Įspėjimas dėl kenksmingo programinio kodo platinimo

Sveiki, ką tik gavau iš Meganet e-mailą, kuriame teigiama: "Informuojame, jog is CERT-LT gavome informacija, kad is Jusu kompiuterio pastebetas kenksmingo programinio kodo (kompiuteriniu virusu) veikimas". Yra pateikti net laikai, kada buvo užfiksuotas tas virusų aktyvumas ir pan.

Prie "galimas pažeidimas" rašo SSDP_reflected_DDoS. Gal kas galit pasakyti, ką tai reiškia tiksliai? Googlėje ieškojau, nekažką man ten randa. Ir kai pamačiau, kad nuo kovo 24 d. tas aktyvumas užfiksuotas, prisiminiau, kad būtent nuo tada panelei, kuri gyvena tame pačiame bute su manimi (internetu naudojamės per routerį), pradėjo išsijunginėti kompas, dar paleidžiant kompiuterį kažkokią lentelę meta ir pan. Aš ten nelabai gilinaus, bet žinau, kad kažkokie prasidėjo neaiškumai su kompu.

Tai gal galit kas nors paaiškinti, ką reiškia būtent tas SSDP_reflected_DDoS ir kaip būtų galima tai sutvarkyti?

Reiškias, kad pas tave kompe yra virusas ir iš tavęs DDoS'ina.

Reinstall windows.

Reiškias, kad pas tave kompe yra virusas ir iš tavęs DDoS'ina.

 

Reinstall windows.

O gali iš bet kurio kompo tai daryti ar didžiausia tikimybė, kad iš to, kuris pradėjo streikuoti? Kadangi namuose 3 kompai, tai visų windowsus perrašyti nesinorėtų.

Gali būti iš bet kurio, bet taip, pirmiausia reiktų ten kur "streikuoja"

Gali būti iš bet kurio, bet taip, pirmiausia reiktų ten kur "streikuoja"

Ačiū :)

Pabandyk su Malwarebytes praskanuoti.

O gali iš bet kurio kompo tai daryti ar didžiausia tikimybė, kad iš to, kuris pradėjo streikuoti? Kadangi namuose 3 kompai, tai visų windowsus perrašyti nesinorėtų.

Routeryje būna apsaugų nuo ddos atakų, įsijunk ir iškart pamatysi kuris kompas be interneto liks :)

Routeryje būna apsaugų nuo ddos atakų, įsijunk ir iškart pamatysi kuris kompas be interneto liks :)

Tik dabar klausimas, kaip įsijungt tą apsaugą routeryje :D

Na ka, ir as gavau laiska kad buvau ddosintas bet tada sedejau per tel nete, na tikiuosi nebus ko pridare :D

Kažkaip keistai, man taip pat nuo 2014.03.24 pradėjo kažkokias nesamones daryti. Tik šiandien iš Skyneto gavau informaciją.

Data Laikas src_port url dst_port CC Galimas KPK

2014-04-09 13:53:58 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-08 13:47:38 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-07 13:45:43 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-06 13:50:30 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-02 13:57:34 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-03-31 13:39:34 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-03-25 12:45:10 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-03-24 12:57:30 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

Idomu čia lietuviai šposus krečia ar užsienis.

Mezonas tie patys bajeriai, cia ju problemos. o ne paprastu vartotoju. bent jie patys taip sake

Kažkaip keistai, man taip pat nuo 2014.03.24 pradėjo kažkokias nesamones daryti. Tik šiandien iš Skyneto gavau informaciją.

Data Laikas src_port url dst_port CC Galimas KPK

2014-04-09 13:53:58 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-08 13:47:38 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-07 13:45:43 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-06 13:50:30 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-04-02 13:57:34 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-03-31 13:39:34 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-03-25 12:45:10 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

2014-03-24 12:57:30 1900 - 1900 http://192.168.0.1:65535/rootDesc.xml SSDP_reflected_DDoS

 

Idomu čia lietuviai šposus krečia ar užsienis.

Man datos lygiai tokios pačios. Tai aš čia nesuprantu - bandyt kompą tvarkyti, ar čia iš vis reikia nekreipti dėmesio į tai?

2014-04-09 12:55:21 3217 - 3217 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

2014-04-08 12:51:36 3136 - 3136 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

2014-04-06 12:56:15 3318 - 3318 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

2014-04-02 12:57:36 3198 - 3198 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

2014-03-31 12:46:10 3097 - 3097 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

2014-03-25 11:01:32 3104 - 3104 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

2014-03-24 11:05:31 3099 - 3099 http://192.168.2.1:49153/gatedesc.xml SSDP_reflected_DDoS

Mano datos, kas keisciausia, kad 2014-04-06, 2014-04-08, 2014-04-09 dienom kompiuteriai buvo isjungti, buvo ijungtas tik routeris, ant routerio apsauga uzdeta, kad tik galima butu prisijungt pagal mac adresa.

