информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Как из этого следует то что это не из-за фтп сервера?... 28.01.05 01:39  Число просмотров: 3362
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 28.01.05 01:48  Количество правок: 1
<"чистая" ссылка>
> Комп виндовый - ХР с автоматич. затяжкой всех патчей.
> У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не
> от него – в commview настроил оповещение, в случае
> обнаружения пакета с моим адресом в поле destinationIP и
> флагом SYN, т.е. если кто-то подключается ко мне по TCP к
> любому порту – я моментально об этом узнаю.
Как из этого следует то что это не из-за фтп сервера? Объясня. как работает фтп - клиент подключившись к серверу использует соединение на 21й порт только для команд. Данные (список файлов, их содержимое) передаются через вторичные соединения. Причем клиент договаривается с сервером через 21й порт на какой ип и порт будет происходить вторичное подключение. Таким образом для передачи файлов в активном режиме клиент инициирует прослушивание какого-либо дополнительного тсп порта, сервер подключается к нему и происходит передача данных. В том случае когда используется пассивный режим то серверный порт для одного подключения открывается на стороне фтп сервера и к нему подключается клиент. Номера портов кстати рандомные, обычно - 1024-5000.

> Снимал данные след. образом – на свиче (у нас сиськи)
> сделал SPAN для его порта, т.е. весь его трафик
> редиректится на отдельный комп, на кот. стоит снифер с
> правилами выдирать все пакеты, в которых есть мой
> МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP),
> кот. шли где-то каждые 12 минут и всю эту ерунду, что я
> описал раньше.
> По времени инициализации сессий похоже, что ЭТА штука не
> привязана по времени никак к широковещательным пакетам
> нетбиоса.
>
> Сегодня он ко мне не подключался вообще (с утра укатил в
> командировку). Очень интересную картину обнаружил,
> просканировав себя с другого соседского компа – на 12 дня
> открыты порты, кот. не должны быть открытыми:
>
> |___ 1151
> |___ 1187
> |___ 3181
> |___ 3894
>
> на 15:30 картина такая:
> |___ 1187
> |___ 3181
> |___ 3894
>
> и на 18:00
> |___ 1187
> |___ 3894
> |___ 4278
>
> Насколько я понимаю, эти порты вообще из диапазона, кот.
> предназначен для сессий, инициируемых с моего компа при
> подключении к удаленным…
>
> Стандартные средства (netstat –a) и еще с пом-ю
> программулины DiamondCS port explorer, не показывают
> никаких следов того, что эти порты открыты. При попытке
> подтелнетиться на любой из них происходит след. syn –
> syn+ack – ack – rst, т.е. инициализация сессии происходит
> успешно, после чего мой комп ее гасит…
> Что очень меня смущает - поставили на левый комп его MAC- и
> IP-адреса, попробовали открыть сессию, получили такую же
> ерунду (я еще более детально поковыряюсь в заголовках
> пакетов – может дело где-то там…)
>
>
> Таким образом, «на сейчас» картина получается следующая –
> первым сессию инициирует его комп, инициирует ее на два
> соседних TCP-порта к моему компу, идет обмен данными (на
> вскидку чистых данных около 200 байт, причем, сравнив
> вчерашние и позавчерашние данные стало видно, что пакеты в
> разные дни сильно похожи между собой), после чего попытка
> подключения к этим портам дает ack+rst, т.е. закрыт
> полностью.
> Спустя какое-то время (предположительно, не менее получаса)
> у меня появляются несколько других открытых портов, которые
> не видны стандартными средствами, но прощупываются
> TCP-сканерами, попытка подключиться на любой из них
> приводит к успешной инициализации (3-way handshaking) и
> сразу потом мой комп дает сброс.
>
> если кто-то знает трояна с подходящим описанием,
> подскажите, пож. название.
>
> про RPC я пока толкового описания не нашел (чтобы с портами
> и всем прочим), поищу еще, но, честно говоря, мало верится,
> что это поможет – для интереса отсканировали 3 компа в
> нашей комнате, «недекларированных» открытых портов ни на
> одном из них нет…
С RPC примерно так-же байда - через 135й порт клиент договаривается с сервером о дополнительный соединениях, для которых открываются "одноразововые" серверные сокеты. Вот ссылка например: http://support.microsoft.com/?kbid=839880 (читать около How to resolve RPC Endpoint Mapper errors)

Поставь файрволл который тебе скажет на какой именно процесс происходили подключения и расслабся Ж)
<hacking> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach