررسي ها بالا بود) اينم همانطور که ملاحظه مي فرماييد جلوشو گرفته و آي پيشم رو کرده ولي ديگه مشخصات فردي نداده!!

 

[rezadignity]

فایروال هم نصی کنی بدک نیست!

 

[artin]

http://whois.domaintools.com/213.207.236.81
Iran, Islamic Republic Of - Tehran - Tehran - Roham Pars Wireless Ip Pool

به داتک زنگ بزن و مثله رو بگو و کمی پرخاش کن
حتما پیگیری می کنن

 

[farbod_123]

میشه بگید ویندوزتون چی هست ؟

 

[Bigboy222]

از ديروز بعد از ظهر من دچار اين مشکل شدم که آنتي ويروسم مدام داره هشدار ميده که کامپيوترم از جانب يک IP مشخص دچار حمله ي LSASS Exploit (SXP) شده که اون رو بلوکه کرده. اين اتفاق هم نه يک بار، نه دو بار، بلکه تا زماني که به اينترنت متصل بودم (بيش از 30 - 40 بار!) افتاد و من را ديوانه کرد. تو گوگل براش سرچ کردم ولي چيز هاي مختلفي براش نوشته بود، از کرم ساسر گرفته تا نفوذ همينجوري به کامپيوتر قرباني بدبخت که اينبار من بيچاره ام لابد (خوبه حالا چيز به درد بخوري تو کامپيوتر من پيدا نميشه!).

الان صبح هم دوباره يه حمله ي ديگه داشتم که اينبار نتونستم بخونم چي بود ولي يه چيزي شبيه DCOM يا DCM يا مشابه بود. حالا ممکنه يک نفر توضيح بده که چه بلايي داره سرم مياد؟ و اينکه چه بايد بکنم من. پيشاپيش مرسي

اينم 2 تا اسکرين شات از هشدار مربوط به اين حمله:

سلام

شما با اکسپلویت lsass و dcom مورد حمله قرار گرفتید

اول باید ویندوزت رو پچ کنی و اپدیت باشه

بعدش هم فایروال قوی روسیستمت نصب باشه

خوب می خوای ببینی طرف از چه isp اکانت میگیره ؟

ایپی حمله کننده را دراین سایت بزار http://www.ripe.net

و whois کن خودش بهت میگه isp حمله کننده چیه !

یه نمونه از کار این سایت

براي اين کار کافي اول اي پي را پيدا کنيدو وارد اين سايت بشيد در بالاي صفحه box خالي اي وجود دارد و در كنار آن دكمه submit query وجود دارد. IP را در box نوشته و بر روي دكمه كليك كنيد.
با اين کار اطلاعات بسياري به شما مي ده که بعدن همه را توضيح مي دم.

اين هم نمو نه از کار اين سايت:
person: FARSHAD BAGHERYAN
address: Floor 2 & 3, Sabeti building,
Modarress Str., Kermanshah, IRAN
phone: +98 831 8235045
phone: +98 831 8235045
fax-no: +98 831 8230820
e-mail: [email protected]
e-mail: [email protected]
nic-hdl: FB596-RIPE
source: RIPE

person: Abdollah Fateh address: Pars o­nline Co. address: 224 Khoramshahr ave., No. 6C address: Tehran 15337 address: Iran phone: +98 21 875 7277 fax-no: +98 21 874 9595 e-mail: [email protected] nic-hdl: AF1351 changed: [email protected] 20000628 changed: [email protected] 20020130 source: RIPE
خوب اين فقط يک مثال بود و هر گونه مسوليت اين کار به عهده خود شخص کاربر مي باشد

یادش بخیر دو سه سال پیش اکسپلویت لسس و دوکام

ابزار خوبی برای کلاینت هکینگ بود ولی وقتی کرم ساسر وبلاستر روی این دو باگ

منتشر شد همه پچ کردن !

خواستی این برنامه ای که باهاش مورد حمله قرار می گیری

و این دو تا اکسپلویت رو که باهاش روی پورت 445 و 135 حمله می کنن

رو لینک دانلودش رو برات بزارم

که ببینی چیه ! دو سه پیش ما با این برنامه چه خرابکاری ها که تو نت نکردیم !

اون موقع روی سیستم اکثر کلاینت ها این دو تا اکسپلویت جواب می داد ولی الان نه !

 

[Bigboy222]

احتمالا" ویندوزت پچ نیست که مورد حمله قرار میگیری !

