Még néhány kiegészítés: a hamis BOirtók pontos neve bosniffer.exe vagy bosniffer.zip. Minden infót megtalaláltok a Back Orifice-el kapcsolatban a http://www.nwinternet.com/~pchelp/bo/bo.html címen.
Február 19-n megjelent a Netbus 2.0, default módban NbSvr.exe a server neve és a 20034 TCP portot használja. De mondom ez a default.
A registryben HKEY_CURRENT_USER\NetbusServer\General\TCPport alat található.
Ezen kívül a HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\Current Version\Run Services tartalmaz egy NetBus Server Pro nevű filet.
Sziasztok,
en úgy tudom hogy pontosabban a RunServices-ben tartózkodik a bűnös .exe. Ezenkívül kell hogy legyen a C:/Windows/System -ben egy .exe, default-ból 124 Kb, lehet több is, kevesebb nem.
Még néhány kiegészítés:
A BO nem vírus (ezt már mondtátok), hanem backdoor.
NT-n nem működik, viszont a Netbus igen, ami nagyon hasonló a BOhoz, csak a 12345 vagy 12346 portokat használja. Régebbi is mint a BO, létezik 1.53 és 1.60x. A server általában SysEdit.exe név alatt fut, KeyHook.dll kíséri.
BOirtók veszélyesek, csak a tutit töltsétek le, a BOirtóként reklámozott progik egy része (BOsniffer.exe pl.) maga a BO.
A firewallt ajánlanám feltenni, én az itthoni gépemen szápos BOpinget kapok naponta.
Röhej viszont reklámnak nevezni azt h a dzsekk ideirta a cDc URL-t, egyrészt mert igen ismert site-ról van szó, másrészt meg aki keresi nyilván nem innen fogja megtudni.
Becslések szerint a BOt megjelenése óta kb. 100ezren töltötték le, úgyhogy kéretik nem alábecsülni a dolgot :).
üdv, kenyai
Szia,
Win 98 alatt a system szintu autorun proggik listaja a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Egyeb helyre is beferkozhetez a kullnacs, de ez a legfontosabb, ami azert kell, hogy bootolás után elinduljon.
Szerintem annak, aki bekap egy boserve-t, ez sem fog feltűnni. :)))
Talán ha arról a readme.txt-ról kitennénk egy shortcut-ot az asztalra...
De szerintem még ígyse szedné le. Egyszer volt egy esetem: Egy fickónak feltettem egy boserve-t, aztán system msg-ekben meg irc-en megüzentem neki milyen bajban van, elmagyaráztam neki, hogy tudja kiszedni a regystryből a bejegyzést, megadtam neki az URL-t, ahonnan a bodetect-et letöltheti, és mindenféle látványos dolgokat műveltem.
Aztán két hét múlva küldtem rá egy bo-pinget: Még mindig rajta volt!!!
Ja, a figura egyébként informatikus volt.
Úgyhogy inkább kiszedtem neki a regisrtyből kézzel a BO-t.
Na akkor javaslok valamit, amivel csökkenthetjük a BO használatával okozott károkat.
Akinek van rá lehetősége, tapadjon rá a BO-ra, és ha talál egy fertőzött gépet, nyisson rajta egy READ ME! nevű directoryt, aztán egy readme.txt fájlt küldjön rá, amiben figyelmezteti a naiv felhasználót, hogy a gépén Boserver fut.
Egyben javasoljon egy-két URL-t, ahol BO-irtó progikat találhat az illető.
(Esetleg rá is küldheti a gépre a NOBO-t, csak kérdéses, hogy ezután a juzer el meri-e indítani.)
A végén nem árt egy RESET, hogy az emberke felfigyeljen a dolgokra.
Sajnos MS kérdésekben indulatos vagyok mivel nekem is rendesen meggyűlik vele a bajom.
Amiket bnoplwk2 említ azok konzekvensen nálam is elôfordulnak. Ha Windows terméket használok akkor csak brutális módszerekkel lehet kivédeni a lehetséges hibákat, 5 - szörös idôráfordítással. Unixban két soros script megoldja azt a feladatot amihez a windóznak tucatszám kell letölteni a shareware programokat - ezeket kipróbálni addig nem tudod, amíg nincs meg a hozzáírott crack - nyolc tíz program kutyul a gépeden - természetesen csak admin jogokkal fut bármi.
