| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
|
| |
| | | A nivel pessoal, passei o fim de semana no algarve com o pc ligado (Windows 2000), sem qualquer anti-vírus ou firewall e quando cheguei hoje a casa de manhã a maquina tava up, a transferir dados (no Direct Connect ;) e sem qualquer mensagem de erro :) O WORM deve-se ter assustado com o porno que tavas a tirar :P
--
"Muda, que quando a gente muda, o Mundo muda com a gente" -- Gabriel, o Pensador |
| |
| | A nivel pessoal, passei o fim de semana no algarve com o pc ligado (Windows 2000), sem qualquer anti-vírus ou firewall e quando cheguei hoje a casa de manhã a maquina tava up, a transferir dados (no Direct Connect ;) e sem qualquer mensagem de erro :)
Tens mais sorte do que eu. Eu fiz boot para XP e mal acabou de arrancar ja tinha uma mensagem a dizer que se ia desligar... Por estas e por outras e que sao cada vez menos os boots para XP.
|
| |
| | Call me paranoid, mas na semana passada, antes de ir para o Algarve, não sei porquê mas deu-me um feeling e fui actualizar o W2k com o SP4 e, depois disso, actualizar os ultimos patches, os quais me recordo que tinha algo a ver com o RPC.
Porque fiz isso? Simples.. já tinha lido alguns advisories sobre isso, e sei que já havia pelo menos uma empresa de segurança informática que tinha já criado um xploit mas que devido à intervenção da M$, não tinha lançado qq código para fora.
Até ontem.. claro. :)
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| |
| | curioso referires-te à Microsoft como 'M$' e, no entanto, fartares-te de usares o S.O. deles...
|
| |
| | | Ele escreve M$ porque pagou o S.O. Técnicamente tem mais direito a usar o $ do que quem usa software livre e/ou gratis :)
"Se vi mais além do que outro, é porque estava nos ombros de gigantes."
Sir Isaac Newton
|
| |
| | | Uso o Windows.. porque: - Tenho uma webcam que requer drivers especificos.
- Tenho um gamepad que requer drivers especificos.
- Tenho familia e amigos. A minha sobrinha nao perceberia porque motivo não lhe iria instalar o Hugo no computador :) Neste momento uso o LinuxFromScratch.org 3.1, embora quando tiver algum tempo livre hei-de actualizar para o 4.0. E sim, comprei uma licença do Windows 2000 Professional, tal como já comprei o Slackware 4.0 em tempos. Neste momento ainda não encontrei a distro perfeita, Suse nem vê-la (bratwhurst sux), Mandrake 9.1 tá quase perfeita, e RH só pra servidores :>
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| |
| | Path to the light :-)
<flame>
Se bem que para quem usa mandrake e perfeita na mesma frase, assim como RedHat e servidores, ainda lhe falta um bocadinho para ver a luz :-P
</flame>
|
| |
| | | ok, estou aberto a sugestões. como tava no trabalho nao tive tempo de formular melhor as minhas opiniões, mas cá vai: - Para Eye-candy, ou seja, o mercado residencial, o Mandrake está mesmo quase lá! Uso no meu portátil e além de belo, funciona (quase, claro) às mil maravilhas.
- Para servidores, já percebi que aconselhas Debian, certo?! Já agora, qual a versão recomendada?! ;)
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| |
| | eu uso debian no portatil.. e tudo funciona (placa wireless,firewire(nunca testei mas detecta),irda,teclas especiais). Quer dizer, so nao "hiberna". Ainda nao tive tempo para ver isso.
Instalei de novo a semana passada atraves do knoppix. Foi lindo... tudo detectado. Depois foi so copiar para o disco e fiquei com uma instalacao funcional e configurada.
Ainda foi mais rapido que instalar o XP.
O unico senao e ter que recompilar o kernel por causa do suporte para acpi.
|
| |
| | o hibernar podes esquecer com os kernel 2.4
pelos vistos existe uns problemas que ao fazer o restore fica mal inicializado...
para o hibernar vais ter mesmo de esperar pelo 2.6
poderias usar o "hibernar para o swap", software suspend acho, mas acho que no 2.4 tambem existem ainda problemas que corrompem as coisas...
Higuita |
| |
| | - Tenho uma webcam que requer drivers especificos.
troca de webcam, ou melhor, chateia o fabricante a fazer drivers para ela...(sob a ameaca de nunca mais comprar nada deles)
aos poucos a pressao aumenta tanto que eles acabam por fazer drivers ou ajudar quem os faz
- Tenho um gamepad que requer drivers especificos.
igualmente, mas segundo sei, a maioria das gamepads era suportada... posso estar enganado, ja' que nao tenho uma 8)
- Tenho familia e amigos. A minha sobrinha nao perceberia porque motivo não lhe iria instalar o Hugo no computador :)
wine ou winex?
o resto do pessoal aprendia a usar linux, podem espernear um pouco no inicio por nao conhecerem, mas depois de "brincarem" com ele ate' acabam por gostar
Higuita |
| |
| | | redudante? LoL :) nao sei porque, apenas dei as minhas razões pela qual uso windows, e pela qual nao posso deixar de usar! :(
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| |
| | Da próxima vez que te aparecer essa janelinha, abre a consola e escreve o comando shutdown /a.
Isto cancela o shutdown à máquina, é o mesmo que o shutdown -c do linux.
----------
Este post foi publicado segundo a licensa IDC (I Don't Care). |
| |
| | Muito obrigado pela dica. Tenho muitos clientes satisfeitos que agradecem essa informação. :)
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| |
| | ao bacano que gosta de me moderar como Redudante, por envia-me um email para esclarecermos esses (distorcidos) pontos-de-vista. :)
---------------------
The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti |
| |
| | eu em casa, tenho os logs do ipchains a bloquear tentativas de ligacao a porta 135 de 10 em 10 minutos... acho que tiveste sorte (ou entao o directconnect entupiu-te tanto a ligacao que os pacotes da worm acabavam por dar timeout 8)
mas agora lembra-te... a worm e muitos script kids deixam reinicar a maquina, mas segundo sei, e' possivel bloquear o reinicio manualment e logo fazer com que o ataque seja mais discreto
Higuita |
| |
| | ... esta notícia foi literalmente traduzida do slashdot! Acho k a noticia em si é importante, mas porque nao reescreve-la?
|
| |
| |
| | | Claro... Porque é que não a reescreveste tu e não a submeteste?
"Se vi mais além do que outro, é porque estava nos ombros de gigantes."
Sir Isaac Newton
|
| |
| | Ele perguntou porque nao submeter igual a do slashdot. Ja agora, penso que foi por nao estar em inglês. :)
Be different, think for yourself. |
| |
| | Já que estamos numa de "pequenos reparos"... pequeno escreve-se com "qu" e não com "k"
|
| |
| | O artigo é que foi rejeitado...
Mas eu já tinha dado conta do DCOM bug.
Era uma questão de tempo sair o worm...
Cumprimentos,
Jorge Laranjo
01100110 01110101 01100101 01100111 00110000
http://pocketBlog
|
| |
| |
| | finalmente o nosso 245 vai aparecer na televisão por ter denunciado o bug à um mês e ninguém lhe ligar nenhuma :)
i told you so....
|
| |
| | Pronto, ok!
Foi uma boca foleira...
Mas eu tinha avisado...
Mas também, com uma discussão daquelas ja toda a gente sabe do BUG.
Quanto ao Ruben Dig (585) ...
Tens cá uma piada... só é pena que os teus posts, parecerem sempre uma SMS...
Cumprimentos,
Jorge Laranjo
01100110 01110101 01100101 01100111 00110000
http://pocketBlog
|
| |
| | Agora comunicam-se por nºs? lol
|
| |
| | Voltei de férias há pouco tempo e um dos artigos que estava na altura em discussão aqui era o motivo de muitos artigos não serem aprovados.
Num dos posts (acho que precisamente do Jorge) o autor queixava-se de o artigo sobre este buraco não ter sido aprovado.
Com as keywords indicadas, fui logo à procura de mais informação e concluí que o mais prudente era mesmo actualizar asap. Saiu logo um mail para o pessoal todo aqui da empresa, com o patch, pedindo para o aplicarem.
Resultado: hoje não estou minimamente preocupado com o vírus!!!
|
| |
| | Merda esquesita esta :)
A serio, li um advisory qualquer da MSFT que apenas recomendava o firewall activo, ou entao outro qualquer a bloquear as portas 135 e outras que agora nao me lembro.
Li também que o patch apenas se aplicaria no XisPe com o SP1, o que muitos ainda não o têm.
Por sinal e por causa das tosses, normalmente costumo remover tudo o que é "remote assistence", "remote desktop", "system restore", "automatic updates", "default shares" do windows, activo logo o firewall e sempre me dei bem.
//vd |
| |
| |
| | Ah sim!
Fui agora ver os logs do firewall e tenho alguns drops na porta 135 :) ... 99 para ser preciso até ao momento.
