При загрузке страницы ццц.anekdot.ru наблюдается хакерская атака с адреса шттп://autocontext.begun.ru/autocontext2.js . Контроль атак производится утилитой APS (см скриншот). Защита Комодо включена : Антивирус - инкрементальный, Фаервол - Безопасный, Проактивная - Чистый ПК.
Комодо реально пропустил атаку: при вводе в браузер адреса шттп://autocontext.begun.ru/autocontext2.js начинается закачка непонятного файла.
Блокирование этого адреса в Мозилле с помощь Адблокера атаку отбивает.
А может проблема не в Comodo, а в его настройках? Если внесение autocontext.begun.ru в “Мои запретные зоны” блокирует атаку, следовательно Соmodo справляется. Возможно открыт входящий на 80. У меня Spybot - Search & Destroy добавил в файл host строку 127.0.0.1 ___.autocontext.begun.ru и, очевидно, подозрения на атаку справедливы. По этой причине и потому что у меня выключены java и javascript в браузере повторить к сожалению не получилось. Посмотрите все настройки комодо по 80-му порту.
Мы отходим от темы топика, но все же - посмотрите закрыт ли глобально входящий вообще, по loopback и по 80 порту в частности. Я понимаю блокировку хакерских атак как закрытие проникновения из вне. Браузет выполняющий javascript - не проблема файервола, так как браузеру это разрешено самим пользователем.
Может я ошибаюсь, но загрузить файл на компьютер это ещё не атака, а вот попытатся его запустить через тот же браузер это уже она и в этом случае проактивка должна сработать, даже если браузер заставят это сделать.
Если вы ее откроете, с удовольствием буду участвовать.
Условия исполнения скрипта следующие: иммунизация спайбут. Адрес внесен в список хост-файла как запрещенный (почему адрес 127… на скриншоте).
Выполняется скрипт, который запускает несанкционированную загрузку файла. Кроме того, APS утилита у меня сомнений не вызывает. Т.е. проактивная защита пропустила несанкционированную загрузку. Могу ошибаться, но утилита показала атаку.
Похоже по поводу “Тревога - хакер!” в APS следует общаться с Олегом Зайцевым и тему назвать “Comodo и APS”. Запустил APS. Включил java и javascript в браузере. Вбросил в адресную строку _http://autocontext.begun.ru/autocontext2.js и APS начал орать “Тревога - хакер!” 127.0.0.1. Заменил autocontext2.js на abc.js - тоже самое. А файлика то abc.js я, надеюсь, вообще не сушествует на autocontext.begun.ru. Беру любой адрес из файла host внесенный туда Spybot - Search & Destroy. Дописываю в конце /abc.js (например _http://www.*protection.com/abc.js) и ввожу в адресную строку браузера - опять “Тревога - хакер!” 127.0.0.1 в APS. Ну не верю я, что на случайно выбранном сервере существует файл abc.js. Для завершения эксперемента надо бы еще и файлик host поменять на стандартный и повторить тоже самое, но желания такого не имею.
Забил в строку адрес шттп://yandex.ru/abc.js/ . Ява и ява скрипт включены. Тревоги нет.
Также не бывает тревоги при нажатии кнопок со скриптом на достоверно здоровых сайтах. Вполне возможно, что выполнение скрипта по адресу 127… занесено в утилиту как хакерская атака.
Вполне вероятно, что такой скрипт существует и , даже, на названных вами сайтах.
PS В поиске найдено 119 тыс страниц с запросом “abc.js”.
При попытке перейти по адресу http://127.0.0.1/ APS тоже выдает тревогу. Аналогично http://127.0.0.1:3128/ - атака по 3128. Проблема понятна. Любое перенаправление на 127.0.0.1 из файла host для APS атака.
PS По http://127.0.0.1:3128/ тревоги тоже нет.
PPS Загрузка тоже не запускается. Дело не в названии, вероятно, а в исполняемом скрипте. Может у вас какой-нибудь скрипт исполняемый в компе засел, типа трояна…
Файл host с внесенной в него строкой “127.0.0.1 _www.autocontext.begun.ru” → перенаправление на петлю при обращении к _www.autocontext.begun.ru → открытое петлевое соединение в комодо → тревога в APS на входящее.
Удаляю autocontext.begun.ru из “Моих запрещенных зон” , все гудит, даже с адреса 127.0.0.1. Добавляю в запретные autocontext.begun.ru , ничего из приведенных ссылок 127… тревогу не вызывает, и 127.0.0.1 тоже не вызывает тревогу.
Работать - будет. Даже большинство приложений будет нормально функционировать.
Но вот 100% работоспособности не будет. Хотя, всё зависит от приложений. Сама система ИМХО крайне редко обращается к 127…
