Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Была похожая проблема 21.04.05 12:09 Число просмотров: 3702
Автор: Ziby Статус: Незарегистрированный пользователь
|
|
Если на твоем компютере установлен сетевой принтер фирмы Cannon а на том компьютере - удаленное подключение к твоему принтеру(или наоборот - ты подключаешься к сетевому принтеру) - то проблема может быть в этом.
|
|
<hacking>
|
красивое поимелово ближнего 26.01.05 21:53
Автор: ventyl Статус: Незарегистрированный пользователь
|
с помощью снифера cw пару дней назад обнаружил, что у меня периодически возникают странные сессии с одним из соседних компов, а именно - не чаще, чем раз в полчаса он инициирует TCP-сессию на один из моих портов, на которые он по "правилам" не может открывать сессии (т.е. все мои сканеры показывают, что эти порты у меня закрыты), причем все время он подключается к разным портам. Передача длится одну секунду, за это время отрабатывают две сессии, обе инициированы с его компа, например, сегодня,
8:49 утра 3369 – 2915, 3371 – 2916 (его порт – мой порт)
18:02 3483 – 1456, 3482 – 1457.
После 3-way handshaking (которое происходит на ура, что меня и поражает) его комп передает датаграмму, в поле данных которой находится вот что:
0x0036 30 00-00 00 00 00 0.....
мой комп на это отвечает пятью нулями, дальше идет обмен какими-то шифрованными данными, на подобие
0x0030 FA F0 EF 75 00 00 FF 08-00 2B 00 8F 26 8D 06 00 úðïu..ÿ..+.&..
0x0040 00 15 75 00 00 F2 F3 A3-14 C3 3A E4 80 AC 1E 0A ..u..òó£.Ã:ä€..
0x0050 48 01 15 75 00 00 86 05-8E 2F 50 00 00 00 03 00 H..u..†.Ž/P.....
0x0060 00 00 02 00 00 00 ......
причем, по двум сокетам идет практически одно и то же (незадолго до завершения сессии дублирование прекращается – пару последних пакетов разные)
после чего сессия завершается и подтелнетиться к этим моим портам у меня уже не получается совсем (syn – rst+ack)
вчера таких передач было около 8шт, позавчера, вроде, около 5, сегодня только две.
Ни в памяти машины, ни в реестре ничего необычного я не обнаружил.
Если это и кейлоггер, то, видимо, скидывает он только пароли, а не все подряд – я набивал кучу разной ерунды на клавиатуре, по объему трафика можно судить, что ничего из этого не ушло.
Если кто сталкивался с подобным зверем, подскажите что ЭТО и где можно о нем более детально почитать, поскольку я, вроде, перерыл все, что можно и без толку.
Как можно было внедрить ко мне эту ерунду тоже не понимаю - на мой комп блокирован доступ даже администратору домена и закрыты все шары (проверяли), никогда чужие ехе-шники и пр. у себя не запускал, винда XP со всеми патчами. То, что сел за мой комп и тупо что-то запустил исключается.
Вариант «набить лицо» просьба не предлагать, сначала очень хочется детально во всем разобраться самому.
|
|
попробуй http://z-oleg.com/secur/avz.htm в экзотических... 27.06.05 14:14
Автор: Zuz Статус: Незарегистрированный пользователь
|
|
попробуй http://z-oleg.com/secur/avz.htm в экзотических случаях помогаает.
|
|
А что вообще открыто? 27.01.05 04:45
Автор: Killer{R} <Dmitry> Статус: Elderman
|
Может это просто протокол который открывает вторичные тсп соединения на сервер (тебя тобишь)?
Типа FTP в пассивном режиме.
А если комп виндовый то может это просто RPC сессии, через которые например сканер ресурсов с того компа получает инфу о тебе периодически.
|
| |
Комп виндовый - ХР с автоматич. затяжкой всех патчей. 27.01.05 20:51
Автор: ventyl Статус: Незарегистрированный пользователь
|
> Может это просто протокол который открывает вторичные тсп
> соединения на сервер (тебя тобишь)?
> Типа FTP в пассивном режиме.
> А если комп виндовый то может это просто RPC сессии, через
> которые например сканер ресурсов с того компа получает инфу
> о тебе периодически.
Комп виндовый - ХР с автоматич. затяжкой всех патчей.
У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не от него – в commview настроил оповещение, в случае обнаружения пакета с моим адресом в поле destinationIP и флагом SYN, т.е. если кто-то подключается ко мне по TCP к любому порту – я моментально об этом узнаю.