2003-08-10 01:01:03 DROP TCP 151.100.28.245 193.126.187.133 1031 135 40 S 757147 0 4096 - - -
2003-08-10 11:54:54 DROP TCP 81.161.134.75 193.126.187.199 3153 135 48 S 3973410894 0 64240 - - -
2003-08-11 22:55:45 DROP TCP 193.126.187.143 193.126.187.230 1871 135 48 S 1236228946 0 8160 - - -
2003-08-11 22:55:48 DROP TCP 193.126.187.143 193.126.187.230 1871 135 48 S 1236228946 0 8160 - - -
2003-08-11 22:55:50 DROP TCP 216.184.196.135 193.126.187.230 2660 139 48 S 3299476295 0 16384 - - -
2003-08-11 22:55:53 DROP TCP 216.184.196.135 193.126.187.230 2660 139 48 S 3299476295 0 16384 - - -
2003-08-11 22:55:54 DROP TCP 193.126.187.143 193.126.187.230 1871 135 48 S 1236228946 0 8160 - - -
2003-08-12 22:05:04 DROP TCP 193.126.187.54 193.126.187.249 4891 135 48 S 3580236235 0 8760 - - -
2003-08-12 22:05:39 DROP TCP 193.126.148.151 193.126.187.249 4704 135 48 S 1115051507 0 8760 - - -
2003-08-12 22:05:42 DROP TCP 193.126.148.151 193.126.187.249 4704 135 48 S 1115051507 0 8760 - - -
2003-08-12 22:05:48 DROP TCP 193.126.148.151 193.126.187.249 4704 135 48 S 1115051507 0 8760 - - -
//vd |
| |
| | 99? Wimp ;)
# grep "Aug 12" /var/log/messages | grep "DPT=135 "| wc -l 1105
|
| |
| | Num portatil pessoal ligado com dialup ? Onde cada ligação é novo ip ?
São alguns ;)
//vd |
| |
| | os logs q nao se enchem em apenas 3 horinhas na madrugada
mounthyjal# date
Wed Aug 13 03:25:55 WEST 2003
mounthyjal# cat /var/log/security | egrep "Aug 13.*(135|139|445)" | wc -l
222
o engracado e' q 90% dos "ataques" sao dentro da propria netcabo
nao somos so o pais das fatimas, fado, figos, fogos florestais, agora somos tambem o pais dos acaros =)
Make World; Not War; |
| |
| | "o engracado e' q 90% dos "ataques" sao dentro da propria netcabo
nao somos so o pais das fatimas, fado, figos, fogos florestais, agora somos tambem o pais dos acaros =)"
Precisas ler um pouco sobre o dito worm para perceber porque. Vai ao site da symantec por exemplo.
"Never interrupt your enemy when he is making a mistake." Napoleon Bonaparte |
| |
| | "o engracado e' q 90% dos "ataques" sao dentro da propria netcabo
nao somos so o pais das fatimas, fado, figos, fogos florestais, agora somos tambem o pais dos acaros =)"
Precisas ler um pouco sobre o dito worm para perceber porque. Vai ao site da symantec por exemplo.
percebo onde queres chegar.. mas nao vou ler nada :) felizmente nem um pocket pc aqui ha para updatar e acredita que o num de maquinas ainda e' consideravel :P
O meu interesse e' puro academico, basta saber quais as portas o resto deixo pro ipfw. e esta 139 ja e' nossa velha conhecida
como registei alguns ataques do UK, da holanda, da korea dos estados unidos, tirei essa conclusao premeditada, depois de ver o espectaculo de ips da gama netcabo. Claro esta que e' o worm e nao "ataques", mas pouco importa.
Mas tens razao no alerta e e' capaz de ficar a questao, sendo a maioria, no meu caso, de "ataques" provenientes da netcabo era util saber o que raio faz esta empresa para proteger os seus clientes, para proteger a sua rede, para evitar a propagacao do virus?
Seria assim tao dificil sabendo que existe um outbreak bloquear todo e qualquer trafego a nivel do rotedo para as portas 135/139 etc. Mesmo que os acessos legitimos,netbios over tcp, tenham de penar durante esse periodo, paciencia.
Compreendo que para muitos possa ser util ou faca falta o seu uso, mas ninguem quer andar a deitar foguetes quando na localidade mais proxima lavra um incendio com 10 km de frente.
Tiro o chapeu por terem enviado um email ontem, ou ha 2 dias a alertar pro patch e com os numeros de telefone da M$ portugal. Mas la esta', para uma empresa que se gaba de ter 400mil utilizadores do servico de acesso a internet, acho muito pouco, um simples email.
