А просто в виндовс отключить данный сервис можно?
» Настройка персональных файерволов (firewall rules)
wezir
Цитата:
А нет такого сервиса !!!!
Да и сам loopback нужен - Достаточно просто разрешить тем кому он нужен а не всем подряд
Для Serv-U он жизненео нужен!!!
Цитата:
А просто в виндовс отключить данный сервис можно?
А нет такого сервиса !!!!
Да и сам loopback нужен - Достаточно просто разрешить тем кому он нужен а не всем подряд
Для Serv-U он жизненео нужен!!!
All
Так, дело не в loopback. После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа. Принудительный запрет дела не меняет. Если кто знает почему - откликнитесь...
Так, дело не в loopback. После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа. Принудительный запрет дела не меняет. Если кто знает почему - откликнитесь...
Karlsberg
А что с системой то?
А что с системой то?
Karlsberg
Цитата:
А можно пожалуйста по-подробнее:
в какое такое прежнее состояние? Что поломалось то??
Уменя после многократных тестирований в том числе pcAudit никаких необратимых последствий не было, да и невозможно это. Это же тест всего лишь.
Единственное что пришлось сделать так вычистить призраки-клоны рсаудита из списка разрешенных (зарегистрированных) dll in components details
Цитата:
После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа.
А можно пожалуйста по-подробнее:
в какое такое прежнее состояние? Что поломалось то??
Уменя после многократных тестирований в том числе pcAudit никаких необратимых последствий не было, да и невозможно это. Это же тест всего лишь.
Единственное что пришлось сделать так вычистить призраки-клоны рсаудита из списка разрешенных (зарегистрированных) dll in components details
wezir
Spectr
Дозапускал pcaudit... Решил поиграться и посмотреть, почему у меня все пучком, а у других нет. После разрешенного loopback он таки вылез на свой сайт, показал мой десктоп, в общем, все как у людей. После этого убрал loopback, а pcaudit продолжает спокойно проходить сквозь файервол. Восстановился с имиджа, та-же проблема. Теперь сижу и вспоминаю, что-же я такое натвикал с тех пор, как сделал этот имидж...
Из описания принципа работы pcaudit вообще не понятно, как файервол может ее поймать. Это скорее функция операционки, а не файервола. Вот такие пироги...
Spectr
Дозапускал pcaudit... Решил поиграться и посмотреть, почему у меня все пучком, а у других нет. После разрешенного loopback он таки вылез на свой сайт, показал мой десктоп, в общем, все как у людей. После этого убрал loopback, а pcaudit продолжает спокойно проходить сквозь файервол. Восстановился с имиджа, та-же проблема. Теперь сижу и вспоминаю, что-же я такое натвикал с тех пор, как сделал этот имидж...
Из описания принципа работы pcaudit вообще не понятно, как файервол может ее поймать. Это скорее функция операционки, а не файервола. Вот такие пироги...
Karlsberg
Может оно и к лучшему, зато придется выяснить все-таки правильную настройку файервола.
К сожалению помочь не могу так как у меня аутпост - в нем вся изюминка была в том чтобы запретить в правилах explorer.exe. Именно он позволял обойти component control.
После запрета explorer даже при разрешонном loopback аутпост начинал предупреждать про ранее неизвестную dll в составе хорошо известных и разрешенных к выходу программ
Может оно и к лучшему, зато придется выяснить все-таки правильную настройку файервола.
К сожалению помочь не могу так как у меня аутпост - в нем вся изюминка была в том чтобы запретить в правилах explorer.exe. Именно он позволял обойти component control.
После запрета explorer даже при разрешонном loopback аутпост начинал предупреждать про ранее неизвестную dll в составе хорошо известных и разрешенных к выходу программ
У меня только через браузер проскакивает, остальные приложения файрволом блокируются независимо разрешен loopback или нет.
wezir
а какая стена?
Потому что если проскакивает через броузер, то пора сливать воду (точнее менять стенку, если конечно она настроена правильно)
Прошу прощения за оффтоп, но
вот результаты тестирования стен
http://www.pcflank.com/art41c.htm
а какая стена?
Потому что если проскакивает через броузер, то пора сливать воду (точнее менять стенку, если конечно она настроена правильно)
Прошу прощения за оффтоп, но
вот результаты тестирования стен
http://www.pcflank.com/art41c.htm
Spectr
Agnitum
Но во всех других тестах он держит все на ура, в чем причина не могу понять, пропускает только PCAaudit и что интересно контроль компонентов у меня даже не дергается.
http://www.pcflank.com/art41c.htm здесь никаких проблем не наблюдается.
