с помощью снифера cw пару дней назад обнаружил, что у меня периодически возникают странные сессии с одним из соседних компов, а именно - не чаще, чем раз в полчаса он инициирует TCP-сессию на один из моих портов, на которые он по "правилам" не может открывать сессии (т.е. все мои сканеры показывают, что эти порты у меня закрыты), причем все время он подключается к разным портам. Передача длится одну секунду, за это время отрабатывают две сессии, обе инициированы с его компа, например, сегодня,
8:49 утра 3369 – 2915, 3371 – 2916 (его порт – мой порт)
18:02 3483 – 1456, 3482 – 1457.
После 3-way handshaking (которое происходит на ура, что меня и поражает) его комп передает датаграмму, в поле данных которой находится вот что:
0x0036 30 00-00 00 00 00 0.....
мой комп на это отвечает пятью нулями, дальше идет обмен какими-то шифрованными данными, на подобие
0x0030 FA F0 EF 75 00 00 FF 08-00 2B 00 8F 26 8D 06 00 úðïu..ÿ..+.&..
0x0040 00 15 75 00 00 F2 F3 A3-14 C3 3A E4 80 AC 1E 0A ..u..òó£.Ã:ä€..
0x0050 48 01 15 75 00 00 86 05-8E 2F 50 00 00 00 03 00 H..u..†.Ž/P.....
0x0060 00 00 02 00 00 00 ......
причем, по двум сокетам идет практически одно и то же (незадолго до завершения сессии дублирование прекращается – пару последних пакетов разные)
после чего сессия завершается и подтелнетиться к этим моим портам у меня уже не получается совсем (syn – rst+ack)
вчера таких передач было около 8шт, позавчера, вроде, около 5, сегодня только две.
Ни в памяти машины, ни в реестре ничего необычного я не обнаружил.
Если это и кейлоггер, то, видимо, скидывает он только пароли, а не все подряд – я набивал кучу разной ерунды на клавиатуре, по объему трафика можно судить, что ничего из этого не ушло.
Если кто сталкивался с подобным зверем, подскажите что ЭТО и где можно о нем более детально почитать, поскольку я, вроде, перерыл все, что можно и без толку.
Как можно было внедрить ко мне эту ерунду тоже не понимаю - на мой комп блокирован доступ даже администратору домена и закрыты все шары (проверяли), никогда чужие ехе-шники и пр. у себя не запускал, винда XP со всеми патчами. То, что сел за мой комп и тупо что-то запустил исключается.
Вариант «набить лицо» просьба не предлагать, сначала очень хочется детально во всем разобраться самому.
попробуй http://z-oleg.com/secur/avz.htm в экзотических...27.06.05 14:14 Автор: Zuz Статус: Незарегистрированный пользователь
Может это просто протокол который открывает вторичные тсп соединения на сервер (тебя тобишь)?
Типа FTP в пассивном режиме.
А если комп виндовый то может это просто RPC сессии, через которые например сканер ресурсов с того компа получает инфу о тебе периодически.
Комп виндовый - ХР с автоматич. затяжкой всех патчей.27.01.05 20:51 Автор: ventyl Статус: Незарегистрированный пользователь
> Может это просто протокол который открывает вторичные тсп > соединения на сервер (тебя тобишь)? > Типа FTP в пассивном режиме. > А если комп виндовый то может это просто RPC сессии, через > которые например сканер ресурсов с того компа получает инфу > о тебе периодически.
Комп виндовый - ХР с автоматич. затяжкой всех патчей.
У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не от него – в commview настроил оповещение, в случае обнаружения пакета с моим адресом в поле destinationIP и флагом SYN, т.е. если кто-то подключается ко мне по TCP к любому порту – я моментально об этом узнаю.
Снимал данные след. образом – на свиче (у нас сиськи) сделал SPAN для его порта, т.е. весь его трафик редиректится на отдельный комп, на кот. стоит снифер с правилами выдирать все пакеты, в которых есть мой МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP), кот. шли где-то каждые 12 минут и всю эту ерунду, что я описал раньше.
По времени инициализации сессий похоже, что ЭТА штука не привязана по времени никак к широковещательным пакетам нетбиоса.
Сегодня он ко мне не подключался вообще (с утра укатил в командировку). Очень интересную картину обнаружил, просканировав себя с другого соседского компа – на 12 дня открыты порты, кот. не должны быть открытыми:
|___ 1151
|___ 1187
|___ 3181
|___ 3894
на 15:30 картина такая:
|___ 1187
|___ 3181
|___ 3894
и на 18:00
|___ 1187
|___ 3894
|___ 4278
Насколько я понимаю, эти порты вообще из диапазона, кот. предназначен для сессий, инициируемых с моего компа при подключении к удаленным…
Стандартные средства (netstat –a) и еще с пом-ю программулины DiamondCS port explorer, не показывают никаких следов того, что эти порты открыты. При попытке подтелнетиться на любой из них происходит след. syn – syn+ack – ack – rst, т.е. инициализация сессии происходит успешно, после чего мой комп ее гасит…
Что очень меня смущает - поставили на левый комп его MAC- и IP-адреса, попробовали открыть сессию, получили такую же ерунду (я еще более детально поковыряюсь в заголовках пакетов – может дело где-то там…)
Таким образом, «на сейчас» картина получается следующая – первым сессию инициирует его комп, инициирует ее на два соседних TCP-порта к моему компу, идет обмен данными (на вскидку чистых данных около 200 байт, причем, сравнив вчерашние и позавчерашние данные стало видно, что пакеты в разные дни сильно похожи между собой), после чего попытка подключения к этим портам дает ack+rst, т.е. закрыт полностью.
Спустя какое-то время (предположительно, не менее получаса) у меня появляются несколько других открытых портов, которые не видны стандартными средствами, но прощупываются TCP-сканерами, попытка подключиться на любой из них приводит к успешной инициализации (3-way handshaking) и сразу потом мой комп дает сброс.
если кто-то знает трояна с подходящим описанием, подскажите, пож. название.
про RPC я пока толкового описания не нашел (чтобы с портами и всем прочим), поищу еще, но, честно говоря, мало верится, что это поможет – для интереса отсканировали 3 компа в нашей комнате, «недекларированных» открытых портов ни на одном из них нет…
Как из этого следует то что это не из-за фтп сервера?...28.01.05 01:39 Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 28.01.05 01:48 Количество правок: 1
> Комп виндовый - ХР с автоматич. затяжкой всех патчей. > У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не > от него – в commview настроил оповещение, в случае > обнаружения пакета с моим адресом в поле destinationIP и > флагом SYN, т.е. если кто-то подключается ко мне по TCP к > любому порту – я моментально об этом узнаю. Как из этого следует то что это не из-за фтп сервера? Объясня. как работает фтп - клиент подключившись к серверу использует соединение на 21й порт только для команд. Данные (список файлов, их содержимое) передаются через вторичные соединения. Причем клиент договаривается с сервером через 21й порт на какой ип и порт будет происходить вторичное подключение. Таким образом для передачи файлов в активном режиме клиент инициирует прослушивание какого-либо дополнительного тсп порта, сервер подключается к нему и происходит передача данных. В том случае когда используется пассивный режим то серверный порт для одного подключения открывается на стороне фтп сервера и к нему подключается клиент. Номера портов кстати рандомные, обычно - 1024-5000.
> Снимал данные след. образом – на свиче (у нас сиськи) > сделал SPAN для его порта, т.е. весь его трафик > редиректится на отдельный комп, на кот. стоит снифер с > правилами выдирать все пакеты, в которых есть мой > МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP), > кот. шли где-то каждые 12 минут и всю эту ерунду, что я > описал раньше. > По времени инициализации сессий похоже, что ЭТА штука не > привязана по времени никак к широковещательным пакетам > нетбиоса. > > Сегодня он ко мне не подключался вообще (с утра укатил в > командировку). Очень интересную картину обнаружил, > просканировав себя с другого соседского компа – на 12 дня > открыты порты, кот. не должны быть открытыми: > > |___ 1151 > |___ 1187 > |___ 3181 > |___ 3894 > > на 15:30 картина такая: > |___ 1187 > |___ 3181 > |___ 3894 > > и на 18:00 > |___ 1187 > |___ 3894 > |___ 4278 > > Насколько я понимаю, эти порты вообще из диапазона, кот. > предназначен для сессий, инициируемых с моего компа при > подключении к удаленным… > > Стандартные средства (netstat –a) и еще с пом-ю > программулины DiamondCS port explorer, не показывают > никаких следов того, что эти порты открыты. При попытке > подтелнетиться на любой из них происходит след. syn – > syn+ack – ack – rst, т.е. инициализация сессии происходит > успешно, после чего мой комп ее гасит… > Что очень меня смущает - поставили на левый комп его MAC- и > IP-адреса, попробовали открыть сессию, получили такую же > ерунду (я еще более детально поковыряюсь в заголовках > пакетов – может дело где-то там…) > > > Таким образом, «на сейчас» картина получается следующая – > первым сессию инициирует его комп, инициирует ее на два > соседних TCP-порта к моему компу, идет обмен данными (на > вскидку чистых данных около 200 байт, причем, сравнив > вчерашние и позавчерашние данные стало видно, что пакеты в > разные дни сильно похожи между собой), после чего попытка > подключения к этим портам дает ack+rst, т.е. закрыт > полностью. > Спустя какое-то время (предположительно, не менее получаса) > у меня появляются несколько других открытых портов, которые > не видны стандартными средствами, но прощупываются > TCP-сканерами, попытка подключиться на любой из них > приводит к успешной инициализации (3-way handshaking) и > сразу потом мой комп дает сброс. > > если кто-то знает трояна с подходящим описанием, > подскажите, пож. название. > > про RPC я пока толкового описания не нашел (чтобы с портами > и всем прочим), поищу еще, но, честно говоря, мало верится, > что это поможет – для интереса отсканировали 3 компа в > нашей комнате, «недекларированных» открытых портов ни на > одном из них нет… С RPC примерно так-же байда - через 135й порт клиент договаривается с сервером о дополнительный соединениях, для которых открываются "одноразововые" серверные сокеты. Вот ссылка например: http://support.microsoft.com/?kbid=839880 (читать около How to resolve RPC Endpoint Mapper errors)
Поставь файрволл который тебе скажет на какой именно процесс происходили подключения и расслабся Ж)
4 дня я непрерывно снимаю весь трафик кот. поступает с его...28.01.05 21:51 Автор: ventyl Статус: Незарегистрированный пользователь
> Как из этого следует то что это не из-за фтп сервера? > Объясня. как работает фтп - клиент подключившись к серверу > использует соединение на 21й порт только для команд. Данные > (список файлов, их содержимое) передаются через вторичные > соединения. Причем клиент договаривается с сервером через > 21й порт на какой ип и порт будет происходить вторичное > подключение. Таким образом для передачи файлов в активном > режиме клиент инициирует прослушивание какого-либо > дополнительного тсп порта, сервер подключается к нему и > происходит передача данных. В том случае когда используется > пассивный режим то серверный порт для одного подключения > открывается на стороне фтп сервера и к нему подключается > клиент. Номера портов кстати рандомные, обычно - 1024-5000.
4 дня я непрерывно снимаю весь трафик кот. поступает с его компа на порт свитча и записываю только те пакеты, которые содержат в ethrnet-заголовках мой MAC-адрес. Вчера и сегодня его не было, но за первых два дня я кое-что наловил. Там не было ни одного запроса по 21-му порту... т.е. просто он инициировал сеансы на мои открытые порты. Провел еще один опыт - отключил serv-u и просканировал себя от соседа - порты все равно открыты...
