Вирус на 300 баксов

no_name
Retif:

у которого все порты снаружи закрыты?

Никогда не знаешь что найдёшь под крышкой гроба раутера.
Некоторые ISP сами блокируют 135 и 445 порты. В этом случае бывает трудно определить на каком этапе отсекается пакет.

Retif
no_name:

Простите за занудство, а FTP, EMule, shttp на вашей машине не работают?

Что именно вы имеете в виду? Серверную часть? Нет, не работают. А если бы работали, то что? Что произошло бы в момент, когда я отправлял свой пост?
А что такое shttp?

alek_j:

Ну хорошо “виндовые огненные стены” так сделаны, что пропускают некую “служебку” в обе стороны (ну прогнулись мелкие и мягкие под государственную машину)

А этому есть подтвержение?

Владимир#:

Что бы не было вопросов по умолчанию порты которые могут быть использованы открыты. Далее дело конечного пользователя, кто заморачивается, тот лезет смотреть какие порты для чего и закрывает ненужные. Таких единицы. Ну плюс жесткие сисадмины, типа Павла. Таких тоже единицы. Проблема не в открытых портах, их дофига открыто для разных нужд.

Это в виндовом фаерволе. В котором по умолчанию тоже разрешены все исходящие подключения и запрещены все входящие. Но исключения добавляются тоже достаточно незаметно для пользователя, при некоторых настройках, тот же 445-й открывается при создании какой-нибудь шары или включении общего доступа к файлам. Для разных профилей, правда, для локальной сети включится, для публичной нет.
Однако на роутерах по умолчанию включен базовый файрвол, который блокирует все входящие подключения и, без ручной настройки, если самому порт не открыть нарочно, то все порты так и будут оставаться закрытыми.

no_name:

Никогда не знаешь что найдёшь под крышкой гроба раутера.

У них естественно бывают, находятся какие-то уязвимости в прошивках тоже. Но всех под одну гребенку не причешешь, да и конфигурация у всех разное, массовое какое-то проникновение через роутеры - это что-то совсем маловероятное.

no_name
Retif:

А если бы работали, то что?

они все разные порты используют.

Retif
no_name:

они все разные порты используют.

Спасибо, кэп.
И что с того? Причем тут мой пост на этот сайт по 80-му порту HTTP?

alek_j
Retif:

А этому есть подтвержение?

Не думаю, что если это и так, то до подтверждения можно докопаться, я это написал в ответ на всёпропускающие фаерволы причем на любых ОС, я вообще не понимаю, что это может быть за фаервол если он пропускает что ни попадя, какова тогда его “жизненная позиция”. Просто допустил (написал же “ну хорошо”, правда не добавил “допустим”), что в системе с закрытыми исходниками такое возможно… Хотя при просачивании подобной инфы это огромная потеря для репутации, ну не знаю…

no_name
Retif:

массовое какое-то проникновение через роутреры - это что-то совсем маловероятное.

Тем не менее это случилось.

Retif:

Спасибо, кэп.
И что с того?

Да ничего в общем-то; то вы говорите что все порты закрыта, а потом соглашаетесь что вообще-то и не все 😉

Retif:

Каким образом инкапсуляция поможет проникнуть снаружи через фаервол, у которого все порты снаружи закрыты?

alek_j
no_name:

Тем не менее это случилось.

Можно уточнить откуда такая инфа, получение письма с “подарком” и его открытие “интеллектуалом” за роутером с последующим распространением уже по внутренней сети после роутера не является “пробитием” роутера ИМХО.

Aerorus

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Работает только на Windows 8.1 и выше. На младших версиях использование протокола нужно отключать на более низком уровне: kb.bodhost.com/steps-to-enable-and-disable-smbv1-s…
Если установлено обновление и закрыты порты, значит все ОК, не парьтесь!

Retif:

Порт был открыт, понимаете? А не закрыт.

Заблокированный порт через firewall и закрытый порт на машине вещи разные.

P.S. к слову про википедию, на той же странице на английском ни слова про порты 135 и 445: en.wikipedia.org/wiki/WannaCry_ransomware_attack

Retif
no_name:

Тем не менее это случилось.

Еще раз:

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1.

Порт был открыт, понимаете? А не закрыт.

no_name:

Да ничего в общем-то; то вы говорите что все порты закрыта, а потом соглашаетесь что вообще-то и не все

Процитируйте, где я сказал, что вообще-то и не все.

no_name
alek_j:

Можно уточнить откуда такая инфа

По моему уже везде написали,
Тут и карта распространения есть dailymail.co.uk/…/North-Korea-global-cyber-hac.htm…

Retif:

Процитируйте, где я сказал, что вообще-то и не все.

