» »

Siolov moderator - HACKER ?

Siolov moderator - HACKER ?

Tilen ::

Danes zaznam tole:



Cekiram IP

inetnum: 193.189.160.0 - 193.189.163.255
netname: SIOL-NET
descr: SiOL d.o.o. - ISP in Slovenia
descr: Cigaletova 15
descr: 1000 Ljubljana, Slovenia
country: SI

Se prepricam ce je res siol ?!? 8-O

Resolved 193.189.160.222 to poseidon.siol.net

Nakar se odpravim na :

http://poseidon.siol.net

... in ugotovim woot ? 8-O

I just can't believe it!! ;((
413120536c6f76656e696a612c20642e642e

Keki ::

Ja dans je bol taki dan za haxorje.
Na CS serverju Siol1 so zaznali in Banali haxorja ki je uporabljal walhack. Jah ni nam lahko.
Klik do demota ki to dokazuje
by
http://www.alfakan.si/
http://mihajerot.si/

OmegaBlue ::

Svašta :D
Never attribute to malice that which can be adequately explained by stupidity.

Matri[X] ::

Ne, mIRC se poskusa povezati na nek IRC streznik na siolovem omrezju, ki (verjetno) ne obstaja. Zakaj je do tega prislo ne vem.

Tilen ::

Sam se sploh nikoli ne povezujem na Siol irc streznike oz kakrsne koli slovenske irc serverje, tako da to je bullshit! V procesih je laufal mirc.exe, pred ponovnim zagonom 3x, sem pa imel namrec vse zaprto. Torej background procesi. Prej nisem imel FW zato tega nisem opazil. Svnj*!;(( Tudi v netstats sem opazil aktivne povezave na moj IP s tega poseidon.siol.net pred namestitvijo FW-ja.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Sergio ::

Tilen: Spusti firewall da se konekta, vmes vrzi Ethereal, filtriraj prometi na 6667, poberi kanal & kljuc, na katerega se stvar konekta.

Might prove useful.

Ce rabis kaksno pomoc s tem, mirno povej, ti bomo pomagali.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

BigWhale ::

Preveri se, ce je to res mirc.exe, da jih nimas vec na disku... ;)

And for christ sake, use xchat... ;>

Sergio ::

BW: Tilen ma point.

Pazi:

Pejt na poseidon.siol.net irc server in joinej #udbaII

Interesting? Ce se ne motim, so to ddos-droni.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

Sergio ::

#power tudi.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

Tilen ::

yeah... neki blablaMIRC32.exe.pf je bil v windows folderju. Vse odstranjeno tudi duplih mirc32.exe ni vec. Aktivna povezava na poseidon.siol.net pa je se vedno.



Takoj po rebootu.

Sergio, sem bil na tistem serverju ter kanalu, ki si ga napisal in ja tam je polno nekega sranja, najbrz bo tole.



Stanje na serverju. 8-O 8-O
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Tilen ::



Vse mu dam na deny pa se kr ga skonekta na irc. Noro. Sergio, zgleda da ves o cem se gre tukaj, a lahko kaj vec poves? Kaksen removal tool myaybe?

lp.
413120536c6f76656e696a612c20642e642e

Matek ::

Se enkrat :XXX, sam raje zbrisu svoj post. I'm blind & stupid. Ocitno so te res pohaxal. Samo podpis me rešuje.
Bolje ispasti glup nego iz aviona.

Sergio ::

Ne vem o cem se gre. Pojma nimam.

Poglej, ce je na tem kanalu (udbaII) kaksn drone, ki ima "tvoj" IP. (ne moras vedet ce je cisto tvoj, ker se maskirajo)

Ce je, si zadel kanal.

Ce ni, ti predlagam (kot sem ze), da si:

- instaliras Ethereal
- zapres vse svoje IRC kliente
- zacnes snifat outbound na port 6667


in pogledas, na kater kanal se je tvoj 'drone' konektal. Ce se je na #udbaII, potem si nasel zlodeja.

Ce ne, poglej na katerega, in povej kljuc.

Tako nekako.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

Tilen ::

Saj pa sem prilepil sliko. Tisto sem jaz, "oseba" ki sem jo whoisal. Drone je na #udbaII gor. Dvomim pa da bi tisti ki bi to delal tudi bil na kanalu. Ce pa ze pa bi bil tudi maskiran v "drone" tako da bi zelo tezko vedel kdo to dela. A bi se dalo zdaj kako to osebo izslediti?
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

BigWhale ::

Hotel sem samo povedat, da naj pove, ce je mirc.exe, ki se zaganja dejansko tisti mirc.exe, ki se mora zagnati... Da ni kak 'hidden' process...

