NOD блокирует локальную сеть

[ArtemSaratov]

Стоит НОД Смарт Секурти 4.
Закрывает доступ по сети к тем машинам, на которых стоит Вин 7 Про 64 бит...
По крайней мере я ничего другого общего у этих машин не вижу, кроме ОС..

В журнал при этом пишет
14.02.2012 18:04:11 Обнаружена атака сканирования портов 192.168.0.14:5355(не мой комп) 192.168.0.6:63378 (мой комп) UDP
Атака четко каждые 10 минут 30 секунд.

Причем в один день атаки с одного компа, в другой с другого, в третий с третьего..
что за ерунда??

 

[ZASlonovsky]

Логично предположить, что блокируются IP c которых идёт атака. А значит НОД тут не при чём, он выполняет свою работу. Разбирайтесь, какое ПО шлёт пакеты с блокируемых компов. Что там кроме винды? Какой антивирус и прочие средства защиты ?

 

[Гламурный бобр]

Попытаемся разобраться. Это твоя локалка? Есть доступ к атакующему компу? Запусти на нем НОД в режиме сканирования - это может быть вирус, даже скорее червь, перезаписывающий себя по сети раз в N минут.
Это может быть и не атака - НОД просто нервничает и воспринимает любое обращение к твоему компу как атаку. Судя по тому, что 192.168 - атака идет не извне, а "изнутря", с локальных компов.
Работай с удаленными компами. Бомби их. Просканируй порты - WOL`ом тем же. Вруби касперского. Проверь политику конфиденциальности.

 

[ArtemSaratov]

Разбирайтесь, какое ПО шлёт пакеты с блокируемых компов.

в этом и состоит вопрос...
Винда+касперские...
Офис еще есть... Как на "атакующем" компе посмотреть кто на меня долбится? какие-то программы есть??
У меня такое ощущение, что может какие-то виндовые службы, типа "обозреватель компьютеров" или что-то подобное слоняются по сети, собираю инфу, а НОД блокирует это..

 

[ArtemSaratov]

Это твоя локалка?

моя...

Есть доступ к атакующему компу?

да

Запусти на нем НОД в режиме сканирования - это может быть вирус,

на них стоит каспер Инет секурити в режиме монитор....Делал им же сканирование-тишина...

НОД просто нервничает и воспринимает любое обращение к твоему компу как атаку.

я тоже так думаю, вопрос "любое" это что именно? почему только семерки? Если это вообще справедливо...

Бомби их.

Что эт значит-как сделать?

Просканируй порты - WOL`ом тем же.

Мне поставить WOL и просанировать ИХ или как? Не работал с этой программой...

Вруби касперского. Проверь политику конфиденциальности.

Удалить нод и поставить касперского? Не пайдет-лицензии на каспер кочились...Но мой комп НОД положен((
Я ее не менял, она такая, какая в винде по умолчанию-что в ней искать надобно, на что внимание обращать???

 

[Гламурный бобр]

ArtemSaratov, если кроме тебя никто не трогал политику безопасности, и она настроена по умолчанию, то лучше не трогать. Касперский ставить вовсе не обязательно, можно Секьюри-диском воспользоваться, он LiveCD.
Вопрос еще такой - ты в логи полез или НОД таблички выкидывает?

 

[ArtemSaratov]

себя Лайв сидишками проверял...Компы атакеры тоже...

Табличек от нода нет..просто я заметил что то принтер не печатает, то на комп не могу зайти...начал смотреть и выяснил что НОД блокирует то один комп (с принтером), то другой..но и в логах нашел еще третий...С которым небыло проблем...В разные дни атаки от разных компов...
например сегодня меня долбит 192,168,0,13
вчера долбил 13,после его выключения разок долбанул 14...Потом я домой просто ушел)))
До того был 14 и иногда 51....Брррр..
Позвонил в НОД поддрежку...Клоуны долго меня слушали, а потом начали говорить "октрой окно, тыкни туда..сюда..туда...тут..здесь.."
кароче в итоге научили меня атакующий комп занести в доверенный лист...
Я говорю, так ведь значит мой фаер просто забъет на него...Ответ гениальный: "ну раз вам это мешает, то значит надо отключить!"