Цитата Сообщение от no_name Посмотреть сообщение
они все разные порты используют.
Спасибо, кэп.
И что с того?

Retif
no_name:

они все разные порты используют.

Да, используют. Разные приложения используют разные порты. Это общеизвестная истина. Как из этого следует, что порт открыт? Вы можете не говорить загадками?

alek_j
no_name:

По моему уже везде написали,
Тут и карта распространения есть

Писали, что роутеры пропускали? И на карте указаны “пробитые” роутеры?

Aerorus:

Заблокированный порт через firewall и закрытый порт на машине вещи разные.

брррр, давайте уточнять - закрытый на машине порт, это понятно, а фаервол где, на той же машине или на роутере (ну или шлюзе) подсети?

no_name
Retif:

Да, используют. Разные приложения используют разные порты. Это общеизвестная истина. Как из этого следует, что порт открыт? Вы можете не говорить загадками?

Если FTP работает (можно скачать файл) значит с большой долей вероятности порт 21 открыт.
Если вы покупаете что либо в интернете, то shttp порт 443 открыт
ЕМуле использует 466х , 424х порты. и т.д.

Aerorus
alek_j:

фаервол где, на той же машине или на роутере (ну или шлюзе) подсети?

Без разницы, порт может считаться закрытым только на машине, на всем остальном он заблокированный.

alek_j
Aerorus:

Без разницы

Эх, ну всегда в спорах сначала предлагаю “договориться о терминах” - бывает под одними и те ми же словами понимается что то отличное от друг друга, почему в этот раз не уточнил… Что значит “закрытый”, а что “заблокированный”? И почему роутер не та же машина? Если у меня на роутере тупо не поднят сервис чего то, то чем и с чего вдруг роутеру отвечать на, для него, запрос в никуда? И если у меня служба поднята, но перед ней есть фаервол рубящий запрос по ее порту, как она узнает, что от нее ждут ответа? Как то так…

Retif
no_name:

Если FTP работает (можно скачать файл) значит с большой долей вероятности порт 21 открыт.

Если у меня работает сервер FTP на моей домашней машине и я его хочу сделать доступным из интернета, то да, я 21-й порт открою. Если я просто качаю что-то из интернета по FTP-протоколу, то 21-й порт у меня закрыт.

no_name:

Если вы покупаете что либо в интернете, то shttp порт 443 открыт

Не знаю что такое shttp, но если вы про HTTPS, то тут ситуация аналогична. Если я поднимаю у себя на машине свой веб-сервер, то да, я могу открыть 443-й (HTTPS) порт наружу. Если я просто как клиент захожу на сайты, порты HTTP/HTTPS у меня закрыты.

Tigron

Вот совершенно правильное замечание, Владимир. Все порты для чего-нибудь да используются. Не проблема закрыть HTTPS. Проблема в том, что при этом отвалиться почти весь интернет, так как очень многие рабочие приложения используют его. Когда пакет прилетает на компьютер, даже если этот пакет должен быть отвергнут, компьютер его просматривает, чтобы понять что это такое. А дальше, залетевшая зараза может подсадить свой вредоносный код через атомарные таблицы (atomic tables) практически в любое основное приложение Винды и ни один антивирус ее не найдет.

alek_j
Retif:

на моей домашней машине и я его хочу сделать доступным из интернета

Это справедливо если машинка “смотрит” в инет напрямую, а если она за набившим оскомину роутером, то придется еще и ему объяснить, что машинка за ним должна что то показать тем кто снаружи.

Retif
alek_j:

Это справедливо если машинка “смотрит” в инет напрямую, а если она за набившим оскомину роутером, то придется еще и ему объяснить, что машинка за ним должна что то показать тем кто снаружи.

Да, именно. Надо пробросить порты соответствующие.

alek_j
Tigron:

Не проблема закрыть HTTPS

Опять теплое с красным… Да нет у станций открытых НТТР портов, они у серверов, а запросы идут со станции по портам гораздо выше, но на (в данном случае) 80 порт сервера, станции могут послать запрос с любого “высокого” порта, главное, что посылают на 80 сервера, а на станции я 80 порт могу закрыть (да он и не открыт если только у меня на станции WEB сервер не поднят)

Retif:

Надо пробросить порты соответствующие

Есс… т.е. получается, что комп за роутером не светит в инет портами и чтоб попасть на 443 139 порты компа локальной сети роутер должен это обеспечить, а по умолчанию ему это лень и надо специально настраивать этот доступ.
Retif, это пояснение для тех кто писал, что роутер всем снаружи все позволяет 😉