Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Комп виндовый - ХР с автоматич. затяжкой всех патчей. 27.01.05 20:51 Число просмотров: 3870
Автор: ventyl Статус: Незарегистрированный пользователь
|
> Может это просто протокол который открывает вторичные тсп > соединения на сервер (тебя тобишь)? > Типа FTP в пассивном режиме. > А если комп виндовый то может это просто RPC сессии, через > которые например сканер ресурсов с того компа получает инфу > о тебе периодически.
Комп виндовый - ХР с автоматич. затяжкой всех патчей.
У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не от него – в commview настроил оповещение, в случае обнаружения пакета с моим адресом в поле destinationIP и флагом SYN, т.е. если кто-то подключается ко мне по TCP к любому порту – я моментально об этом узнаю.
Снимал данные след. образом – на свиче (у нас сиськи) сделал SPAN для его порта, т.е. весь его трафик редиректится на отдельный комп, на кот. стоит снифер с правилами выдирать все пакеты, в которых есть мой МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP), кот. шли где-то каждые 12 минут и всю эту ерунду, что я описал раньше.
По времени инициализации сессий похоже, что ЭТА штука не привязана по времени никак к широковещательным пакетам нетбиоса.
Сегодня он ко мне не подключался вообще (с утра укатил в командировку). Очень интересную картину обнаружил, просканировав себя с другого соседского компа – на 12 дня открыты порты, кот. не должны быть открытыми:
|___ 1151
|___ 1187
|___ 3181
|___ 3894
на 15:30 картина такая:
|___ 1187
|___ 3181
|___ 3894
и на 18:00
|___ 1187
|___ 3894
|___ 4278
Насколько я понимаю, эти порты вообще из диапазона, кот. предназначен для сессий, инициируемых с моего компа при подключении к удаленным…
Стандартные средства (netstat –a) и еще с пом-ю программулины DiamondCS port explorer, не показывают никаких следов того, что эти порты открыты. При попытке подтелнетиться на любой из них происходит след. syn – syn+ack – ack – rst, т.е. инициализация сессии происходит успешно, после чего мой комп ее гасит…
Что очень меня смущает - поставили на левый комп его MAC- и IP-адреса, попробовали открыть сессию, получили такую же ерунду (я еще более детально поковыряюсь в заголовках пакетов – может дело где-то там…)
Таким образом, «на сейчас» картина получается следующая – первым сессию инициирует его комп, инициирует ее на два соседних TCP-порта к моему компу, идет обмен данными (на вскидку чистых данных около 200 байт, причем, сравнив вчерашние и позавчерашние данные стало видно, что пакеты в разные дни сильно похожи между собой), после чего попытка подключения к этим портам дает ack+rst, т.е. закрыт полностью.
Спустя какое-то время (предположительно, не менее получаса) у меня появляются несколько других открытых портов, которые не видны стандартными средствами, но прощупываются TCP-сканерами, попытка подключиться на любой из них приводит к успешной инициализации (3-way handshaking) и сразу потом мой комп дает сброс.
если кто-то знает трояна с подходящим описанием, подскажите, пож. название.
про RPC я пока толкового описания не нашел (чтобы с портами и всем прочим), поищу еще, но, честно говоря, мало верится, что это поможет – для интереса отсканировали 3 компа в нашей комнате, «недекларированных» открытых портов ни на одном из них нет…
|
|
|