информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
В 99% Outpost правильно покажет источник активности (процесс... 28.01.05 00:44  Число просмотров: 3608
Автор: leo <Леонид Юрьев> Статус: Elderman
<"чистая" ссылка>
В 99% Outpost правильно покажет источник активности (процесс и файл). Тамже можно взять "Tau Scan".
<hacking>
красивое поимелово ближнего 26.01.05 21:53  
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
с помощью снифера cw пару дней назад обнаружил, что у меня периодически возникают странные сессии с одним из соседних компов, а именно - не чаще, чем раз в полчаса он инициирует TCP-сессию на один из моих портов, на которые он по "правилам" не может открывать сессии (т.е. все мои сканеры показывают, что эти порты у меня закрыты), причем все время он подключается к разным портам. Передача длится одну секунду, за это время отрабатывают две сессии, обе инициированы с его компа, например, сегодня,
8:49 утра 3369 – 2915, 3371 – 2916 (его порт – мой порт)
18:02 3483 – 1456, 3482 – 1457.
После 3-way handshaking (которое происходит на ура, что меня и поражает) его комп передает датаграмму, в поле данных которой находится вот что:
0x0036 30 00-00 00 00 00 0.....
мой комп на это отвечает пятью нулями, дальше идет обмен какими-то шифрованными данными, на подобие
0x0030 FA F0 EF 75 00 00 FF 08-00 2B 00 8F 26 8D 06 00 úðïu..ÿ..+.&#143;&&#141;..
0x0040 00 15 75 00 00 F2 F3 A3-14 C3 3A E4 80 AC 1E 0A ..u..òó£.Ã:ä€..
0x0050 48 01 15 75 00 00 86 05-8E 2F 50 00 00 00 03 00 H..u..†.Ž/P.....
0x0060 00 00 02 00 00 00 ......
причем, по двум сокетам идет практически одно и то же (незадолго до завершения сессии дублирование прекращается – пару последних пакетов разные)
после чего сессия завершается и подтелнетиться к этим моим портам у меня уже не получается совсем (syn – rst+ack)

вчера таких передач было около 8шт, позавчера, вроде, около 5, сегодня только две.

Ни в памяти машины, ни в реестре ничего необычного я не обнаружил.
Если это и кейлоггер, то, видимо, скидывает он только пароли, а не все подряд – я набивал кучу разной ерунды на клавиатуре, по объему трафика можно судить, что ничего из этого не ушло.
Если кто сталкивался с подобным зверем, подскажите что ЭТО и где можно о нем более детально почитать, поскольку я, вроде, перерыл все, что можно и без толку.
Как можно было внедрить ко мне эту ерунду тоже не понимаю - на мой комп блокирован доступ даже администратору домена и закрыты все шары (проверяли), никогда чужие ехе-шники и пр. у себя не запускал, винда XP со всеми патчами. То, что сел за мой комп и тупо что-то запустил исключается.
Вариант «набить лицо» просьба не предлагать, сначала очень хочется детально во всем разобраться самому.
попробуй http://z-oleg.com/secur/avz.htm в экзотических... 27.06.05 14:14  
Автор: Zuz Статус: Незарегистрированный пользователь
<"чистая" ссылка>
попробуй http://z-oleg.com/secur/avz.htm в экзотических случаях помогаает.
А что вообще открыто? 27.01.05 04:45  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Может это просто протокол который открывает вторичные тсп соединения на сервер (тебя тобишь)?
Типа FTP в пассивном режиме.
А если комп виндовый то может это просто RPC сессии, через которые например сканер ресурсов с того компа получает инфу о тебе периодически.
Комп виндовый - ХР с автоматич. затяжкой всех патчей. 27.01.05 20:51  
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Может это просто протокол который открывает вторичные тсп
> соединения на сервер (тебя тобишь)?
> Типа FTP в пассивном режиме.
> А если комп виндовый то может это просто RPC сессии, через
> которые например сканер ресурсов с того компа получает инфу
> о тебе периодически.


Комп виндовый - ХР с автоматич. затяжкой всех патчей.
У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не от него – в commview настроил оповещение, в случае обнаружения пакета с моим адресом в поле destinationIP и флагом SYN, т.е. если кто-то подключается ко мне по TCP к любому порту – я моментально об этом узнаю.
Снимал данные след. образом – на свиче (у нас сиськи) сделал SPAN для его порта, т.е. весь его трафик редиректится на отдельный комп, на кот. стоит снифер с правилами выдирать все пакеты, в которых есть мой МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP), кот. шли где-то каждые 12 минут и всю эту ерунду, что я описал раньше.
По времени инициализации сессий похоже, что ЭТА штука не привязана по времени никак к широковещательным пакетам нетбиоса.

Сегодня он ко мне не подключался вообще (с утра укатил в командировку). Очень интересную картину обнаружил, просканировав себя с другого соседского компа – на 12 дня открыты порты, кот. не должны быть открытыми:

|___ 1151
|___ 1187
|___ 3181
|___ 3894

на 15:30 картина такая:
|___ 1187
|___ 3181
|___ 3894

и на 18:00
|___ 1187
|___ 3894
|___ 4278

Насколько я понимаю, эти порты вообще из диапазона, кот. предназначен для сессий, инициируемых с моего компа при подключении к удаленным…

Стандартные средства (netstat –a) и еще с пом-ю программулины DiamondCS port explorer, не показывают никаких следов того, что эти порты открыты. При попытке подтелнетиться на любой из них происходит след. syn – syn+ack – ack – rst, т.е. инициализация сессии происходит успешно, после чего мой комп ее гасит…
Что очень меня смущает - поставили на левый комп его MAC- и IP-адреса, попробовали открыть сессию, получили такую же ерунду (я еще более детально поковыряюсь в заголовках пакетов – может дело где-то там…)


Таким образом, «на сейчас» картина получается следующая – первым сессию инициирует его комп, инициирует ее на два соседних TCP-порта к моему компу, идет обмен данными (на вскидку чистых данных около 200 байт, причем, сравнив вчерашние и позавчерашние данные стало видно, что пакеты в разные дни сильно похожи между собой), после чего попытка подключения к этим портам дает ack+rst, т.е. закрыт полностью.
Спустя какое-то время (предположительно, не менее получаса) у меня появляются несколько других открытых портов, которые не видны стандартными средствами, но прощупываются TCP-сканерами, попытка подключиться на любой из них приводит к успешной инициализации (3-way handshaking) и сразу потом мой комп дает сброс.

если кто-то знает трояна с подходящим описанием, подскажите, пож. название.

про RPC я пока толкового описания не нашел (чтобы с портами и всем прочим), поищу еще, но, честно говоря, мало верится, что это поможет – для интереса отсканировали 3 компа в нашей комнате, «недекларированных» открытых портов ни на одном из них нет…
Как из этого следует то что это не из-за фтп сервера?... 28.01.05 01:39  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 28.01.05 01:48  Количество правок: 1
<"чистая" ссылка>
> Комп виндовый - ХР с автоматич. затяжкой всех патчей.
> У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не
> от него – в commview настроил оповещение, в случае
> обнаружения пакета с моим адресом в поле destinationIP и
> флагом SYN, т.е. если кто-то подключается ко мне по TCP к
> любому порту – я моментально об этом узнаю.
Как из этого следует то что это не из-за фтп сервера? Объясня. как работает фтп - клиент подключившись к серверу использует соединение на 21й порт только для команд. Данные (список файлов, их содержимое) передаются через вторичные соединения. Причем клиент договаривается с сервером через 21й порт на какой ип и порт будет происходить вторичное подключение. Таким образом для передачи файлов в активном режиме клиент инициирует прослушивание какого-либо дополнительного тсп порта, сервер подключается к нему и происходит передача данных. В том случае когда используется пассивный режим то серверный порт для одного подключения открывается на стороне фтп сервера и к нему подключается клиент. Номера портов кстати рандомные, обычно - 1024-5000.

> Снимал данные след. образом – на свиче (у нас сиськи)
> сделал SPAN для его порта, т.е. весь его трафик
> редиректится на отдельный комп, на кот. стоит снифер с
> правилами выдирать все пакеты, в которых есть мой
> МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP),
> кот. шли где-то каждые 12 минут и всю эту ерунду, что я
> описал раньше.
> По времени инициализации сессий похоже, что ЭТА штука не
> привязана по времени никак к широковещательным пакетам
> нетбиоса.
>
> Сегодня он ко мне не подключался вообще (с утра укатил в
> командировку). Очень интересную картину обнаружил,
> просканировав себя с другого соседского компа – на 12 дня
> открыты порты, кот. не должны быть открытыми:
>
> |___ 1151
> |___ 1187
> |___ 3181
> |___ 3894
>
> на 15:30 картина такая:
> |___ 1187
> |___ 3181
> |___ 3894
>
> и на 18:00
> |___ 1187
> |___ 3894
> |___ 4278
>
> Насколько я понимаю, эти порты вообще из диапазона, кот.
> предназначен для сессий, инициируемых с моего компа при
> подключении к удаленным…
>
> Стандартные средства (netstat –a) и еще с пом-ю
> программулины DiamondCS port explorer, не показывают
> никаких следов того, что эти порты открыты. При попытке
> подтелнетиться на любой из них происходит след. syn –
> syn+ack – ack – rst, т.е. инициализация сессии происходит
> успешно, после чего мой комп ее гасит…
> Что очень меня смущает - поставили на левый комп его MAC- и
> IP-адреса, попробовали открыть сессию, получили такую же
> ерунду (я еще более детально поковыряюсь в заголовках
> пакетов – может дело где-то там…)
>
>
> Таким образом, «на сейчас» картина получается следующая –
> первым сессию инициирует его комп, инициирует ее на два
> соседних TCP-порта к моему компу, идет обмен данными (на
> вскидку чистых данных около 200 байт, причем, сравнив
> вчерашние и позавчерашние данные стало видно, что пакеты в
> разные дни сильно похожи между собой), после чего попытка
> подключения к этим портам дает ack+rst, т.е. закрыт
> полностью.
> Спустя какое-то время (предположительно, не менее получаса)
> у меня появляются несколько других открытых портов, которые
> не видны стандартными средствами, но прощупываются
> TCP-сканерами, попытка подключиться на любой из них
> приводит к успешной инициализации (3-way handshaking) и
> сразу потом мой комп дает сброс.
>
> если кто-то знает трояна с подходящим описанием,
> подскажите, пож. название.
>
> про RPC я пока толкового описания не нашел (чтобы с портами
> и всем прочим), поищу еще, но, честно говоря, мало верится,
> что это поможет – для интереса отсканировали 3 компа в
> нашей комнате, «недекларированных» открытых портов ни на
> одном из них нет…
С RPC примерно так-же байда - через 135й порт клиент договаривается с сервером о дополнительный соединениях, для которых открываются "одноразововые" серверные сокеты. Вот ссылка например: http://support.microsoft.com/?kbid=839880 (читать около How to resolve RPC Endpoint Mapper errors)

Поставь файрволл который тебе скажет на какой именно процесс происходили подключения и расслабся Ж)
4 дня я непрерывно снимаю весь трафик кот. поступает с его... 28.01.05 21:51  
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Как из этого следует то что это не из-за фтп сервера?
> Объясня. как работает фтп - клиент подключившись к серверу
> использует соединение на 21й порт только для команд. Данные
> (список файлов, их содержимое) передаются через вторичные
> соединения. Причем клиент договаривается с сервером через
> 21й порт на какой ип и порт будет происходить вторичное
> подключение. Таким образом для передачи файлов в активном
> режиме клиент инициирует прослушивание какого-либо
> дополнительного тсп порта, сервер подключается к нему и
> происходит передача данных. В том случае когда используется
> пассивный режим то серверный порт для одного подключения
> открывается на стороне фтп сервера и к нему подключается
> клиент. Номера портов кстати рандомные, обычно - 1024-5000.

4 дня я непрерывно снимаю весь трафик кот. поступает с его компа на порт свитча и записываю только те пакеты, которые содержат в ethrnet-заголовках мой MAC-адрес. Вчера и сегодня его не было, но за первых два дня я кое-что наловил. Там не было ни одного запроса по 21-му порту... т.е. просто он инициировал сеансы на мои открытые порты. Провел еще один опыт - отключил serv-u и просканировал себя от соседа - порты все равно открыты...

> С RPC примерно так-же байда - через 135й порт клиент
> договаривается с сервером о дополнительный соединениях, для
> которых открываются "одноразововые" серверные сокеты. Вот
> ссылка например: http://support.microsoft.com/?kbid=839880
> (читать около How to resolve RPC Endpoint Mapper errors)

вроде пишут, что сначала должно быть соединение по порту 135, которого я не захватывал... видимо, все же не оно.

