prosim o preventivku...

[riffman]

ano...kolegyne vam sem postla navod na nastaveni Keria tak, abyste se pokusil zablokovat onu IP adresu; nechapu, proc tedy resite vas problem na vice frontach, kdyz je vam zatezko si nekde neco precist

[Francouz]

dobra den, se omlouvam...
ale uz jsem zoufali neustale to vyskakuje vzdy z jine IP adresy ale ze stejneho portu 135/tcp

budu moc rad kdyz se me dostavi nejaka rada k potlaceni toho hnusu...dekuji moc



jeste vlozim podrobne muj problem:
avast hlasí DCOM exploit z různých IP adres a to přes port 135/tcp..
chtěl bych to nějak anulovat ať mě pořád nevyskakují ty AVAST hlášky pokud by to šlo,mám FW Kerio---
mockrát děkuji za rady

[1danab]

zeptám se, máte postahované všechny záplaty a updaty Microsoftu?

[Francouz]

ano mam upgrade nebo ja se to pise automaticky.....
3 dny zpet jsem to udelal manualne...

[PetrTl]

Na žádost řešitelky se pokusím pomoct, pokud budu schopný. Nějaké řešení ale nejsem z časových důvodů schopný vymyslet "okamžitě".

Njedříve mně zajímá, jestli ty útoky pocházejí z jedné skupiny adres, čili podle prvního postu z 85.211.X.X, anebo se ty adresy totálně liší? Podle odpovědi se budu snažit najít nějaké řešení.

[Francouz]

Pane zasadni vidim v tom ze to je s ty 85. .........vzdy je pocatecni 85. jestli tam je to dalsi 211 to nevim z cela urcite myslim ze ano...

[PetrTl]

Oukej, budu předpokládat, že to bude těch 85.211

Zkusím během dopoledne něco navrhnout, bohužel služební povinnosti mi neumožňují, abych si návrh ověřil v krátké době. Prosím o trpělivost.

[Francouz]

jasně,v klidu ...

[PetrTl]

Tak to zkusíme. Zablokujeme jakýkoliv příchozí provoz z daného rozsahu. Nevím ale, jestli se tím nenabourá nějaká funkčnost tvého PC. Pokud by se tak stalo, bude se to muset řešit dále, s 1danabou.

Postup:

Kerio - Síťová bezpečnost - Aplikace. Klikni na Paketový filtr. Záložka Pravidla ..., Přidat. Do Popisu si zadej nějaké vlastní výstižné pojmenování pravidla. Aplikace Any, Skupina Default. Zaznamenat a Upozornit nechej prázdné.
V sekci Vzdálený dej Přidat rozsah adres. První "85.211.0.0", Poslední "85.211.255.255" - bez těch uvozovek samozřejmě, OK. Směr Příchozí, Akce Zakázat. Použít. Z části Paketový filtr pak vyskočíš zpět tlačítkem OK.

Naskočí ti toto pravidlo do seznamu pravidel paketového filtru, s boxem na zatržení - musí být zatržený, aby fungoval. Kdyby se něco znefunkčnilo a bylo by to významné, omezující funkci PC, tak pro deaktivaci tohoto pravidla stačí zrušit ono zatržítko a dát Použít. Pak je ale nutné sem uvést co nejpřesnější opis takovéto situace, aby se bylo při dalším řešení čeho chytit.

[Francouz]

Udělano a uvidime co a jak,,,zatim moc dekuji

mmj. pred tim nez jsem to udelal byl ohlasen dalsi atakDCOM exploit zase 85. IP ale ne 85.211
ale byla to tahle ip adresa 85.92.243.241


no a tedka tak hledim ze ja mam ip adresu 85.92.xxx.xxx. teda zacina me s tema stejnyma cislama...

nejake divne,ze by provider radil?

[Francouz]

i tak me to hlasi utok z ip 85.107.14.224/135tcp



a to jsem urcite v keriu nic nepokazil uzivam ho vice jak 3 leta ...


kdovi co to bude za pruzkumaka...

prosim vas jsou jeste nejake moznosti?

[PetrTl]

Ale jo, jsou. Jen nevím co je příčinou těchto útoků. To mně trošičku osobně vadí. Ale to nic ...

Zakážeme jakýkoliv přístup na tvůj port 135. Dej si změnit to pravidlo. Rozsah adres v okně Vzdálený dej Odebrat a do prostředního okna Lokální vlož port 135. Dej vše uložit. Uvidíme, co pak. Ty moje okecy obecného rázu z předešlého postu platí obdobně.

[Francouz]

Hojda,
nechci to zakriknout vypada to dobre od rana nic zadny utok-!!

mmj. jak jsem psal driv ze ta IP adresa ktera utocila(jedna z mala adres) ma 85.92.X.X.X a moje adresa zacina taky na 85.92.X.X.X co si o tom mam myslet,ze provider cumi do pc jeho klienta?

[gugacka]

na tu poslední otázku vám klidně odpovím i já, ne to je blbost, váš poskytovatel bude mít koupeno jenon několik adres,
tzn že má k dispozici třeba 85.92.0X.XXX 85.92.xx.xx je ohromné množství adres

85.92.243.241 - tahle je ze Sarajeva

To že adresa útoku začíná na 85 nehraje roli

[Francouz]

hoj
tedka koukam na zaznamy z keria FW nips a snaha je tam neustale se ke me dostat,ale avast jiz nic nehlasi asi ten port co je blokly to zastavuje,ale v log ci zaznamu v keriu NIPS utok je neustale ...
viz obrazecek..
Cervene je muj provider a modre nevim...

je to vse jak ma byt,je to ochraneny?


mmj. kdyz si dam na te IP adrese 85.92.58.185. rozklik a dam jmeno dns tak je tam 85.92. a jmeno mojeho provozovatele site...
a na jedne tam je