sono dietro un firewall: posso comandare in remoto il mio PC che è a casa?

[Psychnology]

porta 445:


SYMBOLIC
Antivirus Security Division

9 Marzo 2003

NOME: Deloder
ALIAS: Deloader
SIZE: 745984



Deloder è un worm che infetta le macchine Windows che hanno una password debole per l'utente "Administrator".


Il worm contatta indirizzi IP casuali alla ricerca di macchine Windows che hanno la porta 445 aperta. La porta 445 (Microsoft NetBIOS su TCP/IP) permette agli utenti esterni di accedere agli share di Windows.


La maggior parte della computer nelle reti aziendali sono protetti da firewall o distributed firewall, che bloccano l'accesso a questa porta. Molti computer però che si connettano da casa sono vulnerabili a questo worm se hanno la password dell'utente "Administrator" debole.


Una volta che ha trovato un macchina attaccabile il worm cerca di fare un log on come "Administrator" e prova a turno 50 password differenti, come:



"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

""

"admin"

"Admin"

"password"

"Password"

"1"

"12"

"123"

"1234"

"12345"

"123456"

"1234567"

"12345678"

"123456789"

"654321"

"54321"

"111"

"000000"

"00000000"

"11111111"

"88888888"

"pass"

"passwd"

"database"

"abcd"

"abc123"

"oracle"

"sybase"

"123qwe"

"server"

"computer"

"Internet"

"super"

"123asd"

"ihavenopass"

"godblessyou"

"enable"

"xp"

"2002"

"2003"

"2600"

"0"

"110"

"111111"

"121212"

"123123"

"1234qwer"

"123abc"

"007"

"alpha"

"patrick"

"pat"

"administrator"

"root"

"sex"

"god"

"foobar"

"a"

"aaa"

"abc"

"test"

"test123"

"temp"

"temp123"

"win"

"pc"

"asdf"

"secret"

"qwer"

"yxcv"

"zxcv"

"home"

"xxx"

"owner"

"login"

"Login"

"pwd"

"pass"

"love"

"mypc"

"mypc123"

"admin123"

"pw123"

"mypass"

"mypass123"

"pw"

Se il login riesce il worm si copia (sfruttando di solito il nome "INST.EXE") in diverse directory Startup e aggiunge una chiave al registro per eseguire automaticamente il file "DVLDR32.EXE" (che è un'altra copia del worm).


Quando la macchina viene fatta ripartire il worm ricomincia a cercare nuovi host da infettare.


Un effetto secondario dell'infezione potrebbe essere che le directory di share non siano più condivise.


L'eseguibile principale del worm è compresso con ASpack, una volta eseguito crea i file "psexec.exe" e "inst.exe".


Il file INST.EXE crea diversi file sul sistema:

Un server VNC composto dai seguenti file:

cygwin1.dll
explorer.exe
omnithread_rt.dll
VNCHooks.dll

L'utility:


psexec.exe (UPX packed)


Ed una backdoor basata su IRC che si connette ad una lista di 13 server:


rundll32.exe (UPX packed)
F-Secure Anti-Virus rileva il worm con le impronte del 9 Marzo 2003.

[FSAV_Database_Version]

Version=2003-03-09_01

[dins]

Quote:

Originariamente inviato da Psychnology
con vnc puoi usare un normalissimo browser ma passi attraverso la porta 5800 più un ID numerico che identifica il tuo pc in lan. Lo vedi chiaramente nei pochi settaggi che devi fare (porta 5900 usando l'intefaccia di vnc). Quindi il problema permane.



No, non intendo un proxy, non ho usato proprio una terminolgia corretta:
indirizzo ip numerico: ad esempio 195.184.13.25
indirizzo ip "verbale" corrispondente": ad esempio www.smau.it

La tua azienda avrà un indirizzo internet www.miaazienda.it. Il router o gateway che dir si voglia mette in comunicazione il mondo esterno (wan) con quello interno (lan). Ovviamente il suo indirizzo ip interno (ad esempio 192.168.1.1) è differente da quello esterno (www.miaazienda.it = 195.184.13.25) e il router traduce tra le altre cose le richieste nelle due direzioni. Le porte d'altro canto hanno lo stesso numero viste dall'esterno e dall'interno.

si pero' se non ho capito male tutte queste info non mi servono piu': infatti bata usare local port scanner vero?
poi devo settare ultravnc su una delle porte rivelate aperte tipo potrei provare con la 135.

