| [Форум] [Помощь] [Поиск] [Выйти] |
Добро пожаловать, ![[info]](userinfo.gif){kind=small} User
|
|
|
| ||
| Хотелось бы поинтересоваться, что сие значит, когда этот самый Generic Host Process for Win32 Services запрашивает входящие соединения (в т.ч. и NetBIOS) с разными портами?.. Насторожило то, что иногда интересующиеся моими портами IP-адреса (часто с kmtn) повторяются с завидной периодичностью... что им надо? можно ли за это всех нафиг посадить? это паранойя? |
| ||
| http://support.microsoft.com/default.aspx?scid=kb;EN-US;250320 т.е. однозначно сказать хорошо это или плохо нельзя |
| ||
| > что им надо? можно ли за это всех нафиг посадить? Для начала нужно знать кому им. > это паранойя? Скорей всего это кто-то из сладкой парочки: LoveSan [MSBlast] - http://www.antivir.ru/inf/virus.php?id=277 или Jobaka [Sasser] - http://www.antivir.ru/inf/virus.php?id=686 |
| ||
| нет, ты прав! :) хотя и подразумевается, что оно для всех так должно бы быть, но совсем не лишне еще раз напомнить, что хочешь мира - готовься к войне |
| ||
| Как я понял эти Loveson&Sasser пытаются лезть через порты TCP 135 и 445... и лезут по 50..60 раз/час. Меня больше интересует сомнительные подключения к другим портам... как-то всё-таки это не здорОво |
| ||
| Любой из них и им подобных - инструмент для удалённого запуска чего угодно. Т.е. по умолчанию - запустился сам и запустил своё размножение. При желании - запустился сам и запустил что угодно (бэкдор, троян). Таким образом строятся, например, нефиговые (в плане распределённости и силы) площадки для DDoS. Работу таковых уже демонстрировали миру неоднократно. PS: интересуют подключения? TCPDump и анализируй. Точнее вряд ли получится. |
| ||
| У меня вопрос сюда-же. Если ко мне стучатся Lovesanы и Жобаки, то окуда они узнали мой IP? Зашел в нет, проверил почту, залез на JEDI - через пару минут идет Запрос входящего соединения. Не наобум же они адрес берут? |
| ||
| Парни, вы что-то туману такого напустили, что даже ноги не видно. Generic Host Process for Win32 Services (SVCHOST.EXE) - дело не шуточное. Постоянные запросы на разрешения для входящих и исходящих удалённых соединений могут довести слабонервного человека до больничной койки в коридоре, если палаты переполнены. Психиатры таким пациентам обычно ставят диагноз svchostmania, и в последнее время это психическое заболевание носит поистине эпидемический характер. А всё потому, что народ практически не знает, что это за зверь такой, svchost, с чем его едят и чем отстреливают. А когда не знаешь, то боишься. А когда боишься - фобствуешь. А когда фобствуешь - заболеваешь. А когда заболеваешь - прямой путь в психушку. Всё, круг замкнулся. Поэтому, заботясь о психическом здоровье нации и стремясь уменьшить количество больных эсвисихостманией, тем самым освобождая время врачей для лечения других психзаболеваний, я хочу высказаться по поводу svchost. Итак, вначале, что такое Generic Host Process for Win32 Services (SVCHOST.EXE) ? Поэтически, это процесс процессов, сервис сервисов, мать матерей. Практически, это системный модуль svchost.exe, находящийся в %SystemRoot%System32, предназначенный для запуска системных служб (сервисов), представленных в виде так называемых динамических библиотек (DLL). Кто запускает эти сервисы ? Может операционная система, может полезное программное обеспечение, а может и вредоносный вирус (троян). Подобно тому, как не надо бояться меча, а надо бояться руку, этот меч поднимающую, так не надо бояться svchost, а надо бояться приложений, использующих svchost для запуска каких-либо служб. И если у тебя стоит файрволл, и ты видишь, что к тебе ломится, растопырив руки, svchost, не ссы в трусы, не паникуй и не пужайся. Если ты чувствуешь, что нервы твои на исходе и терпения больше нет, просто зайди в настройки своего файрволла и создай нестандартное правило для модуля %SystemRoot%System32SVCHOST.EXE, в котором запрети всё входящее, независимо от протокола и порта. Грубо ? Да, не изящно, конечно, но твой компьютер - это твоя территория, и нехрен кому-либо на неё вползать. Но если стоические мотивы тебе не чужды, ты любознательный в хорошем смысле этого слова чувак, то можешь понаслаждаться следующими действиями: Запусти из командой строки tasklist /svc > anyfile.txt и погляди в полученном файле anyfile.txt, какие сервисы запущены всеми генерациями svchost. Затем дуй прямиком в реестр по адресу HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices позырить, что за запущенные сервисы выдала тебе tasklist. Для этого смотри в каждом разделе сервиса параметр Description, если он там, конечно, имеется, переводи, если его значение на английском, анализируй и думай. Если тебе какой-то сервис кажется подозрительным или ненужным, не мучайся и отключай его к чёртовой матери (включить его обратно тебе никто не помешает), для чего в параметре Start раздела поставь 4. Также не будет избыточным в том же файрволле, во избежание всех этих идиотских перезагрузок, связанных с остановкой сервиса удалённого вызова процедур и аварийным завершением вследствие этого процесса svchost, запретить входящий трафик по 445 и 135 портам по протоколам TCP и UDP. Заплатки заплатками, но могут быть и дети. В смысле перезагрузки. Подытожим. Не надо бояться эсвисихоста. Надо прекратить весь этот ненужный мандраж, не нервничать, не психовать, а спокойно во всём разобраться, и, если надо, надавать по шеям. Психиатрам у нас и так работы хватает. |
| ||
| Изящно, внятно и по делу. Этот....как его... grand respect! |
Отправил