Вирус на 300 баксов

no_name
alek_j:

Можно уточнить откуда такая инфа

По моему уже везде написали,
Тут и карта распространения есть dailymail.co.uk/…/North-Korea-global-cyber-hac.htm…

Retif:

Процитируйте, где я сказал, что вообще-то и не все.

Цитата Сообщение от no_name Посмотреть сообщение
они все разные порты используют.
Спасибо, кэп.
И что с того?

Retif
no_name:

они все разные порты используют.

Да, используют. Разные приложения используют разные порты. Это общеизвестная истина. Как из этого следует, что порт открыт? Вы можете не говорить загадками?

alek_j
no_name:

По моему уже везде написали,
Тут и карта распространения есть

Писали, что роутеры пропускали? И на карте указаны “пробитые” роутеры?

Aerorus:

Заблокированный порт через firewall и закрытый порт на машине вещи разные.

брррр, давайте уточнять - закрытый на машине порт, это понятно, а фаервол где, на той же машине или на роутере (ну или шлюзе) подсети?

no_name
Retif:

Да, используют. Разные приложения используют разные порты. Это общеизвестная истина. Как из этого следует, что порт открыт? Вы можете не говорить загадками?

Если FTP работает (можно скачать файл) значит с большой долей вероятности порт 21 открыт.
Если вы покупаете что либо в интернете, то shttp порт 443 открыт
ЕМуле использует 466х , 424х порты. и т.д.

Aerorus
alek_j:

фаервол где, на той же машине или на роутере (ну или шлюзе) подсети?

Без разницы, порт может считаться закрытым только на машине, на всем остальном он заблокированный.

alek_j
Aerorus:

Без разницы

Эх, ну всегда в спорах сначала предлагаю “договориться о терминах” - бывает под одними и те ми же словами понимается что то отличное от друг друга, почему в этот раз не уточнил… Что значит “закрытый”, а что “заблокированный”? И почему роутер не та же машина? Если у меня на роутере тупо не поднят сервис чего то, то чем и с чего вдруг роутеру отвечать на, для него, запрос в никуда? И если у меня служба поднята, но перед ней есть фаервол рубящий запрос по ее порту, как она узнает, что от нее ждут ответа? Как то так…

Retif
no_name:

Если FTP работает (можно скачать файл) значит с большой долей вероятности порт 21 открыт.

Если у меня работает сервер FTP на моей домашней машине и я его хочу сделать доступным из интернета, то да, я 21-й порт открою. Если я просто качаю что-то из интернета по FTP-протоколу, то 21-й порт у меня закрыт.

no_name:

Если вы покупаете что либо в интернете, то shttp порт 443 открыт

Не знаю что такое shttp, но если вы про HTTPS, то тут ситуация аналогична. Если я поднимаю у себя на машине свой веб-сервер, то да, я могу открыть 443-й (HTTPS) порт наружу. Если я просто как клиент захожу на сайты, порты HTTP/HTTPS у меня закрыты.

Tigron

Вот совершенно правильное замечание, Владимир. Все порты для чего-нибудь да используются. Не проблема закрыть HTTPS. Проблема в том, что при этом отвалиться почти весь интернет, так как очень многие рабочие приложения используют его. Когда пакет прилетает на компьютер, даже если этот пакет должен быть отвергнут, компьютер его просматривает, чтобы понять что это такое. А дальше, залетевшая зараза может подсадить свой вредоносный код через атомарные таблицы (atomic tables) практически в любое основное приложение Винды и ни один антивирус ее не найдет.

alek_j
Retif:

на моей домашней машине и я его хочу сделать доступным из интернета

Это справедливо если машинка “смотрит” в инет напрямую, а если она за набившим оскомину роутером, то придется еще и ему объяснить, что машинка за ним должна что то показать тем кто снаружи.

Retif
alek_j:

Это справедливо если машинка “смотрит” в инет напрямую, а если она за набившим оскомину роутером, то придется еще и ему объяснить, что машинка за ним должна что то показать тем кто снаружи.