Снимал данные след. образом – на свиче (у нас сиськи) сделал SPAN для его порта, т.е. весь его трафик редиректится на отдельный комп, на кот. стоит снифер с правилами выдирать все пакеты, в которых есть мой МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP), кот. шли где-то каждые 12 минут и всю эту ерунду, что я описал раньше.
По времени инициализации сессий похоже, что ЭТА штука не привязана по времени никак к широковещательным пакетам нетбиоса.
Сегодня он ко мне не подключался вообще (с утра укатил в командировку). Очень интересную картину обнаружил, просканировав себя с другого соседского компа – на 12 дня открыты порты, кот. не должны быть открытыми:
|___ 1151
|___ 1187
|___ 3181
|___ 3894
на 15:30 картина такая:
|___ 1187
|___ 3181
|___ 3894
и на 18:00
|___ 1187
|___ 3894
|___ 4278
Насколько я понимаю, эти порты вообще из диапазона, кот. предназначен для сессий, инициируемых с моего компа при подключении к удаленным…
Стандартные средства (netstat –a) и еще с пом-ю программулины DiamondCS port explorer, не показывают никаких следов того, что эти порты открыты. При попытке подтелнетиться на любой из них происходит след. syn – syn+ack – ack – rst, т.е. инициализация сессии происходит успешно, после чего мой комп ее гасит…
Что очень меня смущает - поставили на левый комп его MAC- и IP-адреса, попробовали открыть сессию, получили такую же ерунду (я еще более детально поковыряюсь в заголовках пакетов – может дело где-то там…)
Таким образом, «на сейчас» картина получается следующая – первым сессию инициирует его комп, инициирует ее на два соседних TCP-порта к моему компу, идет обмен данными (на вскидку чистых данных около 200 байт, причем, сравнив вчерашние и позавчерашние данные стало видно, что пакеты в разные дни сильно похожи между собой), после чего попытка подключения к этим портам дает ack+rst, т.е. закрыт полностью.
Спустя какое-то время (предположительно, не менее получаса) у меня появляются несколько других открытых портов, которые не видны стандартными средствами, но прощупываются TCP-сканерами, попытка подключиться на любой из них приводит к успешной инициализации (3-way handshaking) и сразу потом мой комп дает сброс.
если кто-то знает трояна с подходящим описанием, подскажите, пож. название.
про RPC я пока толкового описания не нашел (чтобы с портами и всем прочим), поищу еще, но, честно говоря, мало верится, что это поможет – для интереса отсканировали 3 компа в нашей комнате, «недекларированных» открытых портов ни на одном из них нет…
|
| | |
Как из этого следует то что это не из-за фтп сервера?... 28.01.05 01:39
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 28.01.05 01:48 Количество правок: 1
|
> Комп виндовый - ХР с автоматич. затяжкой всех патчей.
> У меня есть FTP-сервер (serv-U 5.2), но похоже, что это не
> от него – в commview настроил оповещение, в случае
> обнаружения пакета с моим адресом в поле destinationIP и
> флагом SYN, т.е. если кто-то подключается ко мне по TCP к
> любому порту – я моментально об этом узнаю.
Как из этого следует то что это не из-за фтп сервера? Объясня. как работает фтп - клиент подключившись к серверу использует соединение на 21й порт только для команд. Данные (список файлов, их содержимое) передаются через вторичные соединения. Причем клиент договаривается с сервером через 21й порт на какой ип и порт будет происходить вторичное подключение. Таким образом для передачи файлов в активном режиме клиент инициирует прослушивание какого-либо дополнительного тсп порта, сервер подключается к нему и происходит передача данных. В том случае когда используется пассивный режим то серверный порт для одного подключения открывается на стороне фтп сервера и к нему подключается клиент. Номера портов кстати рандомные, обычно - 1024-5000.
> Снимал данные след. образом – на свиче (у нас сиськи)
> сделал SPAN для его порта, т.е. весь его трафик
> редиректится на отдельный комп, на кот. стоит снифер с
> правилами выдирать все пакеты, в которых есть мой
> МАС-адрес, им я наловил моих бродкастов нетбиоса (138 UDP),
> кот. шли где-то каждые 12 минут и всю эту ерунду, что я
> описал раньше.
> По времени инициализации сессий похоже, что ЭТА штука не
> привязана по времени никак к широковещательным пакетам
> нетбиоса.
>
> Сегодня он ко мне не подключался вообще (с утра укатил в
> командировку). Очень интересную картину обнаружил,
> просканировав себя с другого соседского компа – на 12 дня
> открыты порты, кот. не должны быть открытыми:
>
> |___ 1151
> |___ 1187
> |___ 3181
> |___ 3894
>
> на 15:30 картина такая:
> |___ 1187
> |___ 3181
> |___ 3894
>
> и на 18:00
> |___ 1187
> |___ 3894
> |___ 4278
>
> Насколько я понимаю, эти порты вообще из диапазона, кот.
