Indice:
[BD-INTRO] Plotone di esecuzione
[BD-GEN-01] Scoprire trojan e bd in generale.
[BD-NB-01] Come mi accorgo di Netbus?
[BD-NB-02] Come si toglie Netbus?
[BD-NB-03] E' possibile impostare il file Server senza
essere gia' sulla macchina remota?
[BD-NB-04] Si puo', a chi usa NetBus, far vedere solo
quel che voglio io?
[BD-NB-05] Corro rischi ad usare Netbuster per beccare
intrusi?
[BD-NB-06] E' possibile bypassare la password di NetBus???
[BD-NB-07] A chi volesse contrattaccare a una connessione
Netbus.
[BD-NB-08] Come funziona il tasto "port redirect" di
Netbus 1.70?
[BD-BO-01] Cos'e' Back Orifice (BO)?
[BD-BO-02] Infettare con il Bo
[BD-BO-03] Cosa si fa con BO.
[BD-BO-04] Come faccio a sapere se ho il Bo?
[BD-BO-05] Ho scoperto di avere Bo, come lo tolgo?
[BD-BO-06] Ma il file windll.dll non e' un file di sistema
di Windows?
[BD-BO-07] Come possono interagire telnet e BO?
[BD-BO-08] Se ho il client di una backdoor, la mia vittima
potrebbe a sua volta entrarmi nel computer?
[BD-BO-09] Ho messo sotto controllo la porta 31337. Sono al
sicuro?
[BD-BO-10] Back Orifice - Server: configurazione ed
installazione
[BD-BO-11] Esistono dei programmi che simulano Bo?
[BD-BO-12] E' possibile sfruttare nella direzione opposta
la "connessione" da parte di un BoClient?
[BD-BO-13] Esiste la versione Mac di BO?
[BD-TC-01] Come si toglie TeleCommando?
[BD-INTRO] Plotone di esecuzione
...ovvero, in quanti cavolo di modi si puo' fare eseguire la classica
backdoor in esecuzione di Windows. Un tizio se lo domandava su ICSW e
scommetto che non si aspetta quel che gli sta per capitare.
+++
Premetto che personalmente ritengo Windows *LA* chiavica, in fatto di
sicurezza (95 e 98; NT e' un'altra cosa, e lascia solo a desiderare).
+++
Comunque, limitandosi ai punti accessibili al classico skript kid...
...all'avvio, per prima cosa Windows esegue un file batch, ammesso lo
trovi,
C:\WINDOWS\WINSTART.BAT
ed e' relativamente semplice inserire in questo file istruzioni utili
per reinstallare una backdoor nei punti che descrivero' piu' sotto. E
per questo puo' essere utile creare questo file, scriverci dentro una
sola riga,
@ECHO OFF
e poi renderlo READ ONLY. Eventuali scripts che tentino di crearlo in
modo "bovino", senza verificare che esista e sia scrivibile (dato che
di solito non esiste), falliranno miseramente.
Poi, parte Windows, e va a leggersi il registro. E qui dentro ci sono
alcune chiavi utili, leggibili con REGEDIT:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run*
contenenti coppie di valori del tipo
Servizio = "C:\PATH\DEL\PROGRAMMA\ESEGUIBILE.EXE /Parametri"
...alcuni di questi servizi ci devono stare (Systray, Regmon, TweakUI
e molti altri, compresi antivirus e simili). Altri... no. Ma vista la
quantita' di possibili servizi, che ci sono, l'unica e' usare il buon
senso. Raramente una backdoor si installa in directories che Windows,
di serie, non ha (che so: C:\NORTON\ANTIVIRUS\BIN, o cose simili). Di
solito sono predilette C:\, C:\WINDOWS\, C:\WINDOWS\SYSTEM, PROGRAMMI
e ACCESSORI. Per alcune macro, le directories di Office o Documenti.
Fatto questo, non siamo ancora al sicuro. Ci sono due files, apribili
con il programma SYSEDIT: WIN.INI e SYSTEM.INI.
Dentro WIN.INI troviamo due chiavi
load=
run=
che per quanto ci riguarda sono equivalenti. Di solito sono vuote, ma
a volte caricano programmi (es. WPSHRC se avete una laser TiML/4). Ho
anche provato a caricare un file " " (fra virgolette c'e' un ALT 255)
e Notepad non vede niente, ma Windows esegue il file. Un metodo forse
creativo di nascondere una backdoor... che tra l'altro non riuscirete
a cancellare da Windows, anche se non e' in uso (da DOS, si').
Nel file SYSTEM.INI ci sono dozzine di hooks per backdoors. Questo e'
il mio personale SYSTEM.INI:
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
shell=Explorer.exe
keyboard.drv=keyboard.drv
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
mouse.drv=mouse.drv
...ora CIASCUNO dei files citati dopo il segno di "=" e' eseguibile,
e viene caricato ed attivato da Windows. E' facilissimo per un virus
writer scriversi un "Exploder.exe", modificare la riga di shell in
shell=Exploder.exe
e poi fare in modo che Exploder.exe richiami Explorer.exe. Questa e'
la tattica "companion". Ne' pensate di potervi fidare del mouse.drv!
In questi casi conviene marcare READ ONLY i files in questione, fare
una copia su floppy o su una directory fuori mano (C:\DOS\DRIVERS) e
usare una utilita' di compare, come FCHECK32 (da VOLFTP).
Siamo arrivati? Macche'. Rimane ancora la directory di auto-avvio, e
tra le altre cose: chi vi dice che sia quella? Perche' nel registry,
volendo, si cerca la chiave
Startup=
in
HKCU\Soft...\Micro...\Wind...\Curr...\Explorer\Shell Folders
e anziche'
C:\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica
ci si scrive dentro
C:\WINDOWS\INF\BACKDOOR
poi dentro BACKDOOR ci si mette un link a MyBackDoor, che apre tutto
il folder "Esecuzione automatica" e ne esegue il contenuto... cosi',
l'utente non si accorge di niente, e intanto fa la fine del principe
Gargiulo.
Quanto al doppio click sull'icona: molte sono links. E quando si da'
di click su un link, che e' un file .LNK, che e' un app/lnkfile. Ma,
se NON FOSSE un lnkfile? Se in REGEDIT cambio
Predefinito="lnkfile"
in
Predefinito="inifile"
clicco sull'icona di WinZip sul desktop, e mi si apre Notepad. Cosi'
me ne accorgo. Ma se si aprisse un altro programma, che fa il suo, e
poi passa la palla al link, non mi accorgerei di nulla; disinfetto e
ripulisco il sistema, e al primo doppio clic ZAC ricompare il guaio,
oppure non funziona piu' il doppio clic perche' ho ucciso l'handler.
E' finita qui? Non scherziamo. Windows e' un sistema flessibile: che
e' come dire che tappare _tutte_ le falle e' come cercare di fare il
nodo a un pitone. Si perde tempo, e il pitone si incazza.
Le associazioni traditrici sono centinaia - che dico? Decine!, e non
abbiamo ancora toccato le schedulazioni dell'Agente di Sistema, o lo
screen saver, o i links nei file .HLP, o gli hooks di Task Manager e
un'altra ventina di sistemi banali che non vi dico, perche' sono una
persona cattiva dentro :-)
+++
La morale e', che e' sempre bene avere dei backups aggiornati, e far
attenzione, MOLTISSIMA attenzione!, a quello che entra nel PC. Visto
che una volta che c'e' entrato, e' difficile far uscire un programma
determinato a rimanere. Io ho dovuto addirittura montare Linux :-)
Leonardo
P.S. Il primo che quota kilate di messaggio in risposta ricevera' in
regalo l'opera omnia sulle backdoors via email, ma NON nel modo
che forse preferirebbe.
Ed evitate anche di postare kilate di messaggi a nome del tizio
che v'ha soffiato la tipa, che anche questa e' roba vista B-)
*** (C) LeoSerni ***
[BD-GEN-01] Scoprire trojan e bd in generale.
Un metodo applicabile a questo tipo di trojan client-server e' quello di
installare il client e di provare a contattare il server, dando
l'indirizzo IP 127.0.0.1, che corrisponde appunto alla macchina locale
(localhost). Se il client ottiene una risposta, avete trovato il server
che andra' rimosso prontamente.
--------========******** N E T B U S ********========--------
[BD-NB-01] Come mi accorgo di Netbus?