Sergio ::

Izsledit? Cakaj na kanalu, dokler nekdo ne rece nekaj v stilu '!ping' :)

Tistega cloveka isces.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

Tilen ::

Sergio, tudi ce ga najdem ima prekrit IP.
413120536c6f76656e696a612c20642e642e

BigWhale ::

Vdres v ta streznik, pa pregledas loge... ;)

Najvecji problem je to, da je vprasanje kako postopat v takem primeru... Ce gres na siol in potozis, potem oni povprasajo lokalnega sistemca kaj je s tem, on pa tacas pobrise loge in rece, da nic ne ve o tem... Da je to fake... ;>

Tilen ::

Sem ugotovil kdo je, celo ST kanal obiskuje na ircnetu >:D, kako sem pa prisel do tega pa bom opisal malo kasneje, zdaj mam druge reci za uredit ;)
413120536c6f76656e696a612c20642e642e

NiKeC ::

Meni se je isto zgodilo... Na ircu so enkrat naredili reklamo za nek SMS sender in sem pač iz radvednosti dol potegnil. Nakar se mi je samodejno začel odpirat cmd s ping komando in ostalo... Opazil sem mirc.exe...
Stvar je čisto enostavna: v C:\program files\ircnet (skrita mapa) je nameščen VNC server, in mirc.exe ki se ob zagonu konekta na forume siola...

Končaj proces mirc.exe, potem pa izbriši to mapo (mislim, da se mapa tak imenuje)

Tilen ::

Tocno tako... in tudi jaz sem downlowdal "sender" takrat... Real time scan ni takrat zaznal nobenih sumljivih fajlov v njem. In v tej mapi, ki si jo omenil tudi ne. Sem to ze vse uredil, z dodatkom, da sem jaz ugotovil, kdo je psoledicno ta oseba, ki to dela.

Preletel sem skozi z Nortonom 2005, Mcaffe 2005, F-prot, Kaspersky in nic nasel. Tudi ZA ni mogelč preprecit zagona tega programa. Situacijo sem resil z Sygate firewallom, ki mi je pokazal s katere mape se aplikacija izvrsuje. Bravo Sygate.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Sergio ::

To je pa .... Kdo?
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

Tilen ::

Sergio, to je Sky[X]

Povedal si mi, na katera 2 kanala naj grem na tistem siolovem serverju, sem sel in malo pobrskal. OSredotocil sem se na manjsi kanal #power, ki mi je dajal malo vec informacij kot tisti "uradni" ddos kanalcek. Tam sem npr zasledil:

Sky-24205
Sky-44126
Sky-49504
Sky-56780
Sky-75384
Sky-85649
Sky-93303
nicke in slucajno na ircnetu videl (celo na nasem kanalu) nick Sky[X], katerega sem whoisal in malo povezal zadeve.

IRCNET:


» Sky[X] (~SkyPower@212.118.77.248) [Numeric IP]
» ircname: ..:::SkyBotNet™:::..

Ce ta nick povezemo z omenjenim siol serverjem in kanalom #power , na katerih so nicki Sky-*** lahko sklepamo o povezavi. Zanimivo tudi, ko se je ta tema zacela malo bolj zivahno je ta kanal #power dobil +K (key required) in ni mogoce na omenjenem siolovem serverju vec dostopati do njega, dobro, da sem bil gor prej, takoj ko mi je Sergio omenil kanala.

212.118.77.248 pripada

inetnum: 212.118.64.0 - 212.118.95.255
org: ORG-PB4-RIPE
netname: SI-PERFTECH-990122
descr: PROVIDER
country: SI

Glede na to, sem svoje racunalo cisto brez veze poskeniral se za korenom preftech, in nasel v windows direktoriju sumljivo datoteko preftech.pf katero sem tudi potem izbrisal.

Torej, kaj vi menite? Je to, to ? >:D
413120536c6f76656e696a612c20642e642e

EjTi ::

Moreš na Perftech pisat. Pol oni lahko pogledajo verjteno.

Takim je treba internet odklopit - kar mu ga pomojem bodo, če je res to delal.

Zgodovina sprememb…

  • spremenil: EjTi ()

Sycroft ::

zanimivo.. ko sem tole prebiral sem za foro tudi jaz vklofal ukaz netstat... in cudno... tudi jaz imamo dve povezavi na poseidon.siol.net:http state pa je TIME WAIT... torej.. kaj to pomeni? (nimam pa nobenega firewalla na tem racunalniku ker sem priklopljen na firewall na drugi masini preko katere dostopam do interneta)... any ideas?8-O

Tilen ::

Zanimivo, nikjer nisem zasledil abuse maila za Preftech. Zasledil sem samo dvoje v whois DB:
uros.rezar@perftech.si,
root@perftech.si

Tudi tukaj ni nikjer naveden kaksen mail za abuse report.
413120536c6f76656e696a612c20642e642e

Tilen ::

Hja ce mas time wait ni neke panike, je pa vrjetnost da se ti ti fajli nahajajo na disku. Poglej sem:



ta folder je skrit, tak oda ce ga hoces videt si mores najprej nastavit v folder options, da ti kaze vse mape, tudi skrite.
413120536c6f76656e696a612c20642e642e

Sycroft ::

se opravicujem, prej sem brskal po siolovem forumu= poseidon.siol.net pa sem potem se enkrat zagnal netstat pa ni bilo vec tega not. samo prehitro sem se ustrasil:)

Tilen ::

Moreš na Perftech pisat. Pol oni lahko pogledajo verjteno.