Agnitum
Но во всех других тестах он держит все на ура, в чем причина не могу понять, пропускает только PCAaudit и что интересно контроль компонентов у меня даже не дергается.
http://www.pcflank.com/art41c.htm здесь никаких проблем не наблюдается.
wezir
Если аутпост то все в порядке. Он должен держать, и он у меня держит все тесты.
еще раз проверь: нужно убрать explorer в запрещенные (ну зачем ему выход в интерент??? для этого есть iexplorer) и поставить максимум в component control.
До меня тут вдруг дошло а что ты называл броузером (IE6 или что-то еще?)
Если аутпост то все в порядке. Он должен держать, и он у меня держит все тесты.
еще раз проверь: нужно убрать explorer в запрещенные (ну зачем ему выход в интерент??? для этого есть iexplorer) и поставить максимум в component control.
До меня тут вдруг дошло а что ты называл броузером (IE6 или что-то еще?)
Opera
С чего ты решил что все в порядке, я же говорю что через браузер проходит свободно.
С чего ты решил что все в порядке, я же говорю что через браузер проходит свободно.
wezir
У меня тоже через оперу выходит. Но мне кажется дело не в настройках файервола
Spectr
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все
У меня тоже через оперу выходит. Но мне кажется дело не в настройках файервола
Spectr
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все
Karlsberg
У меня еще через меденжер закачек проходит, но проходит по стандартным разрешенным портам в опере кстати тоже.
Никто не подскажет, как узнать что ломится в мой комп под процессом System причем удаленные порты совершенно разные. Примерно раз в минуту, это мне не нравится.
У меня еще через меденжер закачек проходит, но проходит по стандартным разрешенным портам в опере кстати тоже.
Никто не подскажет, как узнать что ломится в мой комп под процессом System причем удаленные порты совершенно разные. Примерно раз в минуту, это мне не нравится.
wezir
А на какой локальный порт ломится?
У меня каждые несколько секунд такое
А на какой локальный порт ломится?
У меня каждые несколько секунд такое
Karlsberg
Локальные порты тоже совершенно разные, никакой системы не замечено. Как впрочем и протоколы.
Локальные порты тоже совершенно разные, никакой системы не замечено. Как впрочем и протоколы.
wezir
А почему тогда "под процессом System"? Это в логах файервола написано? Может быть он это пишет когда приходит что-то на неспользуемый порт?
А почему тогда "под процессом System"? Это в логах файервола написано? Может быть он это пишет когда приходит что-то на неспользуемый порт?
Karlsberg
Если б я знал, то не спрашивал
Да в логах. Что может приходить на неиспользуемый порт?
Если б я знал, то не спрашивал
Да в логах. Что может приходить на неиспользуемый порт?wezir
Ладно, я неправильно спросил - это файервол сам придумал назвать его System или у тебя действительно какой-нибудь системный процесс висит на этих портах?
Дело в том, что обычно приходит просто куча левого трафика, разные кулхацкеры пытаются сканировать инет, и т.д. так что я бы не очень волновался
Ладно, я неправильно спросил - это файервол сам придумал назвать его System или у тебя действительно какой-нибудь системный процесс висит на этих портах?
Дело в том, что обычно приходит просто куча левого трафика, разные кулхацкеры пытаются сканировать инет, и т.д. так что я бы не очень волновался
Нет реальных системных процессов на этих портах нет (по крайней мере оутпост их не видит), но на нервы это действует, потому как детектор атак сканирования портов не видит.
wezir
Не обращай внимания... Есть куча р2р систем, которые так делают поиск - тыкаются куда не попадя. Опять-же, кулхацеры тоже
Не обращай внимания... Есть куча р2р систем, которые так делают поиск - тыкаются куда не попадя. Опять-же, кулхацеры тоже
Karlsberg
Цитата:
Хорошо я одновремнно запустил все чему разрешен у меня выход в интернет и на что есть правила (список внизу) - что упустил - поправьте.