Il file sysedit.exe nella directory C:\
\System e' di 20k. Se
invece e' grande ~400k e' il server di Netbus. Attenzione anche a file di nome
patch.exe, splat1.exe o contascatti.exe e persino explore.exe, diverse versioni
del trojan possono essere in uno di questi! Riconoscimento: il client ha di
solito un'icona che raffigura un ingranaggio grigio. Il server invece ha
un'icona fatta a torcia su sfondo blu, ma dipende dalla versione che si ha: a
seconda del compilatore che hanno usato, infatti, l'icona cambia. Per esempio il
patch ha la spada, il sysedit l'ingranaggio, ma la versione precedente e' quella
piu' utilizzata come server essendo apparsa prima (non tutti hanno aggiornato!).
Un file accessorio, che invece NON fa assolutamente parte di Windows, e'
keyhook.dll, il cui scopo e' di intercettare i caratteri digitati sulla tastiera.
NB: Il programma sysedit.exe di 20k e' un'utility di windows (grafica Win 3.1)
che fa partire gli editor dei vari autoexec.bat, system.ini ecc.
[BD-NB-02] Come si toglie Netbus?
================ citazione by Giulio ============
La versione 1.53 presenta gravi bug, come ad esempio l'impossibilita' di
rimuoverlo attraverso il pulsante di server admin (server admin --->remove
server). In questo caso convinene eliminarlo manualmente.
In tutti gli altri casi basta avere Netbus versione client e cliccare
appunto su server admin e selezionare remove server. Questo dopo essersi
collegati all'indirizzo di localhost (127.0.0.1). Nel caso esista una
password la ricerca di tale pass e' semplice. Si cerca nel registro di
Win il nome del server (Patch oppure Explore) e si leggera' la pass
scritta in chiaro alla voce settings.
================ end citazione ==================
[BD-NB-03] E' possibile impostare il file Server in modo da essere
subito invisibile senza il bisogno cioe' di essere sulla
macchina remota x farlo?
No.
[BD-NB-04] Si puo', a chi usa NetBus, far vedere solo quel che voglio
io?
Si', con un programma chiamato NetBuster, che simula il server netbus
dando l'illusione di essere dentro un sistema. In realta' quello che
vedi e che fai e' solo un illusione, l'attaccante sta solo vedendo e
facendo cio' che vuole NetBuster, che in quel momento sta monitorando
tutto quel che avviene scrivendo le azioni compiute in un file log
insieme all'ip e ad altri dati. L'indirizzo e':
http://fly.to/netbuster
E' possibile configurare il programma in modo tale che i lamers
pensino che sia un vero NetBus.
[BD-NB-05] Corro rischi ad usare Netbuster per beccare intrusi?
Con il Netbuster basta un PortFuck (SYN flood) sulla porta 12345 per
avere il sistema bloccato. Per la precisione, Portfuck e' un programma
DoS usato per floodare porte TCP aperte. E' simile ad un flood SYN. Il
suo uso principale e' bloccare servizi come Telnet o FTP. In pratica
Portfuck stabilisce molte connessioni ad un'unica porta TCP di un host
remoto. Stabilita una connessione, essa viene chiusa immediatamente e
ne viene aperta un'altra.
Esistono addirittura dei programmi che sono fatti apposta per causare
errori critici a Netbuster. Dopo tale attacco il netbuster si blocca,
con un effettivo rischio per la stabilita' del sistema. Anche BoSpY
puo' essere bloccato inviandogli pacchetti UDP molto grandi.
[BD-NB-06] E' possibile bypassare la password di NetBus???
Fai un copia-incolla con queste stringhe:
Password;1,Password
poi premi return, ti appare scritto
Access;1.60 ServerPwd;Password
in questo modo setti la pass del netbus su "Password"; poi dal client
del netbus, quando ti appare la richiesta inserimento password, metti
quella pass li'. Naturalmente la parola Password dopo ServerPwd e'
indicativa e la puoi cambiare a piacimento.
Da questo momento puoi usare il client nel modo che vuoi. Si rinnova
qui il consiglio, di non fare la carogna, e di limitarsi a mandare
avvertimenti.
[BD-NB-07] A chi volesse contrattaccare a una connessione Netbus.
1) mandare la stringa con
winsock1.sendata("Netbus Server 1.70" & vbCrLf)
all'evento winsock1_request connection(). => Il client penserà di
essere connesso.
2) mandare al client con
winsock1.sendata("Info;messaggio" & vbCrLf)
n volte (mettendolo in un ciclo for). => nel momento della connessione
il client riceverebbe n msgbox con scritto "messaggio".