Aš tai šiandien vėl gavau el. laišką :D

Laikas DST IP:DST Port Galimas pazeidimas Galimas tipas

2014-04-10 11:35:07 http://192.168.0.1:9863/gatedesc.xml:9111 SSDP_reflected_DDoS Spraga

2014-04-11 11:37:14 http://192.168.0.1:10645/gatedesc.xml:9124 SSDP_reflected_DDoS Spraga

2014-04-12 11:20:08 http://192.168.0.1:39341/gatedesc.xml:9137 SSDP_reflected_DDoS Spraga

Tvarkykites routerius... Nuoroda apie masini pazeidziamuma.

Pasitikrinkite

https://www.cert.lt/irankiai.html

Ar jūsų maršrutizatorius neturi saugumo spragų

Tikrinti įrenginį, dėl SSDP, OpenResolver, NTP, SNMP, CharGen saugumo spragų.

Tikrinti įrenginį, dėl "openresolver" saugumo spragos.

Tikrinti įrenginį, dėl "UPnP" saugumo spragos.

Jeigu rašo, kad yra UPnp saugumo spraga, siūlyčiau maršrutizatoriuje atjungti UPnp protokolą.

Kaip tai padaryti?

Bandykite google įvesti pvz.

how to turn off upnp on router <Routerio pavadinimas kodas>

Va tokius bajerius matau cert.lt puslapyje ir Skynet man juos atsiuntė jau gal 10 kartų.

2014-04-13 14:16:41 1050 - 1050 http://192.168.0.1:21730/gatedesc.xml SSDP_reflected_DDoS

2014-04-12 14:10:05 1077 - 1077 http://192.168.0.1:29193/gatedesc.xml SSDP_reflected_DDoS

2014-04-11 14:26:19 1032 - 1032 http://192.168.0.1:32258/gatedesc.xml SSDP_reflected_DDoS

2014-04-10 14:24:13 1113 - 1113 http://192.168.0.1:12491/gatedesc.xml SSDP_reflected_DDoS

2014-04-09 14:24:19 1034 - 1034 http://192.168.0.1:38644/gatedesc.xml SSDP_reflected_DDoS

2014-04-08 14:16:28 1046 - 1046 http://192.168.0.1:26992/gatedesc.xml SSDP_reflected_DDoS

2014-04-07 14:14:01 1079 - 1079 http://192.168.0.1:5008/gatedesc.xml SSDP_reflected_DDoS

2014-04-02 14:28:30 1046 - 1046 http://192.168.0.1:37492/gatedesc.xml SSDP_reflected_DDoS

2014-03-25 12:18:11 1087 - 1087 http://192.168.0.1:51663/gatedesc.xml SSDP_reflected_DDoS

2014-03-24 12:28:33 1050 - 1050 http://192.168.0.1:51939/gatedesc.xml SSDP_reflected_DDoS

RRT telefonu man pasakė, kad čia ne ataka, o spraga. Ją galima panaikinti išjungus routerio uPnP.

uPnP pas mane yra išjungtas.

Antivirusai, visus kokius įmanoma, išmėginau, nieko nerado kompe.

Be to, viena iš tų atakų buvo tuo metu, kai routeris buvo išjungtas.

Todėl manau, kad čia problema interneto tiekėjo arba kažkokio nežinomo viruso.

O Skynet sako - skambink į RRT.

Bardakas kažkoks

Pasitikrinkite

https://www.cert.lt/irankiai.html

Ar jūsų maršrutizatorius neturi saugumo spragų

Tikrinti įrenginį, dėl SSDP, OpenResolver, NTP, SNMP, CharGen saugumo spragų.

Tikrinti įrenginį, dėl "openresolver" saugumo spragos.

Tikrinti įrenginį, dėl "UPnP" saugumo spragos.

 

Jeigu rašo, kad yra UPnp saugumo spraga, siūlyčiau maršrutizatoriuje atjungti UPnp protokolą.

 

Kaip tai padaryti?

Bandykite google įvesti pvz.

how to turn off upnp on router <Routerio pavadinimas kodas>

Viską patikrinau, visur rašė, kad nėra tų saugumo spragų. Dar bandžiau per google ieškoti, kaip galėčiau pasitikrinti dėl savo routerio, ar išjungtas tas upnp, bet niekur neradau info apie logilink routerį.