Davide Denicolo wrote: > Ciao a tutti, > accendendo oggi il computer ho notato stranamente che alcuni processi con > diritto SYSTEM venivano generati in automatico con nomi CMD.exe e FTP.exe; > randomicamente mi veniva segnalato un buffer overflow nel svchost.exe > facendo piantare senza troppi problemi il sistema. > Ho attivato lo sniffer sul canale ed ho notato diversi tentativi di attacco > su porta 445 compiuti con successo. Il provider che uso è Libero.it su ip > 151.60.32.x > > Allego a questa mail anche i log dello sniff; il sistema non è > aggiornatissimo ma ricordo bene di averlo patchato quando tempo fa si > presentò il bug su RPC. > > Per il momento con un workaround ho inserito una regola di block nel > firewall del router; cosa può essere?
Non è un workaround, è una cosa che avresti già dovuto fare e che dovrai mantenere anche se/quando avrai risolto il problema degli overflow. RPC non è un servizio da esporre a Internet: https://www2.sans.org/top20/#w4 (punto 4.5 in particolare). ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