> Поставь файрволл который тебе скажет на какой именно
> процесс происходили подключения и расслабся Ж)

ну вот outpost поставил, результат - system... видимо, расслабляться еще не время ;)

после установки оутпоста ребутнулся, теперь у меня всего один открытый левый порт - 1182 (раньше такого в моем черном списке не было)
Советую начать с доступного и относительно простого -... 27.01.05 00:24  
Автор: leo <Леонид Юрьев> Статус: Elderman
<"чистая" ссылка>
Советую начать с доступного и относительно простого - Outpost Firewall, на 30 дней бесплатно

http://www.agnitum.com/ru/
благодарю. поставить защиту - не вопрос, мне его троян... 27.01.05 21:01  
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Советую начать с доступного и относительно простого -
> Outpost Firewall, на 30 дней бесплатно

благодарю. поставить защиту - не вопрос, мне его троян особой погоды не делает - документы ежедневно бэкапятся на сервер, остальное пусть стирает. кроме паролей к моим свитчам у меня секретов нет, но даже вытянув их он вряд ли что-то сделает - для этого нужно знать ИОС...

да и зафайрволлившись, эта зараза все равно будет сидеть у меня... а кто знает, может после отсутсвия сессии в течение недели у нее задача все нафиг стирать, чтобы никаких следов не осталось...

мое оружие - мое терпение ;)

что я хочу - это для себя понять две вещи:
1. Что у меня сидит за зверь
2. Как он мне его засунул
В 99% Outpost правильно покажет источник активности (процесс... 28.01.05 00:44  
Автор: leo <Леонид Юрьев> Статус: Elderman
<"чистая" ссылка>
В 99% Outpost правильно покажет источник активности (процесс и файл). Тамже можно взять "Tau Scan".
а лучше - попробуй Tiny Personal Firewall 28.06.05 13:42  
Автор: Lost.In.The.Net Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> В 99% Outpost правильно покажет источник активности
> (процесс и файл). Тамже можно взять "Tau Scan".

а лучше - попробуй Tiny Personal Firewall - очень интересная штучка и ресурсов жрет мало.
Просмотри 17.06.05 20:03  
Автор: Groov28 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Leo давай познакомимся?Это Groov28 новый человек в мире интернета!
outpost - действительно сильная штука, в ней нужно хорошо... 28.01.05 21:26  
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> В 99% Outpost правильно покажет источник активности
> (процесс и файл). Тамже можно взять "Tau Scan".

outpost - действительно сильная штука, в ней нужно хорошо поковыряться, чтобы разобраться со всеми тонкостями. И действительно, определяет источник:
1182 - SYSTEM - localhost:any - TCP
выдрать имя файла у меня не получилось :(
А еще оно мне выдало такую ерунду, спустя минут 5 после перезагрузки:

" процесс запрашивает исходящее соединение
Один или несколько компонентов данного приложения изменились. Если Вы не уверены в правильности этого изменения, нажмите Подробнее для …
c:\WINDOWS\system32\wbem
- fastprox.dll
- wbemcomn.dll
- wbemprox.dll
- wbemsvc.dll "

Что с этим делать, я не знаю...

Tau Scan пока проверил только половину диска С, ничего, кроме мной поставленного Perfect Keylogger'a у себя не нашел, оставлю его искать на выходные...
Есть смысл посмотреть через Autoruns, кто стартует автоматически 27.01.05 23:22  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
// Autoruns works on all versions of Windows
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml
посмотрел, прикольная прога - инфы дала больше, чем... 28.01.05 21:00  
Автор: ventyl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> // Autoruns works on all versions of Windows
> http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml
посмотрел, прикольная прога - инфы дала больше, чем msconfig, но про моего зверя - ничего...
Была похожая проблема 21.04.05 12:09  
Автор: Ziby Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если на твоем компютере установлен сетевой принтер фирмы Cannon а на том компьютере - удаленное подключение к твоему принтеру(или наоборот - ты подключаешься к сетевому принтеру) - то проблема может быть в этом.
С лазерниками HP почти тоже самое. 30.04.05 23:37  
Автор: moxida Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Если на твоем компютере установлен сетевой принтер фирмы
> Cannon а на том компьютере - удаленное подключение к
> твоему принтеру(или наоборот - ты подключаешься к сетевому
> принтеру) - то проблема может быть в этом.
С лазерниками HP почти тоже самое.
В памяти сидит утилитка и время от времени начинает опрашивать сеть на предмет доступности принтера. при этом в углу экрана, рядом с часами появляется самолётик секунд на 2-5. Юзеры этого дела очень боялись поначалу. Впадали в панику и бегали как угорелые с воплями "вирус!, троян!"
Задолбался уже объяснять всем что это такое.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach