информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле ЛевинаАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
красивое поимелово ближнего 26.01.05 21:53  Число просмотров: 5398
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
с помощью снифера cw пару дней назад обнаружил, что у меня периодически возникают странные сессии с одним из соседних компов, а именно - не чаще, чем раз в полчаса он инициирует TCP-сессию на один из моих портов, на которые он по "правилам" не может открывать сессии (т.е. все мои сканеры показывают, что эти порты у меня закрыты), причем все время он подключается к разным портам. Передача длится одну секунду, за это время отрабатывают две сессии, обе инициированы с его компа, например, сегодня,
8:49 утра 3369 – 2915, 3371 – 2916 (его порт – мой порт)
18:02 3483 – 1456, 3482 – 1457.
После 3-way handshaking (которое происходит на ура, что меня и поражает) его комп передает датаграмму, в поле данных которой находится вот что:
0x0036 30 00-00 00 00 00 0.....
мой комп на это отвечает пятью нулями, дальше идет обмен какими-то шифрованными данными, на подобие
0x0030 FA F0 EF 75 00 00 FF 08-00 2B 00 8F 26 8D 06 00 úðïu..ÿ..+.&#143;&&#141;..
0x0040 00 15 75 00 00 F2 F3 A3-14 C3 3A E4 80 AC 1E 0A ..u..òó£.Ã:ä€..
0x0050 48 01 15 75 00 00 86 05-8E 2F 50 00 00 00 03 00 H..u..†.Ž/P.....
0x0060 00 00 02 00 00 00 ......
причем, по двум сокетам идет практически одно и то же (незадолго до завершения сессии дублирование прекращается – пару последних пакетов разные)
после чего сессия завершается и подтелнетиться к этим моим портам у меня уже не получается совсем (syn – rst+ack)

вчера таких передач было около 8шт, позавчера, вроде, около 5, сегодня только две.

Ни в памяти машины, ни в реестре ничего необычного я не обнаружил.
Если это и кейлоггер, то, видимо, скидывает он только пароли, а не все подряд – я набивал кучу разной ерунды на клавиатуре, по объему трафика можно судить, что ничего из этого не ушло.
Если кто сталкивался с подобным зверем, подскажите что ЭТО и где можно о нем более детально почитать, поскольку я, вроде, перерыл все, что можно и без толку.
Как можно было внедрить ко мне эту ерунду тоже не понимаю - на мой комп блокирован доступ даже администратору домена и закрыты все шары (проверяли), никогда чужие ехе-шники и пр. у себя не запускал, винда XP со всеми патчами. То, что сел за мой комп и тупо что-то запустил исключается.
Вариант «набить лицо» просьба не предлагать, сначала очень хочется детально во всем разобраться самому.
<hacking> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach