Вирус на 300 баксов

alek_j
Aerorus:

Без разницы

Эх, ну всегда в спорах сначала предлагаю “договориться о терминах” - бывает под одними и те ми же словами понимается что то отличное от друг друга, почему в этот раз не уточнил… Что значит “закрытый”, а что “заблокированный”? И почему роутер не та же машина? Если у меня на роутере тупо не поднят сервис чего то, то чем и с чего вдруг роутеру отвечать на, для него, запрос в никуда? И если у меня служба поднята, но перед ней есть фаервол рубящий запрос по ее порту, как она узнает, что от нее ждут ответа? Как то так…

Retif
no_name:

Если FTP работает (можно скачать файл) значит с большой долей вероятности порт 21 открыт.

Если у меня работает сервер FTP на моей домашней машине и я его хочу сделать доступным из интернета, то да, я 21-й порт открою. Если я просто качаю что-то из интернета по FTP-протоколу, то 21-й порт у меня закрыт.

no_name:

Если вы покупаете что либо в интернете, то shttp порт 443 открыт

Не знаю что такое shttp, но если вы про HTTPS, то тут ситуация аналогична. Если я поднимаю у себя на машине свой веб-сервер, то да, я могу открыть 443-й (HTTPS) порт наружу. Если я просто как клиент захожу на сайты, порты HTTP/HTTPS у меня закрыты.

Tigron

Вот совершенно правильное замечание, Владимир. Все порты для чего-нибудь да используются. Не проблема закрыть HTTPS. Проблема в том, что при этом отвалиться почти весь интернет, так как очень многие рабочие приложения используют его. Когда пакет прилетает на компьютер, даже если этот пакет должен быть отвергнут, компьютер его просматривает, чтобы понять что это такое. А дальше, залетевшая зараза может подсадить свой вредоносный код через атомарные таблицы (atomic tables) практически в любое основное приложение Винды и ни один антивирус ее не найдет.

alek_j
Retif:

на моей домашней машине и я его хочу сделать доступным из интернета

Это справедливо если машинка “смотрит” в инет напрямую, а если она за набившим оскомину роутером, то придется еще и ему объяснить, что машинка за ним должна что то показать тем кто снаружи.

Retif
alek_j:

Это справедливо если машинка “смотрит” в инет напрямую, а если она за набившим оскомину роутером, то придется еще и ему объяснить, что машинка за ним должна что то показать тем кто снаружи.

Да, именно. Надо пробросить порты соответствующие.

alek_j
Tigron:

Не проблема закрыть HTTPS

Опять теплое с красным… Да нет у станций открытых НТТР портов, они у серверов, а запросы идут со станции по портам гораздо выше, но на (в данном случае) 80 порт сервера, станции могут послать запрос с любого “высокого” порта, главное, что посылают на 80 сервера, а на станции я 80 порт могу закрыть (да он и не открыт если только у меня на станции WEB сервер не поднят)

Retif:

Надо пробросить порты соответствующие

Есс… т.е. получается, что комп за роутером не светит в инет портами и чтоб попасть на 443 139 порты компа локальной сети роутер должен это обеспечить, а по умолчанию ему это лень и надо специально настраивать этот доступ.
Retif, это пояснение для тех кто писал, что роутер всем снаружи все позволяет 😉

alek_j
Aerorus:

Охх…

Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним, не сломав предварительно его самого? Про “капсулы” не говорим, хотя это приведет только к удорожанию роутеров, которым придется “перепахивать” весь входящий контент и соответственно потребует от них гораздо более высокой производительности. Не, мне действительно интересно, просто отошел от всего этого уже очень давно и не следил, что тут творится на фронтах…
ЗЫ вместо видео у меня “квадрат Малевича” - комп третий пень с 300 мБ ОЗУ 😦

Aerorus
alek_j:

Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним

При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.

alek_j:

ЗЫ вместо видео у меня “квадрат Малевича” - комп третий пень с 300 мБ ОЗУ

Тут только хирургическое вмешательство.

alek_j
Aerorus:

Тут только хирургическое вмешательство

Еще не хватало зомби препарировать… Но на нем столько всего стоит по работе, что к сожалению…

Aerorus:

А код может быть любым.