Legbosszantóbb hogy ezek a vacakolások viszik el az idômet, ahelyett hogy inkább a Unixal foglalkoznék többet. A legutóbbi szórakozásomról tettem a "Szoftver-szégyenfal-mit ne vegyünk meg?" c. topikba egy szöveget. Jellemzôen a lamerek eszik a windogos csicsa progikat, a szoftvercégek, portálok zöme kimondottan ezekre specializálódik. Jó, persze én meg belôlük élek, viszont kurvára idegesítô hogy a szakmámban egyszerűen leállt a fejlôdés, ellenben minenhol arról pofáznak hogy ez informatikai forradalom.
Lényeg viszont: a felhasználóknak kezd végre leesni a tantusz hogy a szar még ingyen is drága, nem még ha fizetni kell érte.
Ha egy BO szivatja a fél világot akkor - remélem - felgyorsul ez a folyamat.
Én mindenkinek a linuxot ajánlanám. Otthonra is. Van rá egy nagyon jó kis utility, a fakebo, amivel uzeneteket lehet kuldeni a bo-val probalkozoknak, vagy a megfelelo ping-pattern elkuldesevel akar a modemjuket is ki lehet akasztani, ha az kelloen gagyi.
opi!
Nem vagyok Ragika, kikérem magamnak!
Az egész mindössze amiatt van, hogy érzem a tavaszt, ma egy kicsit hülye vagyok, és ezt most itt élem ki.
Mindenkinek bocs, holnaptól igyekszem kulturáltan viselkedni.
:-]]
Egyébként ez nem KOCKATOPIC , hanem a netező társadalom figyelemfelkeltése a rájuk leselkedő gaz kalózokra. :))) Mindenki beszophat egy trójai falovat.
2. Azért a felhasználóért is van. Én pl. amikor "rosszalkodtam", azért tettem fel mindig pass-t, hogy a szerencsétlen ne legyen kitéve minden destruktív f*szfejnek.
1. Erre valo a Bo ping. Szepen scanneled a gepet, es lam valahol egyszer csak van egy open port es valaszol neked a boserve.
2.Az esetek 99%-aban nem kell pass. A maradekban meg kozismert. A boserve a hackerer van es nem a felhasznaloer
Egyebkent a boserve a gepeken a 31337 es portra harap az esetek donto tobbsegeben. A deadcow nem egy tul bonyor proggi. De en mar talalkoztam mives darabbal is ami pl egyszerre 64 porton fulel. Ez is word makroban gyutt [azt mar csak csnedben merem leirni, hogy az ITU site-jarol letoltott doksi volt], nem baj NAAV4 lefulelte.
Szegeny lama nem rakta sehova, legalabbis nem akarta, asse tudggya eszik-e vagy isszak, o csak egy bolcsesz vagy orvos vagy filozofus...;-)))
Gyerekek egyebkent megerdemeljuk a Microsoft-ot :DD Multkor az NT terminal serveren browse-oltam egy word doksit es mikor kileptem belole jott a Do You want to save changes ? Okeztattam hogy meg legyen az orome. Mikor megnyitottam 80K volt a file., mikor bezartam 1.2Mega. Mondom azanyad. Betoltom a Midnight Commander hexa view-jebe, mit tesz Isten tudjatok mi volt benne ? - nem fogjatok kitalalni, hat a password RAM cache tartalma. Nem kell ide exploit gyerekek....
Minden valamire való vírusírtó ismeri a BO-t (Mivel ez a legnépszerűbb trojan horse) Egyébként csuda jó kis dolgokat tud ez a kis exploit, annakidején, amikor nagy sláger volt, tavaly nyáron (mea culpa) én is szórakozgattam vele, de csak poénos dolgokra használtam (system msg-ek, process-indítások stb.) Na meg volt, hogy a szegény ámuló páciensnek elküldtem dcc-n egy screenshotot az egy perccel azelőtti display-éről. De már leszoktam róla, ami logineket meg összegyűjtöttem (napi 4-5-öt lazán össze lehetett akkoriban szedni ezzel a módszerrel), egyiket sem használom (csak biztonsági tartalék ;)
NT-júzereknek: ne parázzatok, csak win9x-en műxik a dolog.
bnoplwk2: Egyébként a BO-pinggel nem tudom mire mennek ezek a fickók.
1. Honnan tudják, milyen portra lett felrakva a boserve?
2. Honnan tudják a passt?
Vagy abban bíznak hogy valamelyik láma a default 31337-re rakta, pass nélkül?
