Полезная информация

В мире Mozilla происходит много интересных событий. Но вам не нужно постоянно посещать новостные сайты, чтобы быть в курсе всех изменений. Зайдите на ленту новостей Mozilla Россия.

№131-05-2009 23:27:51

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.0

Внешняя безопасность

Сначала опишу ситуацию. Несколько раз сегодня, при заходе на этот сайт, я получал от Trend Micro RUBotted (программа предотвращения заражения компьютера ботами через DNS-запросы) сообщения "Detected DNS query of malicious domain" ("Обнаружен DNS-запрос с зловредного домена"). Проверка компа (Avast, DrWeb-CureIt!, HijackThis, Spywareterminator, Malwarebytes' Anti-Malware) показала, что всё обошлось и никто ко мне не проник.

Необходимое пояснение: программа Trend Micro RUBotted ложными срабатываниями не страдает, хотя и это не исключено.

Можно ли как-то проверить кто "присосался" к этому сайту?


May the FOSS be with you!

Отсутствует

 

№201-06-2009 05:42:19

Алекс Тарантул
Участник
 
Группа: Extensions
Откуда: Оренбург
Зарегистрирован: 22-04-2006
Сообщений: 271
UA: K-meleon 1.5
Веб-сайт

Re: Внешняя безопасность

George Yves пишет

Можно ли как-то проверить кто "присосался" к этому сайту?

Открыта была одна вкладка или несколько (с другими сайтами)?


=W3= (Мы свободны)

Отсутствует

 

№301-06-2009 07:10:35

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.0

Re: Внешняя безопасность

Алекс Тарантул пишет

Открыта была одна вкладка или несколько (с другими сайтами)?

Были открыты две вкладки - Fast Dial и главная страница форума. Первая вкладка - это моя стартовая, она открыта всегда. Если думаете, что попытка запроса была сделана с другого сайта, то ошибаетесь. Предупреждение о запросе появилось ДО ввода моего логина и пароля, т.е. "притащить его с собой" я тоже не мог.

Отредактировано George Yves (01-06-2009 07:15:26)


May the FOSS be with you!

Отсутствует

 

№401-06-2009 11:47:36

Алекс Тарантул
Участник
 
Группа: Extensions
Откуда: Оренбург
Зарегистрирован: 22-04-2006
Сообщений: 271
UA: K-meleon 1.5
Веб-сайт

Re: Внешняя безопасность

George Yves пишет
Алекс Тарантул пишет

Открыта была одна вкладка или несколько (с другими сайтами)?

Были открыты две вкладки - Fast Dial и главная страница форума. Первая вкладка - это моя стартовая, она открыта всегда. Если думаете, что попытка запроса была сделана с другого сайта, то ошибаетесь. Предупреждение о запросе появилось ДО ввода моего логина и пароля, т.е. "притащить его с собой" я тоже не мог.

Первое, что приходит на ум: посмотреть, что скажет firewall. Например, Sygate даёт подробную информацию в отчётах. Скорее всего он сможет дать какую-то зацепку в плане "кто присосался" к сайту. Всё таки Trend Micro RUBotted не является firewall'ом в полном смысле этого слова.
Сделаем так: я сегодня поставлю Trend Micro RUBotted на свой компьютер и в течение недели буду отслеживать поведение системы в сети. Судить будем по результатам. ОК?

Отредактировано Алекс Тарантул (01-06-2009 17:12:21)


=W3= (Мы свободны)

Отсутствует

 

№501-06-2009 18:09:17

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.0

Re: Внешняя безопасность

Алекс Тарантул
ОК, но уточняю: у меня нет внешнего фаервола - его функции выполняет системный фаервол, под управлением Vista Firewall Control, вместе с антивирусом Avast и режимом "предотвращение вторжения" в Spywareterminator.


May the FOSS be with you!

Отсутствует

 

№601-06-2009 21:21:09

Алекс Тарантул
Участник
 
Группа: Extensions
Откуда: Оренбург
Зарегистрирован: 22-04-2006
Сообщений: 271
UA: K-meleon 1.5
Веб-сайт

Re: Внешняя безопасность

Кое-что выяснилось уже сейчас. При каждом срабатывании ахтунга Trend Micro RUBotted (за 2,5 часа - 18 срабатываний) я проверял логи Sygate - он (Sygate) блокировал входящие запросы по протоколу UDP. Все IP принадлежат различным провайдерам, разбросанным по всему миру: Испания, Германия, Россия и т.д. Встречались ICMP-запросы от моего провайдера... Вот только что перезапустил систему и открыл во вкладках сайты Гугла и Яндекса. Выскочил ахтунг.... IMHO, DNS-серверы рассылают запросы "всем-всем-всем", а Trend Micro RUBotted срабатывает. Настораживает также отсутствие у Trend Micro RUBotted какого-либо подтверждения реальности угрозы. Моя претензия: если сработал, будь добр - поясни своё поведение! Trend Micro RUBotted этого не делает почему-то.
И ещё нашёл вот это: http://forum.avast.com/index.php?topic=40131.0
Там обсуждалась аналогичная ситуация. Суть одного из ответов: если программа не представит доказательств зловредности того, что она сочла таковым, то грош цена такой программе...

У кого какие соображения?

2George Yves
Мне продолжать наблюдение за "пациентом"?
Видимо, всё дело в критериях "зловредности". При работе с IE8 всё спокойно, при работе с Opera также спокойно. Странно это всё...

Отредактировано Алекс Тарантул (01-06-2009 21:55:32)


=W3= (Мы свободны)

Отсутствует

 

№701-06-2009 23:37:12

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.0

Re: Внешняя безопасность

Алекс Тарантул
Поступайте по своему усмотрению. Я уже сделал выводы: TM RUBotted сейчас находится в бета-версии и пока только способен определять сам факт запроса и блокировать его; активность программы видимо зависит от какого-то вида активности посещаемого сервера. Удалять я программу не буду - дождусь основного релиза.

Кажется я что-то нашёл. Вот здесь, здесь и здесь говорится об одном и том же: по информации Websense Security Labs около 20 тыс. давно и исправно функционировавших подверглись скрытой хакерской атаке методом SQL-инъекции с домена, похожего по названию на google-analytics.com. В результате на заражённом сайте появляется джава-эксплоит (пример заражённого джава-скрипта - в первом сообщении).

Отредактировано George Yves (02-06-2009 00:33:17)


May the FOSS be with you!

Отсутствует

 

№802-06-2009 05:13:27

Алекс Тарантул
Участник
 
Группа: Extensions
Откуда: Оренбург
Зарегистрирован: 22-04-2006
Сообщений: 271
UA: K-meleon 1.5
Веб-сайт

Re: Внешняя безопасность

George Yves пишет

Алекс Тарантул
Поступайте по своему усмотрению. Я уже сделал выводы: TM RUBotted сейчас находится в бета-версии и пока только способен определять сам факт запроса и блокировать его; активность программы видимо зависит от какого-то вида активности посещаемого сервера. Удалять я программу не буду - дождусь основного релиза.

ОК. Я прекращаю наблюдение. Пока  TM RUBotted не научится показывать адекватные логи с конкретным указанием угрозы и её источника, я буду относиться к работе сей программы весьма скептически. Я больше доверяю комплексу иных программ (в данном случае - Kaspersky и Sygate Personal Firewall), которые не находят ничего "зловредного". Sygate хотя бы логи показывает и даёт возможность проверки IP по whois...


=W3= (Мы свободны)

Отсутствует

 