Segundo sei choveu um sem numero de chamadas logo nesse instante para a linha de apoio da netcabo, tal era a agonia dos utilizadores que choravam de medo a ver o countdown a chegar a 0
Make World; Not War; |
| |
| dcom (Pontos:0, Redundante) |
| | Boas.
"I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"
A frase é tão infeliz. O que ele fez qq gajo com dois dedos de testa faz... especialmente depois de ter saído o exploit á N tempo no sitio do costume...
Mais um bug, mais um patch. Mais uma porrada de utilizadores inocentes que vão levar com o exploit... :-)
@118, Nbk
|
| |
| |
| | | A frase é tão infeliz. O que ele fez qq gajo com dois dedos de testa faz... especialmente depois de ter saído o exploit á N tempo no sitio do costume... .. especialmente depois de ter saido o codigo que nao crasha o rpc, ah N tempo.
|
| |
| | Boas.
É questão da Microsoft no próximo Service Pack modificar o windows para executar updates automaticamente, sem intervenção do utilizador. :)
Por acaso estive a reflectir ( leia-se, estive a cagar forte e duro, lols ) e até acho que o gajo/gaja do mblast até tem dois dedos de testa. Eu nos meus dias maus metia mas era aquilo a apagar discos inteiros, seguido de forte publicidade de um outro qq sistema operativo. :)
@269, Nbk
|
| |
| | Realmente es' muita mau.!. o mundo tremeu com as tuas minhacas! muahahahaha
|
| |
| | Já veio tarde o MBlast... fiz o update a tempos e horas, os lazy sysadmins q se kuidem.
Ya_Ba - I can take you where living can't... |
| |
| | | em http://www.sophos.com/su pport/disinfection/blastera.html#7 (a pagina da 'ferramenta de remoçao') pode-se ler: Often when a computer is infected with W32/Blaster-A it restarts every few minutes, usually with a message similar to "Windows must now restart because the Remote Procedure Call (RPC) Terminated Unexpectedly". This prevents the required patches and files from being downloaded. o worm nao reinicia a maquina para nao deixar que os 'patches e ficheiros necessarios sejam sacados'.
simplesmente o que acontece eh, que quando um worm tenta infectar uma maquina, apos terminar a ligaçao com ela, o rpc crasha.
isto deve-se ao tal bug no codigo do exploit. pode-se ler o seguinte, numa das versoes mais recentes do popular exploit: * - Shellcode has been modified to call ExitThread, rather than ExitProcess, thus
* preventing crash of RPC service on remote machine thanks to the work of Drg-. se o rapazinho tem incluido o novo codigo no blaster...
|
| |
| | head -n 13 badtimes.c
/* badtimes.c
*
* ENGLISH VERSION
*
* WINDOWS NT/2000/XP NET TIME REQUEST REMOTE EXPLOIT
* BY ASSASSIN [ www.netxeyes.com assassin@ynmail.com ]
* CHINESE@HACKERS
*
* While working on fluxbay scanner, acidentaly i crash my win2000 lab box.
* After some debugging to see what hapenned, i realize that i founded a big
* serious bug in the net time request, you can provocate an integer overflow by * establishing a null session with the host and then sending an special crafted * time request.
*
* KEEP IT PRIVATE, DONT TRADE, THIS IS CHINESE UNDERGROUND !
./badtimes
Windows NT/2000/XP remote net time exploit, system level access
By Assassin www.netxeyes.com assassin@ynmail.com
Chinese@Hackers
Usage: First set up nc, then ./badtimes [options] hostname/ip...
-c crash host only (this will only test if vuln works on that host
-l local ip (reverse shell)
-p local port (reverse shell)
-v windows version (these are base adresses, we still have to brute force)
Versions are :
1 - windows nt 4.0 Workstation
2 - windows nt 4.0 Server
3 - windows 2000 professional
4 - windows 2000 server
5 - windows 2000 advanced server 3 - windows xp professional
zone-h.org
Congrats. to MS. Two critic remote vulns in one month. :X
[] |
| |
| | Viva,
Depois de sacar o patch , resolvi ver se estava assinado pela microsoft, e estava. Agora o problema que encontrei foi o seguinte: Signing data : sexta-feira, 8 de Novembro de 2002 20:41:07, isto significa que foi assinado naquela data ou que o certificado que foi usado para assinar foi gerado naquela data? imagem
Ps. :
# grep "Aug 12" /var/log/messages | grep "DPT=135 "| wc -l
2543
Hugs
|
| |
| | Fica aqui uma imagem da mensagem do DCOM worm ;-)
" I'm a lost soul in this lost world... " |
| |