> предназначен для сессий, инициируемых с моего компа при
> подключении к удаленным…
>
> Стандартные средства (netstat –a) и еще с пом-ю
> программулины DiamondCS port explorer, не показывают
> никаких следов того, что эти порты открыты. При попытке
> подтелнетиться на любой из них происходит след. syn –
> syn+ack – ack – rst, т.е. инициализация сессии происходит
> успешно, после чего мой комп ее гасит…
> Что очень меня смущает - поставили на левый комп его MAC- и
> IP-адреса, попробовали открыть сессию, получили такую же
> ерунду (я еще более детально поковыряюсь в заголовках
> пакетов – может дело где-то там…)
>
>
> Таким образом, «на сейчас» картина получается следующая –
> первым сессию инициирует его комп, инициирует ее на два
> соседних TCP-порта к моему компу, идет обмен данными (на
> вскидку чистых данных около 200 байт, причем, сравнив
> вчерашние и позавчерашние данные стало видно, что пакеты в
> разные дни сильно похожи между собой), после чего попытка
> подключения к этим портам дает ack+rst, т.е. закрыт
> полностью.
> Спустя какое-то время (предположительно, не менее получаса)
> у меня появляются несколько других открытых портов, которые
> не видны стандартными средствами, но прощупываются
> TCP-сканерами, попытка подключиться на любой из них
> приводит к успешной инициализации (3-way handshaking) и
> сразу потом мой комп дает сброс.
>
> если кто-то знает трояна с подходящим описанием,
> подскажите, пож. название.
>
> про RPC я пока толкового описания не нашел (чтобы с портами
> и всем прочим), поищу еще, но, честно говоря, мало верится,
> что это поможет – для интереса отсканировали 3 компа в
> нашей комнате, «недекларированных» открытых портов ни на
> одном из них нет…
С RPC примерно так-же байда - через 135й порт клиент договаривается с сервером о дополнительный соединениях, для которых открываются "одноразововые" серверные сокеты. Вот ссылка например: http://support.microsoft.com/?kbid=839880 (читать около How to resolve RPC Endpoint Mapper errors)
Поставь файрволл который тебе скажет на какой именно процесс происходили подключения и расслабся Ж)
|
| | | |
4 дня я непрерывно снимаю весь трафик кот. поступает с его... 28.01.05 21:51
Автор: ventyl Статус: Незарегистрированный пользователь
|
> Как из этого следует то что это не из-за фтп сервера?
> Объясня. как работает фтп - клиент подключившись к серверу
> использует соединение на 21й порт только для команд. Данные
> (список файлов, их содержимое) передаются через вторичные
> соединения. Причем клиент договаривается с сервером через
> 21й порт на какой ип и порт будет происходить вторичное
> подключение. Таким образом для передачи файлов в активном
> режиме клиент инициирует прослушивание какого-либо
> дополнительного тсп порта, сервер подключается к нему и
> происходит передача данных. В том случае когда используется
> пассивный режим то серверный порт для одного подключения
> открывается на стороне фтп сервера и к нему подключается
> клиент. Номера портов кстати рандомные, обычно - 1024-5000.
4 дня я непрерывно снимаю весь трафик кот. поступает с его компа на порт свитча и записываю только те пакеты, которые содержат в ethrnet-заголовках мой MAC-адрес. Вчера и сегодня его не было, но за первых два дня я кое-что наловил. Там не было ни одного запроса по 21-му порту... т.е. просто он инициировал сеансы на мои открытые порты. Провел еще один опыт - отключил serv-u и просканировал себя от соседа - порты все равно открыты...
> С RPC примерно так-же байда - через 135й порт клиент
> договаривается с сервером о дополнительный соединениях, для
> которых открываются "одноразововые" серверные сокеты. Вот
> ссылка например: http://support.microsoft.com/?kbid=839880
> (читать около How to resolve RPC Endpoint Mapper errors)
вроде пишут, что сначала должно быть соединение по порту 135, которого я не захватывал... видимо, все же не оно.