№909-09-2012 23:36:34

тональ
Забанен
 
Группа: Members
Зарегистрирован: 10-02-2011
Сообщений: 273
UA: unknown 0.0

Re: Внешняя безопасность

Подскажите кто шарит.
Стоит Kaspersky Internet Security 2012 и раз в несколько месяцев он выдаёт красный алерт с сообщением типа такого: "Была предотвращена загрузка опасного объекта." Это происходило при открытии вкладки с поисковой выдачей, когда ищу что-нибудь через Гугл (https://www.google.com/webhp?complete=0&hl=ru). То есть я даже ещё не кликал ни на какие ссылки (вообще ни на что)!
Вот скрины с отчёта KIS:
1PNG_9770323_5735783.png   2PNG_9422116_5735793.png
Стоит Windows 7, [firefox] - релиз, NoScript стоит (+ в нём даже запрещены iFrame !). И у меня даже в about:config отключена "предзагрузка ресурсов": (Если включена эта опция, ресурсы, помеченные rel="prefetch", браузер автоматически предзагружает и кэширует после окончания загрузки текущей страницы. Рекомендуется отключить для предотвращения утечки трафика, также, возможно, имеется угроза атаки)
Что-то я не врублюсь, выходит несмотря на NoScript и запрещённую предзагрузку ресурсов в мой комп пытаются загрузиться вредоносные скрипты? (я в этом особо не разбираюсь)
Сейчас я хочу сменить Каспера на бесплатный Comodo Internet Security (у него нет веб-сканера, у него эта функция возложена на свой DNS) и что теперь эта зловредная хрень в выдаче Гугла может проникнуть ко мне? Можно ли через about:config исправить эту брешь, или с помощью расширения?
Ай нид хэлп

Отредактировано тональ (10-09-2012 01:30:34)

Отсутствует

 

№1010-09-2012 00:13:08

LongLogin
Участник
 
Группа: Members
Зарегистрирован: 30-01-2011
Сообщений: 2083
UA: Firefox 15.0

Re: Внешняя безопасность

тональ пишет

и что теперь эта зловредная хрень в выдаче Гугла может проникнуть ко мне?

нет, это просто spersky делает людей параноиками

Отсутствует

 

№1110-09-2012 00:27:01

Пандёнок
Участник
 
Группа: Extensions
Зарегистрирован: 04-11-2008
Сообщений: 5543
UA: Seamonkey 2.12

Re: Внешняя безопасность

тональ
Если оно есть, то оно не где-то, а уже на Вашем компьютере. Поскольку указанных объектов на странице Google быть не может.

Отсутствует

 

№1210-09-2012 01:19:15

тональ
Забанен
 
Группа: Members
Зарегистрирован: 10-02-2011
Сообщений: 273
UA: unknown 0.0

Re: Внешняя безопасность

Пандёнок пишет

тональЕсли оно есть, то оно не где-то, а уже на Вашем компьютере.

тональ пишет

он выдаёт красный алерт с сообщением типа такого: "Была предотвращена загрузка опасного объекта."

Кстати и карантин пуст.

Отредактировано тональ (10-09-2012 01:27:09)

Отсутствует

 

№1310-09-2012 01:55:43

Пандёнок
Участник
 
Группа: Extensions
Зарегистрирован: 04-11-2008
Сообщений: 5543
UA: Seamonkey 2.12

Re: Внешняя безопасность

тональ
Я всё внимательно прочитал. Но поверьте мне, на www.google.com нет никаких опасных объектов. Либо у Вас включена предварительная проверка ссылок (то есть угроза где-то в списке найденных сайтов), либо вирус уже на компьютере и каспеский в лучшем случае пресекает его деятельность в браузере.
Вообще антивирус у Вас лицензионный?

Отсутствует

 

№1410-09-2012 02:38:07

тональ
Забанен
 
Группа: Members
Зарегистрирован: 10-02-2011
Сообщений: 273
UA: unknown 0.0

Re: Внешняя безопасность

Пандёнок пишет

Либо у Вас включена предварительная проверка ссылок (то есть угроза где-то в списке найденных сайтов)

Вот настройки проверки ссылок Каспера:

скрытый текст
1okPNG_4526572_5736588.png  SnimokPNG_8938151_5736598.png

Пандёнок пишет

либо вирус уже на компьютере и каспеский в лучшем случае пресекает его деятельность в браузере.

99 % что "нет"

скрытый текст

Пандёнок пишет

Вообще антивирус у Вас лицензионный?

Практическа да blushgif_9099701_5736611.gif. Собсна только недавно до меня дошло, что воровать - это нехорошо. Поэтому- то и перехожу на CIS

Отредактировано тональ (10-09-2012 02:39:33)

Отсутствует

 

№1510-09-2012 09:25:07

Пандёнок
Участник
 
Группа: Extensions
Зарегистрирован: 04-11-2008
Сообщений: 5543
UA: Seamonkey 2.12

Re: Внешняя безопасность

тональ
А можно в KIS отключить уведомления об обнаружении троянских программ веб-антивирусом?