pcaudit все перебрал но аутпост все таки ловил изменения в dll и меня запрашивал пускать или не пускать
Так что тест прошел успешно
--------
winWordXP
IE6
Remote administror viewer
Serv-U (admin +server)
FTP voyager
FlashGet
Eudora
Putty
Netinfo
Курсы валют ЦБ
TVprog
--
Spybot
TrojanRemover update
aI
DrWeb
Ad-aware
--
Winamp
CDex
ExactAudioCopy
TagRename
eMusic Tag Editor
--
Цитата:
А когда ты тест проводил, у тебя бежали все проги которым разрешен выход в инет? Потому что для чистоты эксперимента надо чтобы все
Хорошо я одновремнно запустил все чему разрешен у меня выход в интернет и на что есть правила (список внизу) - что упустил - поправьте.
pcaudit все перебрал но аутпост все таки ловил изменения в dll и меня запрашивал пускать или не пускать
Так что тест прошел успешно
--------
winWordXP
IE6
Remote administror viewer
Serv-U (admin +server)
FTP voyager
FlashGet
Eudora
Putty
Netinfo
Курсы валют ЦБ
TVprog
--
Spybot
TrojanRemover update
aI
DrWeb
Ad-aware
--
Winamp
CDex
ExactAudioCopy
TagRename
eMusic Tag Editor
--
Максимальный контроль компонентов Outposta помогает, тест пройден успешно.
wezir
1. вообще-то все входящие TCP-соединения надо игнорировать, если на машине никаких серверов не висит.
2.
Цитата:
ну и что, что пытаются соединиться с портами... если их никакая программа не слушает (listen), то это "тыканье пальцем в небо".
3. скорее всего ничего страшного тут нет.
вполне возможно p2p ((с) Karlsberg) или чат сетевой или еще что-то (зависит от твоего соединения с интернет).
у меня соединение по локальной районной сети. так там вообще входящих запросов немеряно. и ничего - держим оборону
4.
Цитата:
файервол под сканированием портов понимает то, что заложено в него создателями.
если программа просто проверяет 2-3 порта подряд, считать это действие сканированием - паранойя. а если 100+ - тут уже надо бить тревогу. а где грань между "нормальным перебором" и "сканированием"? судьи кто?..
поэтому разные файры по-разному реагируют на последовательные запросы по портам. тут вообще ничего страшного нет.
1. вообще-то все входящие TCP-соединения надо игнорировать, если на машине никаких серверов не висит.
2.
Цитата:
реальных системных процессов на этих портах нет
ну и что, что пытаются соединиться с портами... если их никакая программа не слушает (listen), то это "тыканье пальцем в небо".
3. скорее всего ничего страшного тут нет.
вполне возможно p2p ((с) Karlsberg) или чат сетевой или еще что-то (зависит от твоего соединения с интернет).
у меня соединение по локальной районной сети. так там вообще входящих запросов немеряно. и ничего - держим оборону
4.
Цитата:
детектор атак сканирования портов не видит
файервол под сканированием портов понимает то, что заложено в него создателями.
если программа просто проверяет 2-3 порта подряд, считать это действие сканированием - паранойя. а если 100+ - тут уже надо бить тревогу. а где грань между "нормальным перебором" и "сканированием"? судьи кто?..
поэтому разные файры по-разному реагируют на последовательные запросы по портам. тут вообще ничего страшного нет.
Сорри, а изменения в dll как нибудь запретить можно? Ведь файер предполагает только правила для уже измененных компонентов, хотя вполне нормально работает с ними при перезапуске приложения, это что значит dll при перезапуске возвращается к прежнему состоянию?
Еще новости, в логах файрвола присутствуют соединения браузера на определенные адреса по стандартным портам 80 к примеру но при попытке открытия адреса происходит ошибка доступа, как к этому относится. к примеру два адреса постоянно присутствуют в логах http://static.exaccess.ru/ http://2003.novayagazeta.ru/ у когонибудь мысли по этому поводу есть? Соединение происходит и пакеты пересылаются при открытии определенного адреса с совершено отличным доменом.
Еще новости, в логах файрвола присутствуют соединения браузера на определенные адреса по стандартным портам 80 к примеру но при попытке открытия адреса происходит ошибка доступа, как к этому относится. к примеру два адреса постоянно присутствуют в логах http://static.exaccess.ru/ http://2003.novayagazeta.ru/ у когонибудь мысли по этому поводу есть? Соединение происходит и пакеты пересылаются при открытии определенного адреса с совершено отличным доменом.
wezir
Так это же не изменения в реальном файле с dll а добавления в список dll components для каждой программы учтенной в оутпосте. Если я выбирал заблокировать приложение до перезапуска то никаких изменений в списке не происходило.