یه پچ برای غیر فعال کردن باگ dcom روی ویندوز هستش کار تیم اشیانه :happy:

مشاهده پیوست DCOMDIS.zip

 

[Bigboy222]

در ضمن بحث انتی ویروس رو وسط نکشید !

چون به تنها چیزی که ربط نداره به انتی ویروسه !

فقط این حملات به فایروال و پچ بودن ویندوز مربوط میشه !همین !

 

[Persiana]

Wow! من يه سر رفتم بيرون و اومدم ديدم چقدر جواب گرفتم ^_^

ويندوز من XP يه که سرويس پک 2 هم روش اينستال شده و تقربا هر هفته هم آپديت ميشه ( دست کم اينجور به نظر مياد، راستي منظورتون از اين پچ براي آپديت شدن همونيه که روي ويندوزهاي غير genuine نصب ميشه؟). البته فايروال فقط همون فايروال ويندوزه که اونم چون به هنگام استفاده از Azareus مشکل ساز ميشه من disable ش مي کنم ولي آنتي ويروسم (پاشو کشيدم وسط!) شيلدها ي مختلف براي موارد مختلف داره ( Network Shield, P2P Shield, Web Shield و از اين دست) و همانطور که گفتم از طريق اون من فهميدم دارم مورد حمله قرار مي گيرم (تا حالا که به سلامت مانده ام!).

شما با اکسپلویت lsass و dcom مورد حمله قرار گرفتید

درسته، الان ديدم بالاخره که اون يکيش چي بود:

یه پچ برای غیر فعال کردن باگ dcom روی ویندوز هستش کار تیم اشیانه

تيم آشانه رو تقريبا باهاشون اشنايي دارم (يه چيزايي تو مجله ها راجع بهشون خوندم يعني ^_^) ولي ببينم اين پچه خطرناک که نيست، يعني يک وقت نزنه يک سري برنامه رو از کار بيندازه يا خود ويندوز رو!

به داتک زنگ بزن و مثله رو بگو و کمی پرخاش کن
حتما پیگیری می کنن

اتفاقا 3 شنبه مي خواستم برم شرکتشون (براي يه کار ديگه البته) ولي حتما در اين مورد بهشون مي گم و پرخاش هم مي کنم (پس حدسم درست بود که اين چون با 213 شروع شده بايد مال داتک باشه)! اميدوارم که پيگيري کنند.

http://whois.domaintools.com/213.207.236.81

خوب می خوای ببینی طرف از چه isp اکانت میگیره ؟
ایپی حمله کننده را دراین سایت بزار http://www.ripe.net

از اين نظر هم ازتون ممنونم.

خواستی این برنامه ای که باهاش مورد حمله قرار می گیری
و این دو تا اکسپلویت رو که باهاش روی پورت 445 و 135 حمله می کنن
رو لینک دانلودش رو برات بزارم

ممنون ولي مي ترسم اونوقت خودم دستي دستي بزنم يه بلايي سر کامپيوترم بيارم! آخه منکه حرفه اي نيستم @_@

حالا اين جنابي که بند کرده به من و هي حمله مي کنه، هدفش از اين کار ميشه يکي بگه چيه؟ يعني من انقدر شخص شخيصي هستم که مورد توجه اوشون قرار گرفتم؟!! يا دنبال چيز خاصي ميگرده، يا دليل ديگه اي داره؟ اگه خداي ناکرده تو حمله اش بالاخره موفق بشه اونوقت من چه بلايي سرم مياد؟

 

[Persiana]

دهه! چرا اينجوري شد، حالا دوبله مورد حمله قرار گرفتم! اينا چرا IP هاشون با هم نمي خونه؟ يعني چندين نفر امروز دچار بيکاري حاد شده اند و گير داده اند به من بدبخت بي نوا؟!



پس خوبه دوباره اين سؤالم رو هم تکرار کنم:

حالا اين جنابي که بند کرده به من و هي حمله مي کنه، هدفش از اين کار ميشه يکي بگه چيه؟ يعني من انقدر شخص شخيصي هستم که مورد توجه اوشون قرار گرفتم؟!! يا دنبال چيز خاصي ميگرده، يا دليل ديگه اي داره؟ اگه خداي ناکرده تو حمله اش بالاخره موفق بشه اونوقت من چه بلايي سرم مياد؟

 

[Bigboy222]

حالا اين جنابي که بند کرده به من و هي حمله مي کنه، هدفش از اين کار ميشه يکي بگه چيه؟ يعني من انقدر شخص شخيصي هستم که مورد توجه اوشون قرار گرفتم؟!! يا دنبال چيز خاصي ميگرده، يا دليل ديگه اي داره؟ اگه خداي ناکرده تو حمله اش بالاخره موفق بشه اونوقت من چه بلايي سرم مياد؟

شما adsl دارید و ایپی شما ولید هستش ! درسته ؟

برای همین مورد حمله پیاپی قرار می گیرید !