 

[Гламурный бобр]

Заблокировался комп с принтером - лезь в него и смотри, какая прога его заблокировала. Нужно смотреть пинги с одной стороны, с другой стороны. Опять же надо лезть в настройки фаерволла, секьюрити. Спеца волоки, пусть на месте роется.

 

[ArtemSaratov]

Заблокировался комп с принтером - лезь в него и смотри, какая прога его заблокировала.

Его заблокировал мой комп..Вернее мой НОД...

Нужно смотреть пинги с одной стороны, с другой стороны.

Если мой нод заблокировал комп, нету пингов ни от меня ни от него...
Вайр волл в интерактивном режиме...

может какие-то виндовые службы, типа "обозреватель компьютеров" или что-то подобное слоняются по сети, собираю инфу, а НОД блокирует это..

Эта идея глупа?

 

[ArtemSaratov]

Просканируй порты - WOL`ом тем же

гугль не находит эту прогу (((

 

[ArtemSaratov]

вчера поставил сниффер на "атакующий" порт. Сегодня в 10.47 увидел в ноде запись:

16.02.2012 10:03:52 Обнаружена атака сканирования портов 192.168.0.13:5355 192.168.0.6:49734 UDP
Пошел смотреть, что видит сниффер "аттакера".
Снифер увидел на 192.168.0.13:5355 файл svhost.exe из папки Систем32. ID процесса 1316, локальный сервис LLMNR....

Вирус в svhost или между 10.03 и 10.47 что-то еще было?

 

[ZASlonovsky]

LLMNR
Протокол LLMNR (Link-Local Multicast Name Resolution) обеспечивает разрешение имен соседних компьютеров, если в сети отсутствует сервер DNS. Функция LLMNR Responder работает в среде IPv4 или IPv6 при использовании компьютеров, поддерживающих функцию LLMNR Sender (например, с ОС Windows Vista®).

Логично предположить, что 7ка выясняет имена соседних компов. Попробовать отключить этот протокол, если есть DNS-сервер.

 

[ArtemSaratov]

ДНС сервера нет-все ай пи на статике..
Получается, что мой НОД принимает за атаку вполне безобидный запрос??

 

[Andrey_Playboy]

получается да...

 

[ArtemSaratov]

не может быть, что этот svhost заражен?

 

[эрмак]

не может быть, что этот svhost заражен?

Может. Запросто. Только вероятность того, что он там есть меньше, чем вероятность того, что нод блокирует чистый процесс. Антивирусам очень часто свойственно блокировать все, что не используется обычными пользователями превентивно, не разбираясь над причинами. Например нод всегда блокирует обращения к локалхосту по http (тоесть рубит все портативные веб-сервера), касперский рубит очень часто RDP до тех пор, пока не разрешишь явно подключения. Определенная логика в этом есть на самом деле, таким образом снижается нагрузка на систему от работы АВ и повышается уровень безопасности системы.

 

[ArtemSaratov]

в общем ВирусТотал показад что в том свхосте 1/43 (есть троян). Но его нашео какой-то заштатный анивирь...
В общем я задал вопрос в поддержку НОДа-интересно что отпишут..
По телефону мне ПО ШАГАМ начали объяснять, как включить атакующему компьютеру полный доступ к моему-даже не разобравшись что к чему. Я аж обалдел от ситуации "Файр вол мешает увидеть сетевой диск? Пишет что компьюетр с диском вас атакует? Сейчас мы вас научим отключать файрвол"

 

[ArtemSaratov]

Определенная логика в этом есть на самом деле

Дэк в том то и дело! я аж голову сломал, почему принтер не печатает!

Когда я оперой лезу на "порно.ком"-так эта сволочь спрашивает "вы точно хотите туда? Может запретить сетевое соединение?", а как файл на печать-так молча зарубил и все. ))

 

[эрмак]

в общем ВирусТотал показад что в том свхосте 1/43 (есть троян)

https://www.virustotal.com/file/399...a523bb768b8fd49d66c1450eb310a813ade/analysis/
эм... 0/43 как бы. Правда не от семерки х64.
Или дай догадаюсь: 1/43 и этот самый 1 и есть нод?

 

[ArtemSaratov]

мой свхост забраковал
eSafe