Imas li firewall i ako imas sta kaze o periodu pre i u toku dobijanja poruke?
Skeniraj sistem AV-om (ako nisi).

AV nemam tako da ne mogu da proverim zarazenost systema.
FW mi nije dao nikakvu korisnu informaciju, nisam uspeo da nadjem nikakvu pravilnost u predhodna 2-3 napada. samo da napomenem da ne dolazi uvek do pucanja i takodje nisam uspeo da "uhvatim" pravilnost u kojim situacijama i kod kojih sajtova dolazi do pucanja.

da li je ovo neka vrsta DOS napada?

Ne bi bilo lose da instaliras AV, ne samo zbog ovoga.
Ukljuci u FW-u sva moguca logovanja i kada se to dogodi pogledaj koliko je sati. Posle vidi ima li sta u to vreme (plus minus 2-3min.).
U EventViewer-u pogledaj da li je neki servis u tom trenutku prekinut.

Verovatno.

Nije ovo dos, nego rupa u lsassu, kad nesto/neko uleti kroz nju, lsass puca. predpostavljam da imas nepokrpani xpsp1, owna te pola interneta do sada, preporucio bi reinstalaciju jer ko zna sta si sve pokupio.. ako neces reinstalirat os, krpaj to i dizi antivirus

_{[Ovu poruku je menjao ss. dana 22.07.2005. u 12:45 GMT+1]}

Lepo se vidi da ima Windows2003. Reinstalacija tek tako? Ma hajde. Na nekim sistemima se reinstalacija ne radi kad god ti padne na pamet i nije nimalo naivna stvar.

Inace, rekao bih da nije pokupio nista i mislim da znam sta je u pitanju ali necu da nagadjam i zato pitam za ove detalje.

w2k3 ima takodjer exploitable lsass,, i da, naravno da se reinstalacija ne radi tek tako, ali ako je ovdje slucaj da je bio online sa potpuno otvorenim sysom, vise mu se ne moze "vjerovati", jer ko zna kakvu je custom bestiju mogao pokupiti, pored sassera i slicnih, rekao sam da moze i samo dic av ako mu nije stalo da je 100% siguran u cistocu osa

pitanje za lika je dal si uopce updatao i krpao taj os? ako ne, kakvi firewall logovi, stvar je jasna.

Bug koji sasser koristi je na win2k3 iskoristiv jedino za local admina - sto ce reci da bi morao sam da pokrene taj .exe. Znaci, nece bas tako lako doci sa net-a (nije nemoguce).
System mu nije "otvoren" jer FW ima. Ipak instalacija AV-a je svakako preporuka.
Stvar naravno nije jasna vec samo mozes da nagadjas i da eventualno pogodis, i bilo bi lepo da ovde tacno utvrdimo sta je bio problem i po mogucstvu na koji je nacin otkriveno i kako otkloniti (najbolje za rucno otklanjanje). U edukativne svrhe ne samo da bismo resili ovaj trenutni problem.

kad god je doslo do pucanja trudio sam se da u roku od nekoliko sec prekinem vezu (cupanjem kabla jer bez lsass-a nije hteo sam da je prekine)

razmisljao sam o reinstalaciji jer je os poceo u nekim situacijama cudno da se ponasa. mada me hvata jeza od takve ideje jer mi je ovo sys star vise od dve godine i bas sam "navikao" na njega.

problemi koji se desavaju sa systemom:
-slicno kao u temi http://www.elitesecurity.org/tema/127322 ali ja nemam open opciju koju bih mogao da stavim kao default
-ponekad kad pokusam da iskljucim neku aplikaciju istog trenutka se resetuje win (nema nikakve poruke u event logu.
-drag&drop nece uvek da radi kako treba
-i jos mozda neke sitnice ali ne mogu da se setim

mozda ovi problemi nemaju veze sa pucanjem lsass-a

od zakrpa imam samo za RPC i za neki propust u vezi jpg-a ili tako nesto.

koji AV mi preporucujete s' obzirom da imam server varijantu OS-a?
i da u slucaju reinstalacije kakva je mogucnost ponovne zaraze ako je u pitanju vec zarazen system. znaci ja bih zgazio samo systemski deo.

unapred hvala

Za ove druge probleme se nadovezi na postojece teme ili pokreni nove.

Dve stvari na koje najvise sumnjam su:
http://www.microsoft.com/technet/security/advisory/904797.mspx - u ovom slucaju je DoS.
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx - varijanta da si ipak navukao sasser-a i/ili nesto sl.

U svakom slucaju prvo instaliraj AV (vidi koji radi na server-u ako hoces legalnu verijantu ili bilo koji drugi u onim drugim slucajevima. Pogledaj temu o preporukama za AV). Tada instaliraj zakrpe.
U slucaju da je prva stvar u pitanju, nema zakrpe ali mozes blokirati port 3389 za dolazni saobracaj ili iskljuciti terminal service.
U slucaju da ti je potreban Terminal service, koristi ga kroz VPN.

Edit: ispravljen prvi link.

_{[Ovu poruku je menjao Shadowed dana 25.07.2005. u 18:40 GMT+1]}

nije, lsass je remotely exploitable. i sasser ga i exploita remotely


ako ima application based fw, ako je pustio lsass van, i ako je spojen direktno na net itekako je otvoren

evo nekog infoa konkretno o sasseru:
http://vil.nai.com/vil/content/v_125012.htm

a sto se tice ovog nekog dosa preko terminal servicea, terminal service nema nikakve veze sa lsassom, vrti ga svchost.exe, a da se dogadja ovakvo rusenje systemskih processa zbog toga, sigurno bi bilo zakrpe


mislim da nebi bilo problema niti sa jednim av-om, koristim 2k3 dosta dugo i nije mi se dogodilo da nesto ne radi. iako av nije toliko potreban ako se ta masina koristi samo kao server, i ako mislis raditi format/reinstall, nakon reinstalla stavi sp1 (prije nego dignes masinu online, sp1 popravlja sve te public remotely exploitable rupe, tako da nemoras rucno krpat), digni automatic updates i trebao bi biti siguran.

Na drugom linku MS kaze:
Zbog toga sam i rekao da je Win2k3 moguce exploitovati samo lokalno.

Remote desktop ima veze sa lsass-om jer zahteva autentifikaciju koju obavlja lsass.

hm sjecao sam se da sam ja na svojoj 2k3ci exploitao lsass remotely ali sad si me uzdrmao:) moguce da se radilo o rpcu
moguce da se kod pokusaja remote exploitanja lsassa na 2k3 dogadja da padne

a sto se tice ove remote desktop rupe, ima na security focusu jedan terminal services dos info ali nema public exploita, niti pise ista o lsassu, (a sad vidim da nije ni za 2k3) sumnjam da ga netko dosa

_{[Ovu poruku je menjao ss. dana 27.07.2005. u 21:26 GMT+1]}