اگر با این اکسپلویت ها کار کرده باشین

ویندوزهایی که پچ نباشن و فایروال هم تو کار نباشه طرف با اجرای اکسپلویت می تونه

یک کامند پرامپ یا به اصطلاح شل از قربانی بگیره

یا واضح تر بگم کامندپرامپ سیستم شما رو در اختیار بگیره

و اگه کسی بتونه cmd رو دراختیار بگیره

می تونه در cmd قربانی دستورات net رو اعمال کنه

مثلا یه یوزر در سیستم شما ادد کنه

net user bigboy222 1234 /add

net localgroup administrators bigboy222 /add

درایو های شما رو فورمت کنه

دریواها رو ببینه با دستور net share

با دستور net account اکانتهای سیستم شما رو مشاهده کنه !

و هزاران خراب کاری دیگه در سیستم شما !

من تو این جور مواقع با tftp32 فایل سرور کی لوگر اپلود می کنم توی استارت اپ قربانی !

--------------------------------------------------------

تيم آشانه رو تقريبا باهاشون اشنايي دارم (يه چيزايي تو مجله ها راجع بهشون خوندم يعني ^_^) ولي ببينم اين پچه خطرناک که نيست، يعني يک وقت نزنه يک سري برنامه رو از کار بيندازه يا خود ويندوز رو!

در مورد اون پچ بگم که مشکلی نداره و باعث بالا رفتن امنیت ویندوز میشه !
در ضمن اگه ویندوزت اپدیت باشه و یه فایروال قوی رو سیتمت نصبه باشه
مشکلی پیش نمیاد منظورم فایروال ویندوز نیست xp سرویس پک 2 نیست ( یه برنامه فایروال جدا رو سیستمت نصب باشه )

--------------------------------------

« اینجور که در عکس دیدم فایروال بلوکه کرده پس مشکلی نیست »

 

[Persiana]

آخرين خبر!
------------

حق با دوستان بود که فرمودند به خاطر قايرواله. البته من فايروالي رو نصب نکردم بلکه همين فايروال مظلوم ويندوز رو فعال کردم و حملات قطع شد! واقعا، مرسي، مرسي و خيلي هم مرسي ^_^

شما adsl دارید و ایپی شما ولید هستش ! درسته ؟

بله درسته، همينطوره.

و هزاران خراب کاری دیگه در سیستم شما !

اوه، خداي مـــــــــــــــــــــــــــــــــــن (يعني من غش کردم!) @_@

در مورد اون پچ بگم که مشکلی نداره و باعث بالا رفتن امنیت ویندوز میشه !

هرچيزي که به بالارفتن امنيت ويندوز کمک کنه عاليه ^_^

منظورم فایروال ویندوز نیست xp سرویس پک 2 نیست ( یه برنامه فایروال جدا رو سیستمت نصب باشه )

من قبلا Zone Alarm داشتم، ولي انقدر دردسر درست کرد (همه چي رو بلاک مي کرد غير از اونايي که بايد بکنه!) منم ديگه هيچ فايروالي نصب نکردم (البته شنيدم که مي گن Sygate گزينه ي خوبيه) ولي الان مشکل منو همين فايروال ويندوز اکس پي که کسي قابل حسابش نمي کنه حل کرد!


اين Avast هم خدا عمرش بده وگرنه من که الان کارم زار شده بود !!

 

[erfan005]

در ضمن بحث انتی ویروس رو وسط نکشید !

چون به تنها چیزی که ربط نداره به انتی ویروسه !

فقط این حملات به فایروال و پچ بودن ویندوز مربوط میشه !همین !

منظور من Norton Internet Security بود ! کی از آنتی ویروس حرف زد ؟

 

[rezadignity]

فایروال نداشتی؟ من وقتی آلارم فایروال رو روشن می کنم هر 1 دقیقه آلارم میزنه که فلان آی پی میخواست وارد بشه جلوشو گرفتم! انقدر زیاده که آلارمشو خاموش کرده ام.
یک فایروال ZoneAlarm نصب کن.