Да, именно. Надо пробросить порты соответствующие.

alek_j
Tigron:

Не проблема закрыть HTTPS

Опять теплое с красным… Да нет у станций открытых НТТР портов, они у серверов, а запросы идут со станции по портам гораздо выше, но на (в данном случае) 80 порт сервера, станции могут послать запрос с любого “высокого” порта, главное, что посылают на 80 сервера, а на станции я 80 порт могу закрыть (да он и не открыт если только у меня на станции WEB сервер не поднят)

Retif:

Надо пробросить порты соответствующие

Есс… т.е. получается, что комп за роутером не светит в инет портами и чтоб попасть на 443 139 порты компа локальной сети роутер должен это обеспечить, а по умолчанию ему это лень и надо специально настраивать этот доступ.
Retif, это пояснение для тех кто писал, что роутер всем снаружи все позволяет 😉

alek_j
Aerorus:

Охх…

Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним, не сломав предварительно его самого? Про “капсулы” не говорим, хотя это приведет только к удорожанию роутеров, которым придется “перепахивать” весь входящий контент и соответственно потребует от них гораздо более высокой производительности. Не, мне действительно интересно, просто отошел от всего этого уже очень давно и не следил, что тут творится на фронтах…
ЗЫ вместо видео у меня “квадрат Малевича” - комп третий пень с 300 мБ ОЗУ 😦

Aerorus
alek_j:

Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним

При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.

alek_j:

ЗЫ вместо видео у меня “квадрат Малевича” - комп третий пень с 300 мБ ОЗУ

Тут только хирургическое вмешательство.

alek_j
Aerorus:

Тут только хирургическое вмешательство

Еще не хватало зомби препарировать… Но на нем столько всего стоит по работе, что к сожалению…

Aerorus:

А код может быть любым.

Так я и написал, что роутерам придется попатеть разбирая весь входящий трафик на наличие постороннего кода

Владимир#
Retif:

Однако на роутерах по умолчанию включен базовый файрвол, который блокирует все входящие подключения и, без ручной настройки, если самому порт не открыть нарочно, то все порты так и будут оставаться закрытыми.

Александр, а разве UPnP не открывает порты, если он поддерживается роутером. Давно что бы приходилось открывать, за исключением нестандартных решений. Вот закрывать, да.

Retif
Владимир#:

Александр, а разве UPnP не открывает порты

Вы меня-то не спрашивайте, я такой же вопрошающий, как и вы, просто мои оппоненты тут не могут аргументировать свою точку зрения.

Насколько я понимаю, да, UPnP пробрасывает порты для разных всяких торрент-клиентов, при запросе от клиента, собственно. Но, он явно это делает не на стандартные, используемые операционной системой порты.

В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol и Internet Gateway Device (IGD) Protocol, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.

Для начала приведу краткий FAQ:

Q: Для чего нужны данные протоколы?
A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.

Q: Как это реализуется?
A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.

Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?
A: Нет, не проводится.

Теперь же рассмотрим работу данных протоколов более подробно (под катом).

Отсюда: habrahabr.ru/post/279969/

Aerorus:

При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.

А с этим никто и не спорил. Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.

Aerorus
Retif:

А с этим никто и не спорил

Это ответ на

alek_j:

Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним, не сломав предварительно его самого?

И ни коем образом не связан с Wa n aCry и эксплойтом.

Кстати команда для отключения SMBv1 на Windows 8 и ниже:

reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” /v “SMB1” /t reg_dword /d 0 /f

От администратора конечно же

Retif:

Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.

Ваша “какая-то уязвимость” и есть тот самый эксплойт EternalBlue.

Wit
Aerorus:

Кстати команда для отключения SMBv1 на Windows 8 и ниже:

спасип! получилось! )))

Zaxar
Aerorus:

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:

У меня ошибку выдает, имя компонента “SMB1Protocol” неизвестно.
Ошибка 0х800f080c
Че может быть?
Порты закрылись норм.
Сорри, увидел уже, что это для 8-ки…

Кстати команда для отключения SMBv1 на Windows 8 и ниже:
reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” /v “SMB1” /t reg_dword /d 0 /f

Для 7-ки все получилось. СПс.