перехожу на CIS

А я давно использую Microsoft Security Essentials. Что в нём есть, а чего нет — не знаю, но работает и обычно не беспокоит уведомлениями.

Отсутствует

 

№1610-09-2012 10:04:51

Квизац_Хадерач
Джедай
 
Группа: Members
Откуда: Россия|провинция
Зарегистрирован: 28-01-2007
Сообщений: 1228
UA: Opera 12.0
Веб-сайт

Re: Внешняя безопасность

Вы со своими вирусами и троянами скоро станете параноиками. Для защиты компьютера на виндоувс вполне хватает бесплатного аваста, прямых рук и хотябы чайной ложечки мозгов.


Каждый ответственен за то добро, которое не совершил.

Отсутствует

 

№1710-09-2012 10:25:33

Пандёнок
Участник
 
Группа: Extensions
Зарегистрирован: 04-11-2008
Сообщений: 5543
UA: Seamonkey 2.12

Re: Внешняя безопасность

Квизац_Хадерач
Кто «вы»? Не обобщайте. MSE и CIS тоже бесплатны. Для флейма есть соответствующий раздел.

Отсутствует

 

№1810-09-2012 11:09:09

KooL
Участник
 
Группа: Members
Зарегистрирован: 23-12-2010
Сообщений: 1336
UA: Firefox 15.0

Re: Внешняя безопасность

Проактивку и фаирвол поставить, смотреть что куда лезет.

Отредактировано KooL (10-09-2012 11:09:27)

Отсутствует

 

№1910-09-2012 14:01:10

feas
Участник
 
Группа: Extensions
Откуда: от DNS
Зарегистрирован: 25-08-2011
Сообщений: 5213
UA: Firefox 17.0
Веб-сайт

Re: Внешняя безопасность

Квизац_Хадерач пишет

Для защиты компьютера на виндоувс вполне хватает бесплатного аваста,

поддержу - уже 4 года практики на более 10 домашних компах.


Добро пожаловать на форум mozilla-russia.org. Здесь вы можете посоветоваться или обратиться за помощью к фанатам и пользователям продуктов Мозиллы. Если не знаете как правильно оформить пост специально для вас расписан пункт 2.2 правил форума
Сброс на примере Firefox – лёгкое решение большинства проблем
Починка браузера. Перенос своих настроек на новый профиль.

Отсутствует

 

№2010-09-2012 14:38:00

KooL
Участник
 
Группа: Members
Зарегистрирован: 23-12-2010
Сообщений: 1336
UA: Firefox 15.0

Re: Внешняя безопасность

По сравнению с отключенными Флешем, Явой и правами админа любой антивирус дыра дырой, обычным пользователям именно это надо настраивать, оставить Флеш для пары сайтов только.

Отсутствует

 

№2110-09-2012 20:45:57

тональ
Забанен
 
Группа: Members
Зарегистрирован: 10-02-2011
Сообщений: 273
UA: unknown 0.0

Re: Внешняя безопасность

Пандёнок пишет

А можно в KIS отключить уведомления об обнаружении троянских программ веб-антивирусом?

Нет

скрытый текст
SnimokPNG_5693259_5742649.png

Пандёнок пишет

А я давно использую Microsoft Security Essentials. Что в нём есть, а чего нет — не знаю, но работает и обычно не беспокоит уведомлениями.

Квизац_Хадерач пишет

Вы со своими вирусами и троянами скоро станете параноиками. Для защиты компьютера на виндоувс вполне хватает бесплатного аваста, прямых рук и хотябы чайной ложечки мозгов.

То, что он не беспокоит - для меня это не главенствующий критерий. В вопросах безопасности у меня правило "Лучше перебдить, чем недобдить".

Отсутствует

 

№2210-09-2012 20:52:41

KooL
Участник
 
Группа: Members
Зарегистрирован: 23-12-2010
Сообщений: 1336
UA: Palemoon 15.0

Re: Внешняя безопасность

Тогда просто Каспер показывает, что "работает")

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]