> Поставь файрволл который тебе скажет на какой именно
> процесс происходили подключения и расслабся Ж)
ну вот outpost поставил, результат - system... видимо, расслабляться еще не время ;)
после установки оутпоста ребутнулся, теперь у меня всего один открытый левый порт - 1182 (раньше такого в моем черном списке не было)
|
|
Советую начать с доступного и относительно простого -... 27.01.05 00:24
Автор: leo <Леонид Юрьев> Статус: Elderman
|
Советую начать с доступного и относительно простого - Outpost Firewall, на 30 дней бесплатно
http://www.agnitum.com/ru/
|
| |
благодарю. поставить защиту - не вопрос, мне его троян... 27.01.05 21:01
Автор: ventyl Статус: Незарегистрированный пользователь
|
> Советую начать с доступного и относительно простого -
> Outpost Firewall, на 30 дней бесплатно
благодарю. поставить защиту - не вопрос, мне его троян особой погоды не делает - документы ежедневно бэкапятся на сервер, остальное пусть стирает. кроме паролей к моим свитчам у меня секретов нет, но даже вытянув их он вряд ли что-то сделает - для этого нужно знать ИОС...
да и зафайрволлившись, эта зараза все равно будет сидеть у меня... а кто знает, может после отсутсвия сессии в течение недели у нее задача все нафиг стирать, чтобы никаких следов не осталось...
мое оружие - мое терпение ;)
что я хочу - это для себя понять две вещи:
1. Что у меня сидит за зверь
2. Как он мне его засунул
|
| | |
В 99% Outpost правильно покажет источник активности (процесс... 28.01.05 00:44
Автор: leo <Леонид Юрьев> Статус: Elderman
|
|
В 99% Outpost правильно покажет источник активности (процесс и файл). Тамже можно взять "Tau Scan".
|
| | | |
а лучше - попробуй Tiny Personal Firewall 28.06.05 13:42
Автор: Lost.In.The.Net Статус: Незарегистрированный пользователь
|
> В 99% Outpost правильно покажет источник активности
> (процесс и файл). Тамже можно взять "Tau Scan".
а лучше - попробуй Tiny Personal Firewall - очень интересная штучка и ресурсов жрет мало.
|
| | | |
Просмотри 17.06.05 20:03
Автор: Groov28 Статус: Незарегистрированный пользователь
|
|
Leo давай познакомимся?Это Groov28 новый человек в мире интернета!
|
| | | |
outpost - действительно сильная штука, в ней нужно хорошо... 28.01.05 21:26
Автор: ventyl Статус: Незарегистрированный пользователь
|
> В 99% Outpost правильно покажет источник активности
> (процесс и файл). Тамже можно взять "Tau Scan".
outpost - действительно сильная штука, в ней нужно хорошо поковыряться, чтобы разобраться со всеми тонкостями. И действительно, определяет источник:
1182 - SYSTEM - localhost:any - TCP
выдрать имя файла у меня не получилось :(
А еще оно мне выдало такую ерунду, спустя минут 5 после перезагрузки:
" процесс запрашивает исходящее соединение
Один или несколько компонентов данного приложения изменились. Если Вы не уверены в правильности этого изменения, нажмите Подробнее для …
c:\WINDOWS\system32\wbem
- fastprox.dll
- wbemcomn.dll
- wbemprox.dll
- wbemsvc.dll "
Что с этим делать, я не знаю...
Tau Scan пока проверил только половину диска С, ничего, кроме мной поставленного Perfect Keylogger'a у себя не нашел, оставлю его искать на выходные...
|
| | | |
посмотрел, прикольная прога - инфы дала больше, чем... 28.01.05 21:00
Автор: ventyl Статус: Незарегистрированный пользователь
|
> // Autoruns works on all versions of Windows
> http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml
посмотрел, прикольная прога - инфы дала больше, чем msconfig, но про моего зверя - ничего...
|
| | | | |
Была похожая проблема 21.04.05 12:09
Автор: Ziby Статус: Незарегистрированный пользователь
|
|
Если на твоем компютере установлен сетевой принтер фирмы Cannon а на том компьютере - удаленное подключение к твоему принтеру(или наоборот - ты подключаешься к сетевому принтеру) - то проблема может быть в этом.
|
| | | | | |
С лазерниками HP почти тоже самое. 30.04.05 23:37
Автор: moxida Статус: Незарегистрированный пользователь
|
> Если на твоем компютере установлен сетевой принтер фирмы
> Cannon а на том компьютере - удаленное подключение к
> твоему принтеру(или наоборот - ты подключаешься к сетевому
> принтеру) - то проблема может быть в этом.
С лазерниками HP почти тоже самое.
В памяти сидит утилитка и время от времени начинает опрашивать сеть на предмет доступности принтера. при этом в углу экрана, рядом с часами появляется самолётик секунд на 2-5. Юзеры этого дела очень боялись поначалу. Впадали в панику и бегали как угорелые с воплями "вирус!, троян!"
Задолбался уже объяснять всем что это такое.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
