» »

UPDATIS32.exe, psotnic, hideit...

UPDATIS32.exe, psotnic, hideit...

TRIROG ::

včeraj sem na računalniku ki mi dela 24 ur dnevno in imam instaliran na njem samo VNC z geslom, zdej ali mi je nekdo ugotovil geslo pri VNCju, ali pa mi je kako drugace prisel v sistem ... namreč inštaliral mi je irc bota,psotnic, z nickom w00tek ki se konekta na irc.arnes.si, in pa na IP naslov ki je registriran na mamut.clan.si, poleg tega mi je odinstaliral NOD32, in zagnal se je nek proces updatis32.exe, ki ga ne morem terminirat...ta updatis32.exe se poveže na isti ip mamut.clan.si ...
mašina laufa samo mulo in azureusa tako da razen tega da sem nekomu zastonj irc bota laufou ni blo škode ... sam mi je pa sumlivih ene par stvari, npr mam dinamičen IP naslov, kaj je ta updatis k se povezuje na mamut.clan.si, kako mi je instalirou lahko tega psotnica ...

razsvetlite me ...

OmegaBlue ::

Pred kratkim je bila varnostna luknja v RealVNC strežniku, ki je dovoljevala povezavo brez gesla. Če je človek slovenc (glede na tvoj opis), bi ga jaz tako z veseljem zašil da ni res. (ponavadi izgubijo internetno povezavo). Če se ti da matrat ti svetujem da namestiš ethereal (free packet sniffer). Namesti ga, izklopi VNC, izštekaj kabel in rebootaj. Ko prideš nazaj v sistem, poženi ethereal in začni zajemat potem pa priklopi mrežni kabel. Dobil boš na kateri kanal se povezuje in ključ kanala (če ga seveda ima). Potem se pridruži na kanal in opazuj kdo je lastnik, ko zbereš dovolj dokazov (logi TCP dump iz ethereal) lepo pošlji na abuse@ISP (od kršitelja seveda).

Glede varnosti takšne mašine pa bi bil zelo skeptičen, seveda če se ti ne da zezat z njemu priporočam format. Za VNC pa uporabljaj TightVNC.

LP

P.S.
Te lahko prosim za vzorec bota in tistega dodatnega programa s kakšnim config datotekami (po možnosti celotno mapo kjer je?). Če bi mi dal datoteke v RAR ali ZIP z geslom "virus" in poslal na virus@ovca.be. Zelo rad bi se poigral s tem tipom. (naravna alergija)
Never attribute to malice that which can be adequately explained by stupidity.

Zgodovina sprememb…

TRIROG ::

bom pogledal če še imam zadevo ... mislim da sem brisal z shift delete ... žal je bil config enkriptiran ... sem pa dobil na irc.arnes.si se vedno whowas info ...

Malkec ::

Ja, to je bila velika varnostna luknja v vnc-ju. Imel je zelo lahko delo, ker je imel popolen nadzor tvojega računalnika. Inštaliral je enako kot da bi na svojem računalniku, saj je imel remote desktop dostop.
Je pa zanimivo, da sploh to ni prikrito naredil. Kako pa se je imenoval psotnic proces? Zgleda da je to bilo delo amaterja. Nisem pa še slišal da bi psotnic delal na dynamic ip mašinah 8-O

EDIT: Ti je slučajno še inštaliral cygwin?
/* Xaser 3 * 939 dual sata 2 * Opti165 (ccb1e0608mpmw) @2933 MHZ*/
/*TT 120 * X800 XL *1GB Transcend pc 3200 * MAxtor 160 GB SATA II /

Zgodovina sprememb…

  • spremenil: Malkec ()

TRIROG ::

cygwin? ne vem ... psotnica je probal prikriti z hideit sam ta pa pusti ikonico v trayju ... tako sem ga tudi odkril ... ROFL ...
ma sej ...

para! ::

AFAIK psotnic sploh ne dela na win32, torej je moral namestit še cygwin?

lp
Death before dishonor!

TRIROG ::

dela dela pa še kako dela ... k sm vpisal samo psotnic je delal bp ... sicer pa že vidm ... format vabi

BlazP ::

Vdor v tuje informacijske sisteme je kaznivo dejanje. Lahko napises prijavo svojemu ISPju in zelo velika verjetnost je, da je ne bojo ignorirali;)

TRIROG ::

bom kr tih ... mam masino polno torrentov pa mule ... :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Analiza vdora v Ubuntu strežnik

Oddelek: Novice / Varnost
224580 (2764) kekz
»

mIRCev DCC, in eggdrop (windrop)

Oddelek: Pomoč in nasveti
81040 (907) Mikron
»

Irc Boti

Oddelek: Programska oprema
71027 (914) ;-)
»

SLO ircNET serverji?! (strani: 1 2 )

Oddelek: Omrežja in internet
656140 (5519) volkec
»

Rabim par informacij glede telneta?

Oddelek: Omrežja in internet
121759 (1656) Lio

Več podobnih tem