3) a voi tutte le modifiche necessarie (flood, colloqui diretti,
frasi per sfottere con tanto di valore di ritorno del bottone del
msgbox premuto... etc)!
Il mio è un consiglio... non offenderti :-P
*** (C) ??? - se mi leggi e vuoi essere citato qui, scrivimi ***
[BD-NB-08] Come funziona il tasto "port redirect" di Netbus 1.70?
In pratica, collegandoti su victimhost:port, e' come se ti collegassi ad
un otherhost:otherport... l'altro host vede la vittima, non te.
Esempio:
PC1 -------------> Netbus -------------> mail.tin.it
Tu ti colleghi al NetBus, gli dici di ridirigere la porta 25 sulla porta
25 di mail.tin.it, e metti l'indirizzo della vittima di NetBus come SMTP
server in Eudora.
Parte Eudora e ti scarica la tua posta da mail.tin.it, pero' se qualcuno
domandasse mai a TIN: "Chi ha scaricato la posta?", TIN darebbe l'IP del
malcapitato.
(A parte il fatto che mi sono intrecciato, SMTP e 25 si riferiscono alla
TRASMISSIONE di posta, non alla sua RICEZIONE... in pratica non scarichi
la posta di nessuno col 25, pero' puoi fare mailbombing anonimo).
*** (C) Leonardo Serni ***
[BD-NB-09] Che gradi di visibilita' posso dare al server di Netbus?
Ci sono varie opzioni di visibilita' del server:
1)fully visible
client: cannot connect
telnet: cannot connect
netstat: niente
server: attivo in memoria
-----
2)minimize as trayicon
client: cannot connect
telnet: cannot connect
netstat: niente
server: non attivo in memoria
--------
3)only in tasklist
client: connected
telnet: connected
netstat: 20034
----------------
4)invisible
client: connected
telnet: connected
netstat: 20034
server: non visibile nella tasklist
--------========******** B A C K O R I F I C E ********========--------
[BD-BO-01] Cos'e' Back Orifice (BO)?
E' un programma cosiddetto trojan, che permette intrusioni indesiderate
nel proprio computer. BO e' l'acronimo di Back Orifice, nome che irride
il prodotto Back Office di Microsoft, oltre ad essere molto esplicito
sulla parte del corpo che duole dopo esserselo installato :-))). Esso
si compone di un client e di un server, quest'ultimo dev'essere
installato sul computer della vittima, dopodiche' il client permette
al "buon samaritano" che lo possiede, e a chiunque abbia il client
installato, di compiere varie operazioni sul computer "boservizzato"
(viene indicato in questo modo un computer che abbia installato il
server). Le operazioni possono essere le piu' svariate, dal
trasferimento di file all'esecuzione di programmi, alla lettura di
informazioni contenute nei dischi (fissi, cd-rom, zip, ...).
Bo fa parte della categoria delle backdoor. In effetti, nel sito Web
dei creatori di Back Orifice (il gruppo Cult of the Dead Cow,
http://www.cultdeadcow.com), esso e' definito come un programma di
controllo a distanza. Da notare che esso funziona perfettamente sia
sotto Windows 95 che sotto Windows 98, mentre non se ne conosce ancora
una versione per Windows NT.
[BD-BO-02] Infettare con il Bo
Il veicolo di trasmissione di Bo e' un programma chiamato SilkRope.
Esso incapsula il server di Bo in un altro programma in maniera
apparentemente invisibile, a meno di non aprirlo con un editor, e lo
installa quando il programma viene eseguito (ecco il parallelo col
Cavallo di Troia). E' questa caratteristica che giustifica il fatto
di considerare Back Orifice un trojan, oltre che una backdoor.
[BD-BO-03] Cosa si fa con BO.
E' possibile eseguire operazioni remote sul computer boservizzato
come se si stesse operando direttamente su di esso. Bo mette in grado
il suo utilizzatore anche di conoscere eventuali password digitate,
intercettando la tastiera (funzione svolta dal file windll.dll).
Si puo' anche aprire la porta 23 (telnet) sul PC boservizzato. In tal
caso e' possibile avere una shell sul computer della vittima, proprio
come se si telnettasse su sistemi Unix, utilizzando pero' in questo
caso il command.com del DOS invece delle shell Unix come bash.
[BD-BO-04] Come faccio a sapere se ho il Bo?
Di certo non leggendo la finestra che appare premendo CTRL-ALT-DEL.
Bo usa una funzione dell'API di Windows che serve a nascondere il
processo che la chiama. "Nascondere" vuol dire appunto che non si
vede nella taskbar ne' nella finestra che appare premendo CTRL-ALT-DEL.
Mentre si e' in linea, aprite una finestra DOS e lanciate il comando
netstat -na. Questo mostrera' tutte le connessioni attive in quel
momento (aggiungere un numero per specificare un controllo periodico
ogni secondi): se fra esse ce n'e' una sulla porta 31337, e' lui!
Questo non esaurisce l'argomento, dato che la porta e' configurabile e
quindi puo' essere cambiata da chi tenta di introdursi nelle macchine
altrui. Naturalmente l'infame puo' decidere di manifestarsi apertamente,
con messaggi pop-up, e in tal caso non c'e' dubbio. Un programma utile
al controllo e' AVP System Watcher (http://www.avp.it, freeware), che
controlla il sistema alla ricerca di BO.
Antigen è un altro programma per eliminare il Boserve nella forma di
default. In ogni caso, anche se il Boserve che vi siete ritrovati
sull'HD ha nome e porta di comunicazione differenti, Antigen non
riesce a rimuoverlo ma vi rivela comunque la sua presenza e lo
disattiva sino al seguente reboot (non riesce a cancellare l'exe del
bo in versione non default e la seguente chiamata dal registro di Win).
[BD-BO-05] Ho scoperto di avere Bo, come lo tolgo?
Si puo' fare anche a mano. Cercare e cancellare i file " .exe" (si',
il nome del file e' uno spazio) e windll.dll. Il primo e' il server
vero e proprio. Cercare comunque la stringa "bofilemap" nell'hard
disk e' piu' sicuro, dato che il nome del server puo' essere variato.
Andare nel Registro di Windows alle chiavi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
dove sono i programmi lanciati all'avvio. Cancellare da tale chiave
qualunque cosa non sia di "sicura" provenienza (esempi di applicazioni
"sicure" sono la Barra di Office, antivirus, demone ICQ, ...).
Controllare anche
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
[BD-BO-06] Ma il file windll.dll non e' un file di sistema di Windows?
No. Il file windll.dll viene creato dal boserve.exe quando viene
eseguito la prima volta. Attenzione che il fatto di non averlo puo'
non essere significativo: il nome di questo file puo' essere facilmente
modificato all'interno del file boserve.exe usando un editor esadecimale.
AVP System Watcher, quando deve rimuovere la dll creata dal BO, prevede
questa possibilita' ed e' in grado di eliminarla anche se ha un altro
nome.
[BD-BO-07] Come possono interagire telnet e BO?
Per quanto riguarda una sessione telnet, la si può aprire, ma dal
client Bo. Il comando è App Add, si deve scrivere nella finestra
exe.location Command.com e scegliere una porta a piacere come listen
port. Poi si fa telnet all'indirizzo ip target sulla porta appena
scelta... E' una vera e propria shell.
Per quanto riguarda invece il comunicare col server del BO tramite
telnet, cioe' collegarsi alla sua 31337 (o qualunque altra porta
abbia configurato) con telnet, non si puo' fare. Il motivo e' che BO
usa UDP, mentre telnet usa TCP.
[BD-BO-08] Se ho il client di una backdoor, la mia vittima potrebbe
a sua volta entrarmi nel computer?
No. Il BOGUI non "interpreta" e non "esegue" quello che gli arriva
dalla porta che tiene aperta. Pero' vuole un pacchetto UDP onesto,
questo si'.
Se su quella porta arriva un nuke - BOGUI e' li' a pigliarselo. Non
puoi neanche usare NukeNabber... perche' altrimenti non funzionerebbe
piu' il BOGUI! 8-)
Leonardo
[BD-BO-09] Ho messo sotto controllo la porta 31337. Sono al sicuro?
Non direi. Pe default, il BO apre in listening una sola porta TCP/UDP:
la 31337 (in realta' sono due, dal momento che le porte TCP sono diverse
da quelle UDP, anche se hanno lo stesso indirizzo). Volendo e' possibile
impedire/monitorare il flusso di dati da certe porte, i firewall servono
proprio a questo (ad es., Conseal o Green Dog). Il problema e' che il BO
puo' essere configurato per "ascoltare" anche da porte diverse da quella
di default.
(P.Monti)
[BD-BO-10] Back Orifice - Server: configurazione ed installazione
*** Nota: questo paragrafo non vuole essere un incitamento alla
boserverizzazione dei computer altrui. Dato che e' comunque bene
conoscere i propri nemici per poterli meglio sconfiggere, l'ho
ugualmente inserito nella FAQ. Potrete fare cosi' degli esperimenti
sul vostro PC (utilizzando l'indirizzo 127.0.0.1 sul BoClient) o su
quello di un vostro amico CONSENZIENTE ed INFORMATO DI TUTTI I
PERICOLI, che verra' IMMEDIATAMENTE RIPULITO DAL SERVER al termine
degli esperimenti. ***
Il server Back Orifice si puo' installare semplicemente lanciando il
file boserve.exe; una volta avviato, questo file copia il server (vero
e proprio) nella directory SYSTEM di Windows 95, aggiunge una chiave
nel registro di configurazione ed infine si cancella dalla directory
da cui e' stato lanciato.
Il BO server può essere configurato (prima di essere installato) per
impostare il nome dell'eseguibile del server, la porta su cui deve
ascoltare, la password, etc. ma funziona anche senza una particolare
configurazione utilizzando le seguenti impostazioni di default:
Nome eseguibile del server: " .exe" .exe
Porta: "31337"
Password: (nessuna)
Per configurarlo, invece, va usata l'utility boconfig.exe nel seguente
modo:
Dopo aver estratto il pacchetto BO in una directory, dal prompt di
MS-DOS, posizionarsi in questa directory e digitare:
boconfig boserve.exe [Invio]
Ora viene chiesto di specificare le varie opzioni di configurazione:
Prompt di MS-DOS
C:\bo>boconfig boserve.exe
BOConfig 1.0 - Configures execution options for a Back
Orifice server
Runtime executable name: (does not necessarily have to end in
.exe)
server.exe
Exe description in registry:
ServerBO
Server port:
12345
Encryption password:
my_passwd
Default plugin to run on startup:
my_plugin.dll:_start
Arguments for plugin:
parametro1,parametro2
File to attach:
freeze.exe
Write file as:
my_plugin.dll
C:\bo>
Runtime executable filename: e' il nome con cui verra' chiamato il
file eseguibile del server; non e' necessario specificare l'estensione
.exe, ma se non lo si fa, BO non la aggiunge automaticamente;
Exe description in registry: e' il nome che si vuole dare alla chiave
che verra' creata nel registro di Windows 95 per far si' che il server
venga lanciato automaticamente ad ogni avvio del sistema. Questa
chiave si trova in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
Se non si specifica un nome, il riferimento al server verra' creato
nella chiave "(Predefinito)";
Server port: e' la porta su cui sara' attivo il server;
Encryption password: e' la password usata per la criptazione. Si puo'
anche scegliere di non usarla, digitando semplicemente Invio;
Default plugin to run on startup: qui va specificato un plugin da
lanciare all'avvio. La sintassi e' la seguente:
nome_plugin.dll:_funzione
Per ulteriori informazioni riguardo i plugin di BO, leggi il file
plugin.txt incluso nel pacchetto e visita il sito cDc. Se non si
vuole usare nessun plugin digitare Invio.
Argument for plugin: qui vanno specificati gli argomenti da passare
al plugin. Se hai scaricato dei plugin da Internet, questi parametri
li trovi nella loro documentazione;
File to attach: qui va inserito il percorso di un file che si vuole
attaccare al server. Questo potrebbe essere un plugin per BO, che puo'
essere attivato automaticamente. Se non si vuole attaccare nessun file,
digitare Invio;
Write file as: se si e' specificato di attaccare un file al server,
bisogna ora specificare il nome che si vuole dare al file attaccato.
A questo punto il file boserve.exe e' stato modificato per queste
impostazioni.
Nota: se vuoi fare un'altra configurazione, non usare il file
boserve.exe già configurato: cancellalo ed estrailo di nuovo
dall'archivio compresso.
×-h4ck3r - SPP member
Liberamente tratto dal sito di x-hacher
(by M.D'Itri)
[BD-BO-11] Esistono dei programmi che simulano Bo?
