Indice: [BD-INTRO] Plotone di esecuzione [BD-GEN-01] Scoprire trojan e bd in generale. [BD-NB-01] Come mi accorgo di Netbus? [BD-NB-02] Come si toglie Netbus? [BD-NB-03] E' possibile impostare il file Server senza essere gia' sulla macchina remota? [BD-NB-04] Si puo', a chi usa NetBus, far vedere solo quel che voglio io? [BD-NB-05] Corro rischi ad usare Netbuster per beccare intrusi? [BD-NB-06] E' possibile bypassare la password di NetBus??? [BD-NB-07] A chi volesse contrattaccare a una connessione Netbus. [BD-NB-08] Come funziona il tasto "port redirect" di Netbus 1.70? [BD-BO-01] Cos'e' Back Orifice (BO)? [BD-BO-02] Infettare con il Bo [BD-BO-03] Cosa si fa con BO. [BD-BO-04] Come faccio a sapere se ho il Bo? [BD-BO-05] Ho scoperto di avere Bo, come lo tolgo? [BD-BO-06] Ma il file windll.dll non e' un file di sistema di Windows? [BD-BO-07] Come possono interagire telnet e BO? [BD-BO-08] Se ho il client di una backdoor, la mia vittima potrebbe a sua volta entrarmi nel computer? [BD-BO-09] Ho messo sotto controllo la porta 31337. Sono al sicuro? [BD-BO-10] Back Orifice - Server: configurazione ed installazione [BD-BO-11] Esistono dei programmi che simulano Bo? [BD-BO-12] E' possibile sfruttare nella direzione opposta la "connessione" da parte di un BoClient? [BD-BO-13] Esiste la versione Mac di BO? [BD-TC-01] Come si toglie TeleCommando? [BD-INTRO] Plotone di esecuzione ...ovvero, in quanti cavolo di modi si puo' fare eseguire la classica backdoor in esecuzione di Windows. Un tizio se lo domandava su ICSW e scommetto che non si aspetta quel che gli sta per capitare. +++ Premetto che personalmente ritengo Windows *LA* chiavica, in fatto di sicurezza (95 e 98; NT e' un'altra cosa, e lascia solo a desiderare). +++ Comunque, limitandosi ai punti accessibili al classico skript kid... ...all'avvio, per prima cosa Windows esegue un file batch, ammesso lo trovi, C:\WINDOWS\WINSTART.BAT ed e' relativamente semplice inserire in questo file istruzioni utili per reinstallare una backdoor nei punti che descrivero' piu' sotto. E per questo puo' essere utile creare questo file, scriverci dentro una sola riga, @ECHO OFF e poi renderlo READ ONLY. Eventuali scripts che tentino di crearlo in modo "bovino", senza verificare che esista e sia scrivibile (dato che di solito non esiste), falliranno miseramente. Poi, parte Windows, e va a leggersi il registro. E qui dentro ci sono alcune chiavi utili, leggibili con REGEDIT: HKLM\Software\Microsoft\Windows\CurrentVersion\Run* contenenti coppie di valori del tipo Servizio = "C:\PATH\DEL\PROGRAMMA\ESEGUIBILE.EXE /Parametri" ...alcuni di questi servizi ci devono stare (Systray, Regmon, TweakUI e molti altri, compresi antivirus e simili). Altri... no. Ma vista la quantita' di possibili servizi, che ci sono, l'unica e' usare il buon senso. Raramente una backdoor si installa in directories che Windows, di serie, non ha (che so: C:\NORTON\ANTIVIRUS\BIN, o cose simili). Di solito sono predilette C:\, C:\WINDOWS\, C:\WINDOWS\SYSTEM, PROGRAMMI e ACCESSORI. Per alcune macro, le directories di Office o Documenti. Fatto questo, non siamo ancora al sicuro. Ci sono due files, apribili con il programma SYSEDIT: WIN.INI e SYSTEM.INI. Dentro WIN.INI troviamo due chiavi load= run= che per quanto ci riguarda sono equivalenti. Di solito sono vuote, ma a volte caricano programmi (es. WPSHRC se avete una laser TiML/4). Ho anche provato a caricare un file " " (fra virgolette c'e' un ALT 255) e Notepad non vede niente, ma Windows esegue il file. Un metodo forse creativo di nascondere una backdoor... che tra l'altro non riuscirete a cancellare da Windows, anche se non e' in uso (da DOS, si'). Nel file SYSTEM.INI ci sono dozzine di hooks per backdoors. Questo e' il mio personale SYSTEM.INI: system.drv=system.drv drivers=mmsystem.dll power.drv user.exe=user.exe gdi.exe=gdi.exe sound.drv=mmsound.drv dibeng.drv=dibeng.dll comm.drv=comm.drv shell=Explorer.exe keyboard.drv=keyboard.drv 386Grabber=vgafull.3gr display.drv=pnpdrvr.drv mouse.drv=mouse.drv ...ora CIASCUNO dei files citati dopo il segno di "=" e' eseguibile, e viene caricato ed attivato da Windows. E' facilissimo per un virus writer scriversi un "Exploder.exe", modificare la riga di shell in shell=Exploder.exe e poi fare in modo che Exploder.exe richiami Explorer.exe. Questa e' la tattica "companion". Ne' pensate di potervi fidare del mouse.drv! In questi casi conviene marcare READ ONLY i files in questione, fare una copia su floppy o su una directory fuori mano (C:\DOS\DRIVERS) e usare una utilita' di compare, come FCHECK32 (da VOLFTP). Siamo arrivati? Macche'. Rimane ancora la directory di auto-avvio, e tra le altre cose: chi vi dice che sia quella? Perche' nel registry, volendo, si cerca la chiave Startup= in HKCU\Soft...\Micro...\Wind...\Curr...\Explorer\Shell Folders e anziche' C:\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica ci si scrive dentro C:\WINDOWS\INF\BACKDOOR poi dentro BACKDOOR ci si mette un link a MyBackDoor, che apre tutto il folder "Esecuzione automatica" e ne esegue il contenuto... cosi', l'utente non si accorge di niente, e intanto fa la fine del principe Gargiulo. Quanto al doppio click sull'icona: molte sono links. E quando si da' di click su un link, che e' un file .LNK, che e' un app/lnkfile. Ma, se NON FOSSE un lnkfile? Se in REGEDIT cambio Predefinito="lnkfile" in Predefinito="inifile" clicco sull'icona di WinZip sul desktop, e mi si apre Notepad. Cosi' me ne accorgo. Ma se si aprisse un altro programma, che fa il suo, e poi passa la palla al link, non mi accorgerei di nulla; disinfetto e ripulisco il sistema, e al primo doppio clic ZAC ricompare il guaio, oppure non funziona piu' il doppio clic perche' ho ucciso l'handler. E' finita qui? Non scherziamo. Windows e' un sistema flessibile: che e' come dire che tappare _tutte_ le falle e' come cercare di fare il nodo a un pitone. Si perde tempo, e il pitone si incazza. Le associazioni traditrici sono centinaia - che dico? Decine!, e non abbiamo ancora toccato le schedulazioni dell'Agente di Sistema, o lo screen saver, o i links nei file .HLP, o gli hooks di Task Manager e un'altra ventina di sistemi banali che non vi dico, perche' sono una persona cattiva dentro :-) +++ La morale e', che e' sempre bene avere dei backups aggiornati, e far attenzione, MOLTISSIMA attenzione!, a quello che entra nel PC. Visto che una volta che c'e' entrato, e' difficile far uscire un programma determinato a rimanere. Io ho dovuto addirittura montare Linux :-) Leonardo P.S. Il primo che quota kilate di messaggio in risposta ricevera' in regalo l'opera omnia sulle backdoors via email, ma NON nel modo che forse preferirebbe. Ed evitate anche di postare kilate di messaggi a nome del tizio che v'ha soffiato la tipa, che anche questa e' roba vista B-) *** (C) LeoSerni *** [BD-GEN-01] Scoprire trojan e bd in generale. Un metodo applicabile a questo tipo di trojan client-server e' quello di installare il client e di provare a contattare il server, dando l'indirizzo IP 127.0.0.1, che corrisponde appunto alla macchina locale (localhost). Se il client ottiene una risposta, avete trovato il server che andra' rimosso prontamente. --------========******** N E T B U S ********========-------- [BD-NB-01] Come mi accorgo di Netbus? Il file sysedit.exe nella directory C:\\System e' di 20k. Se invece e' grande ~400k e' il server di Netbus. Attenzione anche a file di nome patch.exe, splat1.exe o contascatti.exe e persino explore.exe, diverse versioni del trojan possono essere in uno di questi! Riconoscimento: il client ha di solito un'icona che raffigura un ingranaggio grigio. Il server invece ha un'icona fatta a torcia su sfondo blu, ma dipende dalla versione che si ha: a seconda del compilatore che hanno usato, infatti, l'icona cambia. Per esempio il patch ha la spada, il sysedit l'ingranaggio, ma la versione precedente e' quella piu' utilizzata come server essendo apparsa prima (non tutti hanno aggiornato!). Un file accessorio, che invece NON fa assolutamente parte di Windows, e' keyhook.dll, il cui scopo e' di intercettare i caratteri digitati sulla tastiera. NB: Il programma sysedit.exe di 20k e' un'utility di windows (grafica Win 3.1) che fa partire gli editor dei vari autoexec.bat, system.ini ecc. [BD-NB-02] Come si toglie Netbus? ================ citazione by Giulio ============ La versione 1.53 presenta gravi bug, come ad esempio l'impossibilita' di rimuoverlo attraverso il pulsante di server admin (server admin --->remove server). In questo caso convinene eliminarlo manualmente. In tutti gli altri casi basta avere Netbus versione client e cliccare appunto su server admin e selezionare remove server. Questo dopo essersi collegati all'indirizzo di localhost (127.0.0.1). Nel caso esista una password la ricerca di tale pass e' semplice. Si cerca nel registro di Win il nome del server (Patch oppure Explore) e si leggera' la pass scritta in chiaro alla voce settings. ================ end citazione ================== [BD-NB-03] E' possibile impostare il file Server in modo da essere subito invisibile senza il bisogno cioe' di essere sulla macchina remota x farlo? No. [BD-NB-04] Si puo', a chi usa NetBus, far vedere solo quel che voglio io? Si', con un programma chiamato NetBuster, che simula il server netbus dando l'illusione di essere dentro un sistema. In realta' quello che vedi e che fai e' solo un illusione, l'attaccante sta solo vedendo e facendo cio' che vuole NetBuster, che in quel momento sta monitorando tutto quel che avviene scrivendo le azioni compiute in un file log insieme all'ip e ad altri dati. L'indirizzo e': http://fly.to/netbuster E' possibile configurare il programma in modo tale che i lamers pensino che sia un vero NetBus. [BD-NB-05] Corro rischi ad usare Netbuster per beccare intrusi? Con il Netbuster basta un PortFuck (SYN flood) sulla porta 12345 per avere il sistema bloccato. Per la precisione, Portfuck e' un programma DoS usato per floodare porte TCP aperte. E' simile ad un flood SYN. Il suo uso principale e' bloccare servizi come Telnet o FTP. In pratica Portfuck stabilisce molte connessioni ad un'unica porta TCP di un host remoto. Stabilita una connessione, essa viene chiusa immediatamente e ne viene aperta un'altra. Esistono addirittura dei programmi che sono fatti apposta per causare errori critici a Netbuster. Dopo tale attacco il netbuster si blocca, con un effettivo rischio per la stabilita' del sistema. Anche BoSpY puo' essere bloccato inviandogli pacchetti UDP molto grandi. [BD-NB-06] E' possibile bypassare la password di NetBus??? Fai un copia-incolla con queste stringhe: Password;1,Password poi premi return, ti appare scritto Access;1.60 ServerPwd;Password in questo modo setti la pass del netbus su "Password"; poi dal client del netbus, quando ti appare la richiesta inserimento password, metti quella pass li'. Naturalmente la parola Password dopo ServerPwd e' indicativa e la puoi cambiare a piacimento. Da questo momento puoi usare il client nel modo che vuoi. Si rinnova qui il consiglio, di non fare la carogna, e di limitarsi a mandare avvertimenti. [BD-NB-07] A chi volesse contrattaccare a una connessione Netbus. 1) mandare la stringa con winsock1.sendata("Netbus Server 1.70" & vbCrLf) all'evento winsock1_request connection(). => Il client penserà di essere connesso. 2) mandare al client con winsock1.sendata("Info;messaggio" & vbCrLf) n volte (mettendolo in un ciclo for). => nel momento della connessione il client riceverebbe n msgbox con scritto "messaggio". 