Komu? Uradnega abuse report maila sploh nimajo? :\
413120536c6f76656e696a612c20642e642e

Tody ::

Joj joj joj... kok ste zabluzili... Slovenska firma Perftech oziroma S5.net nima veze z Prefetch folderjem ki ga imate v WinXP. link.

Zgodovina sprememb…

  • odbrisal: Tody ()

Tilen ::

Ja okey, pa druge stvari? Kolikor mi je znano, je 1x en nabijal po 400 klonov na ircu in je bil tudi iz Perftech omrezja, nakar so banali celotno *.255, ko se je tudi nekdo na forumu pritozeval potem. Res mi ze grejo na jetra.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

zile ::

Ker kmet ddosa SIOL....s pomočjo uporabikov. Upam da ga ujamejo in kaznujejo. Že cel teden siol šteka pomalo. Se mi zdi, da je v nedeljo cel DNS pokleknu za urco do dve...:\

Tody ::

za druge stvari pa itak pizderija :) Zato pa so izumili firewalle :)
Lahko si pa ogledaš kako se z tem spopadajo profesionalci ti si le orodje v ddos napadu.

Tilen ::

Saj tu je bilo isto, but i'm out now. Ostali pa se kr. Sprehodi se malo na poseidon.siol.net ter na kanal, ki ga Sergio omenil, pa bos videl koliko je taksnih "izbrancev" ;)

Pa sami slovenci gor oz SLO IP-ji.

Tody, profesionalci bi stvar naredili taksno, da jaz nebi mogel nikakor taksne povezave ustvarit, med enim in drugim. Saj vem, da so pocitnice, pa da je tecno, samo a je res treba basat ze itak zabasane serverje? Menda ja ne... :\
413120536c6f76656e696a612c20642e642e

Kami ::

zanimivo, zaj že ma vsaki drugi mulc ko nima kaj za delat to... lahko bi vsaj kaj bolj uporabnega delali...

kihc ::

Pomoje bi blo dobro tole napisat v novice, ziher ima velik delež slo-techa to inštalirano pa še ve ne zato ...
x

poweroff ::

Eh, kaj se razburjate. To pa ja ni nič takega.

"Jaz nimam nobenih porpavkov naloženih, nobenega antivirusa in nobenega firewalla, pa mi vse dela in nimam nobenih problemov" "Sam treba je pazit kaj klikaš, pa je"
"Windowsi so itak čisto kulj sistem, problem so glupi uporabniki, kar pa jaz nisem".

"Sicer pa itak nimam kaj za skrivat, oziroma na mašini nimam nič posebej vrednega, kar bi mi hekerji lahko ukradli".

Hehe, fantje... marsikdo je še pred kratkim pisal take komentarje.

STE ŠE VEDNO ENAKEGA MNENJA?

P. S. če se je na kanalu pojavil key, ga pač lepo posnifaš in prideš gor s key-em, ne?

Če bi bil kdo dovolj zloben, bi dal ukaz da se opa zdosa. >:D Sicer pa si preberite www.grc.net - o DOS napadu. Mogoče se bo kdo še česa naučil...
sudo poweroff

STASI ::

Malce si poglejte naslednjo topic na SIOL!
"WAR IS PEACE, FREEDOM IS SLAVERY, IGNORANCE IS STRENGTH"

abcčdefghijklmnoprsštuvzž

Tilen ::

Itak nebodo nic dobili odskodninskih morebitnih tozb pa se vsi bodo morali placat poloznice. Pomoje je tista pogodba (nisem je bral) sestavljena tako kot EULA za Windows. IN ko ti podpises, je kot da bi samo next next klikal. >:D
413120536c6f76656e696a612c20642e642e

goba ::

Zgodovina sprememb…

  • spremenilo: goba ()

SkyX ::

Vsi smo bli froci nekoč a zdj smo odrasli in delamo ravno v nasprotni smeri 8-)

OmegaBlue ::

Dobrodošel v 2 leti staro temo.
Never attribute to malice that which can be adequately explained by stupidity.

Nejc Pintar ::

Poglej username:)
Lahko je biti prvi, če si edini!

BigWhale ::

Res smo bili otroci ampak eni smo imeli na glavi bel klobuk... ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IRC server [irc.arnes.si] NI POVEZAVE (strani: 1 2 )

Oddelek: Omrežja in internet
658377 (4124) D3m
»

Slo-tech na mIRC-u!

Oddelek: Slo-Tech
443345 (2309) CaqKa
»

IRC freaki

Oddelek: Omrežja in internet
181340 (1045) NetCom
»

Scripting v IRCu

Oddelek: Programiranje
5827 (724) Sergio
»

WinXP & Firewall -> irc?

Oddelek: Omrežja in internet
81274 (1166) SLO-Security

Več podobnih tem