Si', ne esistono diversi. Uno di essi e' NoBo che si puo' trovare qui:
http://web.cip.com.br/nobo/
pero' non ha le stesse funzioni del netbuster, infatti NOBO si limita
a registrare cio' che fai dentro un sistema e ti consente di inviare
dei messaggi all'intruso, ma non impedisce l'accesso al sistema come
NetBuster (creando un sistema virtuale dove non è possibile fare
danni), ne' individua od elimina il server di BO. E' possibile avere
informazioni sull'intruso (ottenibili anche con NukeNabber settato
sulla 31337) ma non fornisce protezione contro attacchi vari. Secondo
gli autori di NOBO e' possibile che il BO possa essere usato su una
porta diversa dalla 31337 inficiando cosi' il controllo di NOBO.
In ogni caso, versioni >1.2 permettono di scegliersi la porta.
Un altro programma e' BoSpy, che sta a Bo come NetBuster sta a Netbus.
Con BoSpy si puo' loggare chiunque tenti di entrare dalla 31337; il
programma crea un fake server in tutto e per tutto, simulando le
varie risposte alle azioni del "visitatore", ed e' comodissimo per
vedere che intenzioni ha l'intruso e agire di conseguenza.
Molto carino e funzionale, supporta anche la funzione di invio
messaggi, facendoti vedere ip e porta da cui arriva il ping.
[TNX ChRoMe]
[BD-BO-12] E' possibile sfruttare nella direzione opposta la
"connessione" da parte di un BoClient?
In effetti, il BO funziona nelle due direzioni e con poca fatica si
puo' risalire la connessione al contrario. Bisogna utilizzare delle
versioni "sicure" di netstat e tracert, per esempio prendendo gli
eseguibili dal CD-ROM di installazione di Windows e comprimendole
con appositi programmi (NON NEL SENSO DEL WINZIP!!!). Questo, per
evitare che il boserverizzatore possa toglierci due strumenti molto
utili. Un consiglio ulteriore, se si ha un masterizzatore o un amico
che ce l'ha, e' quello di preparare un CD-ROM contenente programmi di
utilita' vari come i due succitati, in modo da poterli ripristinare
in caso di intrusioni distruttive.
Se il PC che attacca ha determinate caratteristiche, si puo' dedurre
che o e' un pirlone galattico, o e' un boserverizzato che fa da
relay. Possibili indizi: shares aperte, Back Orifice installato, e
simili... Con poca fatica si puo' (a) capire se c'e' Netbus o BO su
quel PC, e (b) entrare nonostante password varie (Netbus: istantaneo;
BO: pochi minuti).
Si lancia poi il NETSTAT sicuro sul PC boserverizzato, e si puo'
scoprire (in poco tempo o subito, a seconda, se il boserverizzatore
ha attivato servizi TCP) da quale IP viene controllato. Prima di
tutto si fa saltare il BOSERVER in modo da bonificare quel PC; si
prosegue nella catena nel caso si tratti di un BO multiplo, arrivando
cosi' al boserverizzatore. E qui, come dice l'autore del messaggio
originale, lo caa l'orso.
[BD-BO-13] Esiste la versione Mac di BO?
Si', per Macintosh PPC. E' in pratica una perfetta trasposizione del
client DOS di BO perfettamente funzionante. Anche gli utenti Apple
hanno quindi la possibilità di "infastidire" vittime di BOServer.
Esistono inoltre per Macintosh almeno altre 2 backdoors, la prima
scritta da un hacker molto attivo, tale WeeDo (weedo.blackout.org)
che ha battezzato il suo prodotto RAE, la seconda, decisamente piu'
recente, preparata da un gruppo di sconosciuti h@ack industries
intelligence inc. (?) chiamata TakeDown.
Sia l'uno che l'altro prodotto sono costituiti come BO da due parti,
server e client (telnet del caso di RAE); ambedue permettono di
personalizzare la porta da usare ed eventuale password di accesso.
--------========******** T E L E C O M M A N D O ********========--------
[BD-TC-01] Come si toglie TeleCommando?
Procurarsi il client ed eseguire il comando "Uninstall Server". Se la
risposta e' "You have NO Rights", tentare un password vuota. Altrimenti
il metodo manuale:
1) Aprire il registro con Regedit e andare alla chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
togliere il riferimento al file odbc.exe, che si trova in C:\\System
2) Riavviare il computer
3) Cancellare il file