Это список меняется только тогда когда я сам собственнноручно разрешил обновить его (я это проверил пару раз) и тогда в этом спсике возникали всякие фантомные dll с именами-абракадарами вроде Gljkjdaujs.dll (переименованный pcaudit). Пришлось потом их вычищать из списка (реальные dll pcaudit на диске не оставлял).
Поэтому то важно чтобы в первоначальном списке были только легеальные dll провернные антивирусом, и в дальнейшем обновлять этот список контролируя а что там добавляется.
Добавлено
wezir
Цитата:
http://2003.novayagazeta.ru/ не нашел у себя
А вот http://static.exaccess.ru/ нашел (больше 200 раз за последние 4 дня) вместе
с http://www.exaccess.ru/ - какая-то "Универсальная торгова
я площадка с мгновенной доставкой товара"
Хотя туда не разу не заходил По-видимому это опять аналог spylog,
регистирующий статистику посещений или чтения рекламы
Что не понравилось так это что у меня помимо IE и система туда что-то в 40 байт посылала по 80 порту Вывод выключаю Web access for SVCHOST.
а exaccess.ru в блокировку.
Экая гадость - до сих пор не проверял Web логи
Так это же не изменения в реальном файле с dll а добавления в список dll components для каждой программы учтенной в оутпосте. Если я выбирал заблокировать приложение до перезапуска то никаких изменений в списке не происходило.
Это список меняется только тогда когда я сам собственнноручно разрешил обновить его (я это проверил пару раз) и тогда в этом спсике возникали всякие фантомные dll с именами-абракадарами вроде Gljkjdaujs.dll (переименованный pcaudit). Пришлось потом их вычищать из списка (реальные dll pcaudit на диске не оставлял).
Поэтому то важно чтобы в первоначальном списке были только легеальные dll провернные антивирусом, и в дальнейшем обновлять этот список контролируя а что там добавляется.
Добавлено
wezir
Цитата:
два адреса постоянно присутствуют в логах http://static.exaccess.ru/ http://2003.novayagazeta.ru/ у когонибудь мысли по этому поводу есть?
http://2003.novayagazeta.ru/ не нашел у себя
А вот http://static.exaccess.ru/ нашел (больше 200 раз за последние 4 дня) вместе
с http://www.exaccess.ru/ - какая-то "Универсальная торгова
я площадка с мгновенной доставкой товара"
Хотя туда не разу не заходил По-видимому это опять аналог spylog,
регистирующий статистику посещений или чтения рекламы
Что не понравилось так это что у меня помимо IE и система туда что-то в 40 байт посылала по 80 порту Вывод выключаю Web access for SVCHOST.
а exaccess.ru в блокировку.
Экая гадость - до сих пор не проверял Web логи
Spectr
А я о чем, мне тоже не нравится что моя тачка туда килобайты отправляет притом по стандартным портам, если бы вживую за соединениями не следил в оутпосте то долго еще был в неведении. Интересно а что я туда отсылаю?
Ты в блокпост адреса записал?
А я о чем, мне тоже не нравится что моя тачка туда килобайты отправляет притом по стандартным портам, если бы вживую за соединениями не следил в оутпосте то долго еще был в неведении. Интересно а что я туда отсылаю?
Ты в блокпост адреса записал?
wezir
В блокпост
и за минуту он блокировал уже 10 соединений пока я писал в форум,
Нашел - это банер внизу страницы
Ложная паника
В блокпост
и за минуту он блокировал уже 10 соединений пока я писал в форум,
Нашел - это банер внизу страницы
Ложная паника
Spectr
Что то блокпост настроить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу.
Кстати про скрипты, у меня в правилах по максимуму все блокировано файером а видать что то все равно пропускает (опять же в логах есть некоторые скрипты с этих адресов) почему такая избирательность не понимаю.
Что то блокпост настроить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу.
Кстати про скрипты, у меня в правилах по максимуму все блокировано файером а видать что то все равно пропускает (опять же в логах есть некоторые скрипты с этих адресов) почему такая избирательность не понимаю.
wezir
Цитата:
А галочку в Enable logging to DB поставил?
Цитата:
Что то ч блокпост настрить не могу, создаю фильтр и в поле to вношу адреса, в логах ничего не вижу
А галочку в Enable logging to DB поставил?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637
Предыдущая тема: Не устанавливается
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.