哥惨遭wgsdgsdgdsgsd.zip逆袭 2 / 46 不解释 （再加一个毒网地址，33楼EQ完整拦截

wjcharles

firefox3 发表于 2012-12-6 12:48
你可以进毒网试一下很爽的
记得携带Fan{过}{滤}Qiang工具，jre-7u5-windows-i586.exe哦
运 ...

ips无压力，看清楚了，不是ip拉黑哦

类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2012/12/6 13:21:23,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49324)",interest.fightyourbills.net/r/media/java.php,"interest.fightyourbills.net (5.187.1.151, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49324",
2012/12/6 13:21:21,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49322)",interest.fightyourbills.net/r/media/java.php,"interest.fightyourbills.net (5.187.1.151, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49322",
2012/12/6 13:21:19,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49319)",interest.fightyourbills.net/r/media/java.php,"interest.fightyourbills.net (5.187.1.151, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49319",
2012/12/6 13:21:18,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49317)",interest.fightyourbills.net/r/media/java.php,"interest.fightyourbills.net (5.187.1.151, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49317",
2012/12/6 13:20:58,高,阻止了 interest.fightyourbills.net 的入侵企图,已阻止,不需要操作,Attack: Microsoft Windows True Type Font CVE-2011-3402,不需要操作,不需要操作,"interest.fightyourbills.net (5.187.1.151, 80)",interest.fightyourbills.net/r/64size_font.eot,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49313)",5.187.1.151 (5.187.1.151),"TCP, www-http",



第一个网址，一样的东西

类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2012/12/6 13:26:55,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49377)",hour.learningfundamental.org/r/media/java.php,"hour.learningfundamental.org (78.47.2.21, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49377",
2012/12/6 13:26:53,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49375)",hour.learningfundamental.org/r/media/java.php,"hour.learningfundamental.org (78.47.2.21, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49375",
2012/12/6 13:26:51,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49373)",hour.learningfundamental.org/r/media/java.php,"hour.learningfundamental.org (78.47.2.21, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49373",
2012/12/6 13:26:47,高,阻止了 WIN-MUD6U7NNTD1.localdomain 的入侵企图,已阻止,不需要操作,Web Attack: JRE Concurrency CVE-2012-0507 6,不需要操作,不需要操作,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49371)",hour.learningfundamental.org/r/media/java.php,"hour.learningfundamental.org (78.47.2.21, 80)",192.168.58.128 (192.168.58.128),"TCP, 端口 49371",
2012/12/6 13:26:30,高,阻止了 hour.learningfundamental.org 的入侵企图,已阻止,不需要操作,Attack: Microsoft Windows True Type Font CVE-2011-3402,不需要操作,不需要操作,"hour.learningfundamental.org (78.47.2.21, 80)",hour.learningfundamental.org/r/64size_font.eot,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49367)",78.47.2.21 (78.47.2.21),"TCP, www-http",

wqcaokeyinwq

firefox3 发表于 2012-12-6 13:23
先看看启动项什么的有没有变化

哇哈哈。。。

用金山卫士查看开机启动项目和服务。。。。

还是熟悉的味道。。还是原来的配方。。。。。。

用微点查看系统自启动信息。。。。。

哇哈哈。。。就是这个味儿。、、、、、

hddu

进毒网：hour.learningfundamental.org/r/l/updating-bugs_keeping.php ，EQ阻止日志：
2012-12-06 13:24:29    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\runctf.lnk
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->?:\Documents and Settings\*\*菜单\程序\启动\*


2012-12-06 13:24:32    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2012-12-06 13:24:34    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2012-12-06 13:24:35    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2012-12-06 13:24:37    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2012-12-06 13:24:37    创建注册表值      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2012-12-06 13:24:37    创建注册表值      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*

lingchaoqun

诺顿安全。。。

MPKYJoJO

SEP报毒。。。。。！
沙盘还是必须的啊！

firefox3

wqcaokeyinwq 发表于 2012-12-6 13:26
哇哈哈。。。

用金山卫士查看开机启动项目和服务。。。。

你看一下33楼正宗的HIPS进入毒网后是怎样的拦截

真小读者

wqcaokeyinwq 发表于 2012-12-6 13:21
报的是当然是木马病毒一类啊。。。。不过估计入库了。。。。

哇哈哈。。。。给力的微点。。我爱死你了 ...

点大v5。

wqcaokeyinwq

firefox3 发表于 2012-12-6 13:29
你看一下33楼正宗的HIPS进入毒网后是怎样的拦截

哈哈。。。这你就不明白了吧。。。。

微点可不是HIPS。。。。。。。微点是智能主防不是HIPS。。。。

这才是正忠的拦截提示。。。。。33楼的那个HIPS拦截提示。。看人头晕。。不如微点的简单有效明了。。。

这酸爽。。。。这才正宗

firefox3

MPKYJoJO 发表于 2012-12-6 13:28
SEP报毒。。。。。！
沙盘还是必须的啊！

我完全认同你的观点，确实，沙盘环境下才能确保实机不受侵害！

wjcharles

firefox3 发表于 2012-12-6 13:18
猛将兄！！！！！！！！不过弹窗报的是什么啊

那位的浏览器不是IE，不清楚能否触发漏洞