Codzienny atak sieciowy - MSSQL.worm.Helkern. Dlaczego?

Dla specjalistów Bezpieczeństwo
#1

Witam.

Od dwóch tygodni codziennie Kaspersky Internet Security wykrywa i blokuje atak sieciowy na mnie o nazwie Intrusion.Win.MSSQL.worm.Helkern

Jak wyczytałem to robak ten jest kompletnie nieszkodliwy jako, że nie mam postawionego jakiegokolwiek serwera. Niepokoi mnie inna sprawa: czemu się to dzieje tak nieustępliwie, codziennie i dopiero od dwóch tygodni? Wcześniej - do końca zeszłego tygodnia działo się to w godzinach mniej-więcej 8-10. Od kilku dni około godziny 16.

Dlaczego akurat ja?

#2

Wszystko w porządku o ile dobrze pamiętam to standard… jak się pojawi następnym razem daj żeby się powiadomienie nie pokazywało i będzie git :slight_smile:

To jest robak internetowy ale stary dość i raczej nikomu nie zrobi krzywdy hehe

Dodatkowo można zerknąć ->>> http://www.searchengines.pl/IntrusionWinMSSQLwormHelkernand33-t96301.html <<<-

Ewentualnie jak masz w swojej sieci jakieś inne lokalne kompy, to namierz IP delikwenta i wyślij info do admina sieci. Jeśli masz zewnętrzne IP i IP delikwenta też idzie z zewnątrz to po prostu zablokuj to IP w Kasperskim.

Ewentualnie możesz pobrać poprawki MS02-034 oraz MS02-039 :wink:

Pozdrawiam :slight_smile:

#3

To mój komp, jedyny w mieszkaniu (blok). Idzie kablem normalnie z Netii, więc chyba nie ma żadnych innych komputerów w sieci. Zaś IP, które mnie atakują to: 211.143.10.43 oraz 200.91.37.44

Zazwyczaj ten pierwszy. Nie wiem jak zablokować te IP w KISie.

#4

Użyj listy blokowanych adresów internetowych w Kasperskim i wpisz te adresy IP. Problem zniknie

#5

Hmmm w Kasperskym w tym oknie: http://i44.tinypic.com/oidclg.jpg

Nie ma gdzie co wpisać za bardzo.

A dobra, chyba oleję sprawę skoro to nic takiego.

#6

Możesz utworzyć “czarną” listę adresów banerów, które po wykryciu będą blokowane przez Blokowanie banerów. Podczas tworzenia “czarnej” listy możesz używać domenowych lub symbolicznych nazw witryn internetowych (np. banner.ru) i adresów IP banerów (np. 64.236.92.17). Aby utworzyć i używać “czarnej” listy adresów banerów, wykonaj następujące akcje:

1.Otwórz główne okno aplikacji;

2.W prawym górnym rogu głównego okna aplikacji kliknij Ustawienia;

3.W górnej części okna Ustawienia wybierz Centrum ochrony;

4.W lewej części okna Ustawienia wybierz Blokowanie banerów;

5.W sekcji Dodatkowe zaznacz pole Użyj listy blokowanych adresów URL;

6.Kliknij przycisk Ustawienia pod opcją Użyj listy blokowanych adresów URL;

7.W oknie Blokowane adresy URL kliknij przycisk Dodaj;

8.W oknie Maska adresu (URL) wprowadź wymaganą nazwę domenową lub adres IP;

9.Kliknij przycisk OK w oknie Maska adresu (URL);

10.Kliknij przycisk OK w oknie Blokowane adresy URL;

11.W lewym dolnym rogu okna Ustawienia kliknij przycisk OK;

12.Zamknij główne okno aplikacji.

#7

Oo dzięki. Zrobione. Zobaczymy co z tego wyjdzie.

Pozdrawiam i dziękuję jeszcze raz.

Dodane 07.05.2013 (Wt) 18:51

Kurde w raportach powyskakiwało mi takie coś!: http://i43.tinypic.com/25tb5z6.jpg

Aha, dobra, to nie było nawet w zagrożeniach. Wyłączyłem “Użyj podstawowej listy banerów”

Dodane 08.05.2013 (Śr) 10:03

Kurde, teraz o 8 znowu z innego IP mnie zaatakowało, kompletnie innego: 157.86.8.22

Dodałem go do tych banerów. Nie wiem czemu się to na mnie tak uwzięło. Powiadomienia mam wyłączone, ale w Raportach cały czas się pokazuje raz dziennie.

Dodane 08.05.2013 (Śr) 17:44

Kolejne 2 ataki w tym jeden z tego IP co zablokowałem w “Banerach”. Ehh lipa. Trzeba olać. Tylko nigdy nie miałem 3 w jeden dzień :frowning:

#8

Komunikat firewalla nigdy nie jest aż tak precyzyjny jakby to się mogło wydawać. Np. zawiadomienia o Trois i Blazer na porcie 5000 to żadne trojany o wspomnianych nazwach tylko usługa UPnP Windows … Z Helkern może być podobnie: nie robak SQL-a tylko ruch generowany w sposób podobny lub w podobnym miejscu. Firewall określa nietypowy ruch na danym porcie tak jak to ma zapisane w bazie wiedzy i tak naprawę nie wie co jest grane, co ten ruch powoduje i czy to aby na pewno realne zagrożenie. Być może i Helkern cię szczypie, ale nie może wykorzystać tej szczególnej luki bo nie masz SQL. Równie dobrze to może być działanie jakiegoś innego bota sieciowego. Możesz doświadczać fałszywego alarmu np. na działalności sieciowej P2P.

Skoro blokowane po prostu zignorować, wyłączyć denerwujące komunikaty i tyle.