» Agnitum Outpost Firewall Pro

А что делает оутпост, если на компьютере с только с диалапным модемом попытаться определить правило с MAC-адресом? Кто-нибудь пытался?

Сегодня кто то на TCP:5000 целый день ломится с разных IP. Пока блокирую однократно. Если создам правило на 5000 порт, то проблем себе не добавлю?

zep

Цитата:

Сегодня кто то на TCP:5000 целый день ломится с разных IP. Пока блокирую однократно. Если создам правило на 5000 порт, то проблем себе не добавлю?

Можешь смело блокировать inbound and Outgoing local port 5000 (это Universal Plug&play - совершенно не нужное в реальной жизни) причем в правилаз для svchost.exe in application section


См рекомендации
http://www.outpostfirewall.com/forum/showthread.php?t=9858

Spectr
Спасибо большое!

Цитата:

Сегодня кто то на TCP:5000 целый день ломится с разных IP. Пока блокирую однократно. Если создам правило на 5000 порт, то проблем себе не добавлю?

Сейчас аналогичное получил.

Spectr, я с английским не в ладах, а вообще откуда ноги выросли, ведь раньеше этого не было.

то же долбят со многих адресов, новый вирус?

Цитата:

создам правило на 5000 порт

Что то я себя переоценил. Прописал где только мог,а Оно все равно лезет.

Vik2
Yanson
zep

Подробнее об этой уязвимости см
http://grc.com/unpnp/unpnp.htm

Так что если у вас стоит исходная winXP без hotfix
то вы потенциально очень уязвимы
Если стоят все хотфиксы, то для спокойствия все равно стоит отключить эту службу и прикрыть порт.
5000 порт используют трояны BioNet Lite, Sockets De Troje
см
http://www.pcflank.com/ports_services_search.htm
Отчего вдруг у вас полезли запросы на этот порт не знаю - может троян у соседей по сетке а может кто в локалке криво винды установил и ищет оборудование по сети.

Поэтому рекомендуется
1) отключить service (службу) UPNP (либо ручками в Component Services либо пользуясь XPAntiSpy (рекомендую для простоты!!!)
2) Создать 4 правила в оутпосте для svchost.exe
- Block Ougoing UPNP - protocol TCP, direction out, remote port 5000
- Block Incoming UPNP - protocol TCP, direction in, local port 5000
- Block Incoming SSDP - protocol UDP, local port 1900
- Block Ougoing SSDP - protocol UDP, remote port 1900

Это рекомендации с форума аутпоста
http://www.outpostfirewall.com/forum/showthread.php?t=9858
Переводить не берусь (уж очень много) но очень рекомендую воспользоваться онлайн переводчиками и прочитать весь пост и сделать как там.
Только тогда задействуется все мощь аутпоста, так как по умолчанию в аутпосте стоят очень мягкие правила.

To Spectr

Спасибо уже давно сделал (ссервис вырублен, порты туды-сюды закрыты правилами), только все равно долбятся.
Конечно без успешно просто не понятно почему вдруг.

Подскажите как настроить Blockpost плагин для работы с версией 2.0

А против вируса Worm.Win32.Sasser как средствами Аутпоста бороться?! Вроде бы закрыл те порты, которые он использует, а всё равно, иногда но пролезет.

есть локалка на ~50 машин. и стали в последнее время малолетки всякой ерундой заниматься, членовредительством то бишь. поэтому хочу спросить, как можно отрубить все данные, поступающие с определенного IP, только его одного. пробовал создавать правило для программы, но оно не действует, поскольку IP вредителя нах-ся в доверенной зоне 192.168.0.0-192.168.127. неужели придется вручную забивать по-одному все IP?

Spectr, спасибо за подсказку, придется попыхтеть.
Я действительно удивился что на 5000 порт стали стучаться, раньше на этот порт вообще никто не покушался. Пришлось достать из архивов антитроянские программы, считал что KAV и F-Prot достаточно. Ни Trojan Remover, ни The Cleaner, ни Stop (причем с последними обновлениями) ничего не нашли. А старая версия Anti-Trojan выдала: Порт 5000 открыт. Помогает в работе трояну Sockets de Troie, Blazer 5. А PC DoorGuard, но только после обновления, нашел "CaznovaIRCSpy.v2.5.server", который расположился: c:\WINDOWS\system32\kl_upx.exe. На прошлой неделе скачал кейген к Cosmic Voyage, но сразу касперским не проверил, а тот опосля выдал вирус. Может в этом была проблема. Хотя сейчас поглядел опять два клиента на 5000 лезут. Мда.

Yanson
Не хочу делать рекламу (или точнее антирекламу KAV) но все же рекомендую почитать

http://lemnews.com/2004/05/07/
Sorry for offtop

L


Цитата:

поэтому хочу спросить, как можно отрубить все данные, поступающие с определенного IP,

А чем не подходит blockpost - создан как раз под эти цели

Ха, а у меня такой kl_upx.exe 216к. файл тоже нащолся в дир \K-Lite Codec Pack\
это он?

Кстати, ко мне тоже на 5000 целый день сегодня ломились. Локалки нет - на диалапе сижу. В в середине дня перевел Outpost в режим блокировки: побоялся случайно кнопку "разрешить" нажать, а то задолбало уже. Адреса были разные.

ЗЫ файла kl_upx.exe у себя не нашел, да и к кодек-пакам (k-lite в т.ч.) испытываю стойкое отвращение - их нет у меня.

Друзья,

я конечно напишу банальную вещь, но все таки...