> С RPC примерно так-же байда - через 135й порт клиент > договаривается с сервером о дополнительный соединениях, для > которых открываются "одноразововые" серверные сокеты. Вот > ссылка например: http://support.microsoft.com/?kbid=839880 > (читать около How to resolve RPC Endpoint Mapper errors)
вроде пишут, что сначала должно быть соединение по порту 135, которого я не захватывал... видимо, все же не оно.
> Поставь файрволл который тебе скажет на какой именно > процесс происходили подключения и расслабся Ж)
ну вот outpost поставил, результат - system... видимо, расслабляться еще не время ;)
после установки оутпоста ребутнулся, теперь у меня всего один открытый левый порт - 1182 (раньше такого в моем черном списке не было)
Советую начать с доступного и относительно простого -...27.01.05 00:24 Автор: leo <Леонид Юрьев> Статус: Elderman
> Советую начать с доступного и относительно простого - > Outpost Firewall, на 30 дней бесплатно
благодарю. поставить защиту - не вопрос, мне его троян особой погоды не делает - документы ежедневно бэкапятся на сервер, остальное пусть стирает. кроме паролей к моим свитчам у меня секретов нет, но даже вытянув их он вряд ли что-то сделает - для этого нужно знать ИОС...
да и зафайрволлившись, эта зараза все равно будет сидеть у меня... а кто знает, может после отсутсвия сессии в течение недели у нее задача все нафиг стирать, чтобы никаких следов не осталось...
мое оружие - мое терпение ;)
что я хочу - это для себя понять две вещи:
1. Что у меня сидит за зверь
2. Как он мне его засунул
В 99% Outpost правильно покажет источник активности (процесс...28.01.05 00:44 Автор: leo <Леонид Юрьев> Статус: Elderman
> В 99% Outpost правильно покажет источник активности > (процесс и файл). Тамже можно взять "Tau Scan".
outpost - действительно сильная штука, в ней нужно хорошо поковыряться, чтобы разобраться со всеми тонкостями. И действительно, определяет источник:
1182 - SYSTEM - localhost:any - TCP
выдрать имя файла у меня не получилось :(
А еще оно мне выдало такую ерунду, спустя минут 5 после перезагрузки:
" процесс запрашивает исходящее соединение
Один или несколько компонентов данного приложения изменились. Если Вы не уверены в правильности этого изменения, нажмите Подробнее для …
c:\WINDOWS\system32\wbem
- fastprox.dll
- wbemcomn.dll
- wbemprox.dll
- wbemsvc.dll "
Что с этим делать, я не знаю...
Tau Scan пока проверил только половину диска С, ничего, кроме мной поставленного Perfect Keylogger'a у себя не нашел, оставлю его искать на выходные...
Есть смысл посмотреть через Autoruns, кто стартует автоматически27.01.05 23:22 Автор: Neznaika <Alex> Статус: Member
Если на твоем компютере установлен сетевой принтер фирмы Cannon а на том компьютере - удаленное подключение к твоему принтеру(или наоборот - ты подключаешься к сетевому принтеру) - то проблема может быть в этом.
С лазерниками HP почти тоже самое.30.04.05 23:37 Автор: moxida Статус: Незарегистрированный пользователь
> Если на твоем компютере установлен сетевой принтер фирмы > Cannon а на том компьютере - удаленное подключение к > твоему принтеру(или наоборот - ты подключаешься к сетевому > принтеру) - то проблема может быть в этом. С лазерниками HP почти тоже самое.
В памяти сидит утилитка и время от времени начинает опрашивать сеть на предмет доступности принтера. при этом в углу экрана, рядом с часами появляется самолётик секунд на 2-5. Юзеры этого дела очень боялись поначалу. Впадали в панику и бегали как угорелые с воплями "вирус!, троян!"
Задолбался уже объяснять всем что это такое.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