Так я и написал, что роутерам придется попатеть разбирая весь входящий трафик на наличие постороннего кода

Владимир#
Retif:

Однако на роутерах по умолчанию включен базовый файрвол, который блокирует все входящие подключения и, без ручной настройки, если самому порт не открыть нарочно, то все порты так и будут оставаться закрытыми.

Александр, а разве UPnP не открывает порты, если он поддерживается роутером. Давно что бы приходилось открывать, за исключением нестандартных решений. Вот закрывать, да.

Retif
Владимир#:

Александр, а разве UPnP не открывает порты

Вы меня-то не спрашивайте, я такой же вопрошающий, как и вы, просто мои оппоненты тут не могут аргументировать свою точку зрения.

Насколько я понимаю, да, UPnP пробрасывает порты для разных всяких торрент-клиентов, при запросе от клиента, собственно. Но, он явно это делает не на стандартные, используемые операционной системой порты.

В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol и Internet Gateway Device (IGD) Protocol, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.

Для начала приведу краткий FAQ:

Q: Для чего нужны данные протоколы?
A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.

Q: Как это реализуется?
A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.

Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?
A: Нет, не проводится.

Теперь же рассмотрим работу данных протоколов более подробно (под катом).

Отсюда: habrahabr.ru/post/279969/

Aerorus:

При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.

А с этим никто и не спорил. Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.

Aerorus
Retif:

А с этим никто и не спорил

Это ответ на

alek_j:

Т.е. не зная даже маски подсети за роутером, снаружи можно достучаться до компа за ним, не сломав предварительно его самого?

И ни коем образом не связан с Wa n aCry и эксплойтом.

Кстати команда для отключения SMBv1 на Windows 8 и ниже:

reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” /v “SMB1” /t reg_dword /d 0 /f

От администратора конечно же

Retif:

Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.

Ваша “какая-то уязвимость” и есть тот самый эксплойт EternalBlue.

Wit
Aerorus:

Кстати команда для отключения SMBv1 на Windows 8 и ниже:

спасип! получилось! )))

Zaxar
Aerorus:

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:

У меня ошибку выдает, имя компонента “SMB1Protocol” неизвестно.
Ошибка 0х800f080c
Че может быть?
Порты закрылись норм.
Сорри, увидел уже, что это для 8-ки…

Кстати команда для отключения SMBv1 на Windows 8 и ниже:
reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” /v “SMB1” /t reg_dword /d 0 /f

Для 7-ки все получилось. СПс.

lelik
Aerorus:

При просмотре видео “онлайн”, как тот “роутер” Муратова, вы смотрите его через протоколы RTMP, RTSP, HLS, HDS, HTTP MPEG-TS или DASH, в редких случаях FLV.
Так вот с помощью транскодера/енкодера в этот “стрим” можно вставить исполняемый код и кликнув “Play” вы сами его и запускаете. А код может быть любым.

Огромное, нечеловеческое спасибо ! Смеялись в голос всем отделом.

Aerorus
lelik:

Огромное, нечеловеческое спасибо ! Смеялись в голос всем отделом.

Я тоже смеялся когда узнал.

vals55
Retif:

А с этим никто и не спорил. Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.

Парни, не горячитесь. Вы про разные порты говорите, Вы про порт на роутере, а Павел на хосте

CrazyElk
Retif:

Если я просто качаю что-то из интернета по FTP-протоколу, то 21-й порт у меня закрыт

Если бы все было так просто. На примере FTP протокола.

21 порт и все остальные у вас на роутере возможно и был закрыт до момента запуска FTP клиента, но вот что удивительно сразу после запуска и соединения с удаленным хостом это все может “слегка изменится”. Например при условии успешного использования active моды для FTP соединения. Заметьте никакого FTP сервера на вашей машине только клиент, но если ваше соединение успешно установлено не в passive в active моде то этот факт специалисту говорит о том что на пользовательской машине сам FTP клиент открыл порт на входящее соединение. УУПС #1 “совершенно незаметно для пользователя”.

Вы спросите а как же на клиентскую машину стоящую за роутером входящее соединение извне проберется через роутер где ничего никому не открывали. Откуда роутер узнает что входящее из интернета соединение надо оправлять именно на машину где запущен FTP клиент динамически организовавший прием. Кто и когда этому роутеру разрешил и объяснил.

Один из вариантов магического заклинание - называется Port Triggering.
Протокол и сервис роутера используя который о клиентская машина может “уговорить и объяснить” роутеру что начиная с сего момента, в нашем случае начиная с и до тех пор пока FTP клиент держит соединение с 21 портом сервера в интернете (да да 21 порт на сервере на клиентской стороне ИстесТвенно совершенно другой порт. видите я это знаю) то все входящие соединения из интернета по такому то диапазону портов надо более не отвергать а перенаправлять на ту самую машины где запущен FTP клиент (Клиент Карл КЛИЕНТ). - УУПС #2 ибо опять таки происходит это “совершенно незаметно для рядового пользователя”.

Нет конечно вы скажет ну какой же идиот использует FTP active, зачем активизировали и настроили Port Triggering и вообще…
Ответ прост - да патамучто ничего об этих тонкостях проброса открытия и закрытия портов рядовой пользователь не знает. Он сделал что бы работал “безопаcный FTP”

Пользователь просто пользуется FTP, mainecraft, File Sharing и еще 100500 удобных сервисов и программ настроив их окружение так чтобы все работало. А то что в результате этого его роутер и домашняя машина раздвинули “пределы доступного” шире чем проститутка в борделе - он не сном ни духом. В общем суть то всего поста в том что бы слегка напомнить что в современной IT достаточно много широко используемых “сервисных” и “делающих дружелюбными” возможностей как у роутеров так и клиентских машин чтобы даже специалист без обследования пациента мог даже сам себе дать гарантию и быть уверенным “я в домике. домик на запоре”.

Специально на примере выбранного Вами протокола (ну так фишка легла) иллюстрация что казалось бы в примитивных ситуациях не все так однозначно как вы пишите “я просто качаю … порт у меня закрыт”. Именно 21 может и закрыт а вот на счет что пока вы качаете один из портов не “при открылся так что ветром с горшка сдувает” по гамбургскому счету уже не факт. Ну а раз не факт то и не факт что через приоткрытую форточку чего лишнего не “надуло”.

Если все закрыто и настроено правильно естественно ничего лишнего магически негде пролезет. Но вот насчет того что все всегда везде всеми производителями по умолчанию настроено правильно и надежно - это даааалеко не факт. Особенно в счете того что все стремятся сделать “удобно” и “авто конфигурируемо”. Что в части роутеров что в части фаерволов что … Средне статистический пользователь соглашаясь на что то ему понятно и ясно, скажем можно разрешить сетевую игру в minecraft да конечно же можно, за одно открывает столько “возможностей для пытливого ума” что остается только изумляться как все еще работает.

В общем не идеализируйте - у меня все зарыто - в 99% случаев настроек по умолчанию не вполне верный постулат. Мой пример когда казалось бы все на вход снаружи закрыто - но не всегда не для всего.

Как теоретически вирусу можно воспользоваться такой временно приоткрывающейся дырдочкой - давайте я подробно рассказывать не стану. Вариант и слов man on the middle на сети поставщика думаю достаточно - чтобы “совсем незаметно для рядового пользователя” получить “подарок” если уж найдется аналогичный хак популярного клиента на уровне протокола FTP.

WBR CrazyElk