у меня начал вылетать сабж. Версия - последняя. Вылетает при загрузке раз в 2-3 дня и больше не работает. Только полное удаление программы, чистка реестра и переустановка.

Выскакивает окошко с надписью что обнаружена проблема и просят выслать все логи разработчикам. Но папка с логами пуста (я их не запрещал). Вот, вчера снова переставил его и знаю что к концу недели он снова взбрыкнет.

Вся фишка в том что это началось буквально 2 недели назад, а до этого он работал исправно. Никаких новых программ вроде не ставил.

Я понимаю что это "пальцем в небо", но может у кого-то было что-то подобное.

Spectr
он из доверенной зоны все равно похоже не блокирует.

offtopic про KAV: уже вышла пятая версия, говорят (сами Касперские), что много исправили.

хм, outpost стал обрывать VPN соединение. что бы это значило?

gloss1
а что именно тебе настроить надо?

BBMike у меня Аутпост OP 2.1.292.3816 (307) стоит на двух осях, Ми и ХП, дык на Ми приходится переустонавливать примерно раз в три недели , в чём косяк не знаю, но думаю что с базой данных скорее всего, как до чегото доходит, сразу привет, уменьшил на минимум все его записи, вроде промежуток между переустановками вырос, но всёравно... Впринципе оно^ терпимо, слава богу настройки сохраняются, но конечно неприятно.., может вообще бы както выключить эту его историю, всёравно смотреть то её....

HeT BonpocoB

Цитата:

может вообще бы както выключить эту его историю, всёравно смотреть то её....

ведение логов вырубается переименованием файла op_data.dll

L

Цитата:

outpost стал обрывать VPN соединение. что бы это значило?

обычно из-за детектора атак обрывы происходят. Отключил этот плагин - сижу спокойно

У кого-нибудь получилась русификация плагина PC Flank WhoEasy? Я русификатор скачивал из разных мест. Ни один не работает. Появляются окна об ошибке с какими-то жуткими записями про ядро (типа оно разрушено окончательно и бесповоротно), причём в заголовке окна написано InqSoft Sign of Misery. Не пойму, причём здесь эта программа?

Стоят стандартные настройки, т.е. нигде ручками не трогал. На PC Flank показывает 135, 137-139 порты closed, а все в режиме невидимки. В чем проблема? Комп один - сетки нет.

Добавлено
Щас проверил на Shields Up! - stealth, ничего не понимаю

Можно как-нибудь скопом, для всех обновить информацию о компоненте? Утомляет 100 подтверждать персонально для каждой проги о новой библиотеке.

Цитата:

А против вируса Worm.Win32.Sasser как средствами Аутпоста бороться?!

и тишинааааааааа.

BBMike, ALL

Цитата:

у меня начал вылетать сабж. Версия - последняя. Вылетает при загрузке раз в 2-3 дня и больше не работает. Только полное удаление программы, чистка реестра и переустановка.

Подобное встречалось и ранее .Например прога вываливала ось в синий экран
с ошибкой дров filtnt.sys или подобного.
У меня такая х происходила тоже , попробовал разобраться.В итоге
получил следующее:
при переустановке всего лишь дров материнки и видеокарты
проблема как бы устранилась.... Недели 2-3 живу спокойно (пока усё)
добавлено
Ось W2K SP4 + куча патчей, OuPost - последняя модель, видюха от NVidia, chipset i845.

Цитата:

А против вируса Worm.Win32.Sasser как средствами Аутпоста бороться?!

http://www.agnitum.com/ru/news/sasser.html

Outpost Противостоит Угрозе

К счастью, пользователи Outpost Firewall Pro защищены от заражения. Стандартные настройки Outpost Firewall Pro позволят пользователю контролировать сетевую активность его системы и тем самым избежать случайного заражения.

Для обеспечения собственной безопасности пользователям Outpost Firewall следует:
1. Установить последние обновления для используемой ОС. Перечень обновлений можно найти в бюллетене Microsoft MS04-011
2. Обновить базы используемого антивируса;
3. В настройках сети Outpost, заблокировать протокол NetBIOS для всех сетей. Это необходимо для предотвращения распространения вируса, хотя и приведет к невозможности использования ресурсов общего доступа в Windows сетях;
4. Do not permit any rogue process to communicate over TCP port 25
5. В случае, когда Мастер Правил сообщает о приложении или процессе, запрашивающем доступ в сеть, внимательно ознакомьтесь с информацией об этом приложении и не разрешайте доступ в сеть следующим процессам:
avserve.exe
avserve2.exe
skynetave.exe
6. Создайте правила, запрещающие входящие подключения по протоколу ТСР к портам 9996 и 5554.

подскажите туповатому буратине: как закрыть в данной софтине какой либо порт (например 110,25..)
где эта цифирь находится, дабы сказать что на нее ломится не можно?

RGF
Параметры - Системные - Общие правила - Параметры - Добавить

Предыдущий вопрос хочу немного конкретизировать.
Я запускаю Outpost и он показывает, что порт 445 открыт. Я прописал 4 правила, запретил Входящие и Исходящие с этого порта по обоим протоколам TCP и UDP. Тем не менее порт 445 остаётся открытым, так показывает Outpost. Это так и должно быть или нужно ещё что-то делать, чтобы этой записи не было, а именно чтобы порт 445 был закрыт раз и навсегда? Службу NetBios отключил давным давно.

Jun

Outpost показывает какие порты открыты системой,
А чтобы проверить прикрыт ли эти порты аутпостом используй внешние сканеры, например запусти в аутпосте in Tools "Test My Pc online"