3) a voi tutte le modifiche necessarie (flood, colloqui diretti, frasi per sfottere con tanto di valore di ritorno del bottone del msgbox premuto... etc)! Il mio è un consiglio... non offenderti :-P *** (C) ??? - se mi leggi e vuoi essere citato qui, scrivimi *** [BD-NB-08] Come funziona il tasto "port redirect" di Netbus 1.70? In pratica, collegandoti su victimhost:port, e' come se ti collegassi ad un otherhost:otherport... l'altro host vede la vittima, non te. Esempio: PC1 -------------> Netbus -------------> mail.tin.it Tu ti colleghi al NetBus, gli dici di ridirigere la porta 25 sulla porta 25 di mail.tin.it, e metti l'indirizzo della vittima di NetBus come SMTP server in Eudora. Parte Eudora e ti scarica la tua posta da mail.tin.it, pero' se qualcuno domandasse mai a TIN: "Chi ha scaricato la posta?", TIN darebbe l'IP del malcapitato. (A parte il fatto che mi sono intrecciato, SMTP e 25 si riferiscono alla TRASMISSIONE di posta, non alla sua RICEZIONE... in pratica non scarichi la posta di nessuno col 25, pero' puoi fare mailbombing anonimo). *** (C) Leonardo Serni *** [BD-NB-09] Che gradi di visibilita' posso dare al server di Netbus? Ci sono varie opzioni di visibilita' del server: 1)fully visible client: cannot connect telnet: cannot connect netstat: niente server: attivo in memoria ----- 2)minimize as trayicon client: cannot connect telnet: cannot connect netstat: niente server: non attivo in memoria -------- 3)only in tasklist client: connected telnet: connected netstat: 20034 ---------------- 4)invisible client: connected telnet: connected netstat: 20034 server: non visibile nella tasklist --------========******** B A C K O R I F I C E ********========-------- [BD-BO-01] Cos'e' Back Orifice (BO)? E' un programma cosiddetto trojan, che permette intrusioni indesiderate nel proprio computer. BO e' l'acronimo di Back Orifice, nome che irride il prodotto Back Office di Microsoft, oltre ad essere molto esplicito sulla parte del corpo che duole dopo esserselo installato :-))). Esso si compone di un client e di un server, quest'ultimo dev'essere installato sul computer della vittima, dopodiche' il client permette al "buon samaritano" che lo possiede, e a chiunque abbia il client installato, di compiere varie operazioni sul computer "boservizzato" (viene indicato in questo modo un computer che abbia installato il server). Le operazioni possono essere le piu' svariate, dal trasferimento di file all'esecuzione di programmi, alla lettura di informazioni contenute nei dischi (fissi, cd-rom, zip, ...). Bo fa parte della categoria delle backdoor. In effetti, nel sito Web dei creatori di Back Orifice (il gruppo Cult of the Dead Cow, http://www.cultdeadcow.com), esso e' definito come un programma di controllo a distanza. Da notare che esso funziona perfettamente sia sotto Windows 95 che sotto Windows 98, mentre non se ne conosce ancora una versione per Windows NT. [BD-BO-02] Infettare con il Bo Il veicolo di trasmissione di Bo e' un programma chiamato SilkRope. Esso incapsula il server di Bo in un altro programma in maniera apparentemente invisibile, a meno di non aprirlo con un editor, e lo installa quando il programma viene eseguito (ecco il parallelo col Cavallo di Troia). E' questa caratteristica che giustifica il fatto di considerare Back Orifice un trojan, oltre che una backdoor. [BD-BO-03] Cosa si fa con BO. E' possibile eseguire operazioni remote sul computer boservizzato come se si stesse operando direttamente su di esso. Bo mette in grado il suo utilizzatore anche di conoscere eventuali password digitate, intercettando la tastiera (funzione svolta dal file windll.dll). Si puo' anche aprire la porta 23 (telnet) sul PC boservizzato. In tal caso e' possibile avere una shell sul computer della vittima, proprio come se si telnettasse su sistemi Unix, utilizzando pero' in questo caso il command.com del DOS invece delle shell Unix come bash. [BD-BO-04] Come faccio a sapere se ho il Bo? Di certo non leggendo la finestra che appare premendo CTRL-ALT-DEL. Bo usa una funzione dell'API di Windows che serve a nascondere il processo che la chiama. "Nascondere" vuol dire appunto che non si vede nella taskbar ne' nella finestra che appare premendo CTRL-ALT-DEL. Mentre si e' in linea, aprite una finestra DOS e lanciate il comando netstat -na. Questo mostrera' tutte le connessioni attive in quel momento (aggiungere un numero per specificare un controllo periodico ogni secondi): se fra esse ce n'e' una sulla porta 31337, e' lui! Questo non esaurisce l'argomento, dato che la porta e' configurabile e quindi puo' essere cambiata da chi tenta di introdursi nelle macchine altrui. Naturalmente l'infame puo' decidere di manifestarsi apertamente, con messaggi pop-up, e in tal caso non c'e' dubbio. Un programma utile al controllo e' AVP System Watcher (http://www.avp.it, freeware), che controlla il sistema alla ricerca di BO. Antigen è un altro programma per eliminare il Boserve nella forma di default. In ogni caso, anche se il Boserve che vi siete ritrovati sull'HD ha nome e porta di comunicazione differenti, Antigen non riesce a rimuoverlo ma vi rivela comunque la sua presenza e lo disattiva sino al seguente reboot (non riesce a cancellare l'exe del bo in versione non default e la seguente chiamata dal registro di Win). [BD-BO-05] Ho scoperto di avere Bo, come lo tolgo? Si puo' fare anche a mano. Cercare e cancellare i file " .exe" (si', il nome del file e' uno spazio) e windll.dll. Il primo e' il server vero e proprio. Cercare comunque la stringa "bofilemap" nell'hard disk e' piu' sicuro, dato che il nome del server puo' essere variato. Andare nel Registro di Windows alle chiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices dove sono i programmi lanciati all'avvio. Cancellare da tale chiave qualunque cosa non sia di "sicura" provenienza (esempi di applicazioni "sicure" sono la Barra di Office, antivirus, demone ICQ, ...). Controllare anche HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce [BD-BO-06] Ma il file windll.dll non e' un file di sistema di Windows? No. Il file windll.dll viene creato dal boserve.exe quando viene eseguito la prima volta. Attenzione che il fatto di non averlo puo' non essere significativo: il nome di questo file puo' essere facilmente modificato all'interno del file boserve.exe usando un editor esadecimale. AVP System Watcher, quando deve rimuovere la dll creata dal BO, prevede questa possibilita' ed e' in grado di eliminarla anche se ha un altro nome. [BD-BO-07] Come possono interagire telnet e BO? Per quanto riguarda una sessione telnet, la si può aprire, ma dal client Bo. Il comando è App Add, si deve scrivere nella finestra exe.location Command.com e scegliere una porta a piacere come listen port. Poi si fa telnet all'indirizzo ip target sulla porta appena scelta... E' una vera e propria shell. Per quanto riguarda invece il comunicare col server del BO tramite telnet, cioe' collegarsi alla sua 31337 (o qualunque altra porta abbia configurato) con telnet, non si puo' fare. Il motivo e' che BO usa UDP, mentre telnet usa TCP. [BD-BO-08] Se ho il client di una backdoor, la mia vittima potrebbe a sua volta entrarmi nel computer? No. Il BOGUI non "interpreta" e non "esegue" quello che gli arriva dalla porta che tiene aperta. Pero' vuole un pacchetto UDP onesto, questo si'. Se su quella porta arriva un nuke - BOGUI e' li' a pigliarselo. Non puoi neanche usare NukeNabber... perche' altrimenti non funzionerebbe piu' il BOGUI! 8-) Leonardo [BD-BO-09] Ho messo sotto controllo la porta 31337. Sono al sicuro? Non direi. Pe default, il BO apre in listening una sola porta TCP/UDP: la 31337 (in realta' sono due, dal momento che le porte TCP sono diverse da quelle UDP, anche se hanno lo stesso indirizzo). Volendo e' possibile impedire/monitorare il flusso di dati da certe porte, i firewall servono proprio a questo (ad es., Conseal o Green Dog). Il problema e' che il BO puo' essere configurato per "ascoltare" anche da porte diverse da quella di default. (P.Monti) [BD-BO-10] Back Orifice - Server: configurazione ed installazione *** Nota: questo paragrafo non vuole essere un incitamento alla boserverizzazione dei computer altrui. Dato che e' comunque bene conoscere i propri nemici per poterli meglio sconfiggere, l'ho ugualmente inserito nella FAQ. Potrete fare cosi' degli esperimenti sul vostro PC (utilizzando l'indirizzo 127.0.0.1 sul BoClient) o su quello di un vostro amico CONSENZIENTE ed INFORMATO DI TUTTI I PERICOLI, che verra' IMMEDIATAMENTE RIPULITO DAL SERVER al termine degli esperimenti. *** Il server Back Orifice si puo' installare semplicemente lanciando il file boserve.exe; una volta avviato, questo file copia il server (vero e proprio) nella directory SYSTEM di Windows 95, aggiunge una chiave nel registro di configurazione ed infine si cancella dalla directory da cui e' stato lanciato. Il BO server può essere configurato (prima di essere installato) per impostare il nome dell'eseguibile del server, la porta su cui deve ascoltare, la password, etc. ma funziona anche senza una particolare configurazione utilizzando le seguenti impostazioni di default: Nome eseguibile del server: " .exe" .exe Porta: "31337" Password: (nessuna) Per configurarlo, invece, va usata l'utility boconfig.exe nel seguente modo: Dopo aver estratto il pacchetto BO in una directory, dal prompt di MS-DOS, posizionarsi in questa directory e digitare: boconfig boserve.exe [Invio] Ora viene chiesto di specificare le varie opzioni di configurazione: Prompt di MS-DOS C:\bo>boconfig boserve.exe BOConfig 1.0 - Configures execution options for a Back Orifice server Runtime executable name: (does not necessarily have to end in .exe) server.exe Exe description in registry: ServerBO Server port: 12345 Encryption password: my_passwd Default plugin to run on startup: my_plugin.dll:_start Arguments for plugin: parametro1,parametro2 File to attach: freeze.exe Write file as: my_plugin.dll C:\bo> Runtime executable filename: e' il nome con cui verra' chiamato il file eseguibile del server; non e' necessario specificare l'estensione .exe, ma se non lo si fa, BO non la aggiunge automaticamente; Exe description in registry: e' il nome che si vuole dare alla chiave che verra' creata nel registro di Windows 95 per far si' che il server venga lanciato automaticamente ad ogni avvio del sistema. Questa chiave si trova in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Se non si specifica un nome, il riferimento al server verra' creato nella chiave "(Predefinito)"; Server port: e' la porta su cui sara' attivo il server; Encryption password: e' la password usata per la criptazione. Si puo' anche scegliere di non usarla, digitando semplicemente Invio; Default plugin to run on startup: qui va specificato un plugin da lanciare all'avvio. La sintassi e' la seguente: nome_plugin.dll:_funzione Per ulteriori informazioni riguardo i plugin di BO, leggi il file plugin.txt incluso nel pacchetto e visita il sito cDc. Se non si vuole usare nessun plugin digitare Invio. Argument for plugin: qui vanno specificati gli argomenti da passare al plugin. Se hai scaricato dei plugin da Internet, questi parametri li trovi nella loro documentazione; File to attach: qui va inserito il percorso di un file che si vuole attaccare al server. Questo potrebbe essere un plugin per BO, che puo' essere attivato automaticamente. Se non si vuole attaccare nessun file, digitare Invio; Write file as: se si e' specificato di attaccare un file al server, bisogna ora specificare il nome che si vuole dare al file attaccato. A questo punto il file boserve.exe e' stato modificato per queste impostazioni. Nota: se vuoi fare un'altra configurazione, non usare il file boserve.exe già configurato: cancellalo ed estrailo di nuovo dall'archivio compresso. ×-h4ck3r - SPP member Liberamente tratto dal sito di x-hacher (by M.D'Itri) [BD-BO-11] Esistono dei programmi che simulano Bo? Si', ne esistono diversi. Uno di essi e' NoBo che si puo' trovare qui: http://web.cip.com.br/nobo/ pero' non ha le stesse funzioni del netbuster, infatti NOBO si limita a registrare cio' che fai dentro un sistema e ti consente di inviare dei messaggi all'intruso, ma non impedisce l'accesso al sistema come NetBuster (creando un sistema virtuale dove non è possibile fare danni), ne' individua od elimina il server di BO. E' possibile avere informazioni sull'intruso (ottenibili anche con NukeNabber settato sulla 31337) ma non fornisce protezione contro attacchi vari. Secondo gli autori di NOBO e' possibile che il BO possa essere usato su una porta diversa dalla 31337 inficiando cosi' il controllo di NOBO. In ogni caso, versioni >1.2 permettono di scegliersi la porta. Un altro programma e' BoSpy, che sta a Bo come NetBuster sta a Netbus. Con BoSpy si puo' loggare chiunque tenti di entrare dalla 31337; il programma crea un fake server in tutto e per tutto, simulando le varie risposte alle azioni del "visitatore", ed e' comodissimo per vedere che intenzioni ha l'intruso e agire di conseguenza. Molto carino e funzionale, supporta anche la funzione di invio messaggi, facendoti vedere ip e porta da cui arriva il ping. [TNX ChRoMe] [BD-BO-12] E' possibile sfruttare nella direzione opposta la "connessione" da parte di un BoClient? In effetti, il BO funziona nelle due direzioni e con poca fatica si puo' risalire la connessione al contrario. Bisogna utilizzare delle versioni "sicure" di netstat e tracert, per esempio prendendo gli eseguibili dal CD-ROM di installazione di Windows e comprimendole con appositi programmi (NON NEL SENSO DEL WINZIP!!!). Questo, per evitare che il boserverizzatore possa toglierci due strumenti molto utili. Un consiglio ulteriore, se si ha un masterizzatore o un amico che ce l'ha, e' quello di preparare un CD-ROM contenente programmi di utilita' vari come i due succitati, in modo da poterli ripristinare in caso di intrusioni distruttive. Se il PC che attacca ha determinate caratteristiche, si puo' dedurre che o e' un pirlone galattico, o e' un boserverizzato che fa da relay. Possibili indizi: shares aperte, Back Orifice installato, e simili... Con poca fatica si puo' (a) capire se c'e' Netbus o BO su quel PC, e (b) entrare nonostante password varie (Netbus: istantaneo; BO: pochi minuti). Si lancia poi il NETSTAT sicuro sul PC boserverizzato, e si puo' scoprire (in poco tempo o subito, a seconda, se il boserverizzatore ha attivato servizi TCP) da quale IP viene controllato. Prima di tutto si fa saltare il BOSERVER in modo da bonificare quel PC; si prosegue nella catena nel caso si tratti di un BO multiplo, arrivando cosi' al boserverizzatore. E qui, come dice l'autore del messaggio originale, lo caa l'orso. [BD-BO-13] Esiste la versione Mac di BO? Si', per Macintosh PPC. E' in pratica una perfetta trasposizione del client DOS di BO perfettamente funzionante. Anche gli utenti Apple hanno quindi la possibilità di "infastidire" vittime di BOServer. Esistono inoltre per Macintosh almeno altre 2 backdoors, la prima scritta da un hacker molto attivo, tale WeeDo (weedo.blackout.org) che ha battezzato il suo prodotto RAE, la seconda, decisamente piu' recente, preparata da un gruppo di sconosciuti h@ack industries intelligence inc. (?) chiamata TakeDown. Sia l'uno che l'altro prodotto sono costituiti come BO da due parti, server e client (telnet del caso di RAE); ambedue permettono di personalizzare la porta da usare ed eventuale password di accesso. --------========******** T E L E C O M M A N D O ********========-------- [BD-TC-01] Come si toglie TeleCommando? Procurarsi il client ed eseguire il comando "Uninstall Server". Se la risposta e' "You have NO Rights", tentare un password vuota. Altrimenti il metodo manuale: 1) Aprire il registro con Regedit e andare alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run togliere il riferimento al file odbc.exe, che si trova in C:\\System 2) Riavviare il computer 3) Cancellare il file