Egyébként érdemes figyelni a www.rootshell.com site-ot annak, aki naprakész akar lenni az exploit-témában, és védekezni akar ellenük. Ott minden felmerült sec. hole-ról megemlékeznek. De nem ám rosszalkodni! ;>>>
Szerintem mindenki szépen ballagjon el a www.atguard.com címre, szépen töltse le az atgurad firewall program 30 napos próbaverzióját, telepítgesse fel, állítgassa be a legparanoiásabb lehetőségekkel és használja. A 30 napos lejárat problémája némi okosságokkal orvosolható. Ha segítség kell, akkor mail. Esetleg nézzen szét a "weblapomon". :)) Hehe...
Aztán, biztos ami biztos alapon szedje le a NOBO-t és a Nukegrabbert. Ja, és természetesen, mindenek előtt egy BOdetect proggit, amivel leellenőrizheti, hogy található-e a gépén "hátsó bejárat", és ha van akkor ezzel bezárható. Tudomásom szerint, ha ezek fenn vannak, jelen pillanatban nincs az a sulinetes ügyeske aki bejut a gépedre. Mint minden betegség esetén, itt is a megelőzés a legfontosabb.
JA ÉS MÉG VALAMI: AZ INFORMÁCIÓTA TERJESZTENI A VÉDEKEZÉS MÓDJÁVAL EGYÜTT!!! uGYANIS CSAK ÍGY LEHET VALAMENNYIRE GÁTAT VETNI A KISBUZIK PRÓBÁLKOZÁSÁNAK. Mindenkinek, ismerősnek, barátnak a figyelmét fel kell hívni a problémára. És főképp a védekezés, megelőzés és mentesítés módjaira.
Kérek minden hozzáértőt vizsgálja meg az Atguard nevű proggit, érdekelne, hogy valóban mekkora védelmet nyújt. Mi van például, ha valaki nem a default porton próbálkozik a BO-val? Ami ha jól tudom 31337.
A NAV4 ismeri a dead cow felet es irtja is. En a legtobb trojait Word doksiban kaptam. Nem egyet magyarorszagi hardvervigecek URL-jerol letoltve. Ezt en trehanysagnak tulajdonitom, nem szandekos rosszindulatnak.
Figyelem, jártasság: kösz, de mint írtam, kizárólag jogtiszta, eredeti CD-ről telepített programot használok. IRC-n nem fogadok el semmit ismeretlenektől (cukrosbácsik :-)) ismerősöktől is legfeljebb képeket.
Persze, hogy nem vírus, de a jobb vírusvédelmi rendszerek a Trojan Horse-okat is felismerik és figyelmeztetnek vagy hatástalanítják. A kérdésem arra vonatkozott, hogy a BO trójait felismerik-e? Én még nem találkoztam ugyanis vele.
A lábletörést illetve annak ellenzését gondolom nem nekem címezted... :-)
Egyébként nem tudom milyen alhálón vannak azok akiket percenként BO pingelnek, nálam erre iszonyatosan ritkán kerül sor. Lehet, hogy cégen belül szórakozik valaki veletek?
Az hogy egy ilyen progi feljuthat-e a gepre, az csak a felhasznalo figyelmen jartassagan mulik.
Pl: egyik haverom ugy szedte be, hogy "csak" IRC-zett. Vki kuldott neki DCC-n vmit, o meg elfogadta. Egyebkent sok helyen az IRC /mIRX,bitchx, stb/ be van allitva autoget-re: azaz kerdes nelkul elfogad mindent. Ugye nem kell emlegetni ez mekkora sec-hole?
A masik: ez a progi nem igazan nevezheto virusnak: a virus ugyanis olyan progi, amely kepes onmagat sokszorositani - a szerver ilyen verziojaval en meg nem talalkoztam.
Az viszont biztos, hogy sok esetben hozzafuzik vmilyen progihoz, igy mikor azt az ember elinditja, szep csendben magat is felrakja.
Egyet lehet tenni: idoben felrakni vmi pajzsot, aztan kesz.
Lehet probalkozni az emberek labanak eltoresevel, de altalaban tok folosleges. Ha vki hajlando esetleg emiatt leutazni az orszag masik vegebe...
Egyebkent a sulinetesek pont elkaphatok: a sulinetes gepek altalaban fix IP-cimmel mukodnek. Ugyhogy ha vki nagyon bosszut akar allni, lehet irni a helyi rendszergazdanak, hatha lep vmit.