Ma poi la porta usata dal programma in ingresso e in uscita è la stessa?

[dins]

Quote:

Originariamente inviato da Psychnology
con vnc puoi usare un normalissimo browser ma passi attraverso la porta 5800 più un ID numerico che identifica il tuo pc in lan. Lo vedi chiaramente nei pochi settaggi che devi fare (porta 5900 usando l'intefaccia di vnc). Quindi il problema permane.



No, non intendo un proxy, non ho usato proprio una terminolgia corretta:
indirizzo ip numerico: ad esempio 195.184.13.25
indirizzo ip "verbale" corrispondente": ad esempio www.smau.it

La tua azienda avrà un indirizzo internet www.miaazienda.it. Il router o gateway che dir si voglia mette in comunicazione il mondo esterno (wan) con quello interno (lan). Ovviamente il suo indirizzo ip interno (ad esempio 192.168.1.1) è differente da quello esterno (www.miaazienda.it = 195.184.13.25) e il router traduce tra le altre cose le richieste nelle due direzioni. Le porte d'altro canto hanno lo stesso numero viste dall'esterno e dall'interno.

ho il dubbio che il sito internet della mia azienda non risieda sui server interni ma sia gestito da una società esterna....
se è così come faccio a trovare l'indirizzo IP del gateway?
non c'e' scritto in qualche impostazione di windows o che so, scrivendo ipconfig da dos..???
con quest'ultima cosa (ipconfig da dos) il gateway che mi scrive potrebbe essere proprio quello che mi serve?

[Psychnology]

prova!

[dins]

Quote:

Originariamente inviato da Psychnology
prova!

dopo il 17 agosto, ora vado in ferie

[Psychnology]

ok!

[dins]

rieccomi....
fatto un'altro tentativo lasciando il mio PC in attesa sulla 3050 che è una delle porte che i programmi che mi avete consigliato diceva fosse aperta....
nulla di nulla di nulla....


aiuto che devo fare?
Sto quasi per disdire l'adsl

[dins]

che ne dite di questi?
potrebbero servire?

[Second Reality]

Ma scusami sei un po' de coccio.

Allora:

-Scarica Ultr@VNC (http://ultravnc.sourceforge.net/)
- Installalo sulla macchina A CASA e fallo partire come servizio.
- Se hai firewall/nat installati ASSICURATI che la porta 80 del tuo pc sia raggiungibile.
- In basso a destra trovi l'icona di ultr@vnc.

- Aprila, nel menu "incoming connections" seleziona ports e nel campo HTTP metti 80.
- CAMBIA LA PASSWORD
- scrivi IPCONFIG e segnati l'IP della tua macchina

- dall'ufficio apri IE e infilaci l'ndirizzo che ti sei segnato
metti la password e goditi il risultato.

Ti ricordo che :

- se cade la connessione di casa cambia l'indirizzo (puoi ovviare a questo problema con i DNS dinamici es. www.dyndns.org)

[dins]

Quote:

Originariamente inviato da Second Reality
Ma scusami sei un po' de coccio.

vero ma prometto che le proverò tutte e migliorero'!
E ti ringrazio in anticipo!

Quote:

Originariamente inviato da Second Reality
- scrivi IPCONFIG e segnati l'IP della tua macchina

- dall'ufficio apri IE e infilaci l'ndirizzo che ti sei segnato
metti la password e goditi il risultato.

Ti ricordo che :

- se cade la connessione di casa cambia l'indirizzo (puoi ovviare a questo problema con i DNS dinamici es. www.dyndns.org)

questo non è un problema perche' ho gia' xxx@servebeer.com come dns associato al mio indirizzo IP con il programmino in esec automatica che ogni volta che parte aggiorna la corrispondenza con il mio IP.


solo che da qui:

http://www.realvnc.com/faq.html#firewall

si legge che:

How do I use VNC through my firewall?
Many organisations operate firewalls to reduce the risk of intrusion by malicious attackers via the Internet. These firewalls typically operate by only allowing connections in to machines in that organisation on specific ports. Which ports are permitted access depends upon the network protocol that uses the port and the degree of security it provides. VNC servers can accept incoming connections through firewalls in two main ways. Although the first is usually the simplest to arrange, we recommend using the SSH tunnelling method wherever VNC is to be used over an untrusted network such as the Internet.

Opening Ports - The simplest way to allow VNC connections in through your firewall is to configure your firewalling software to allow connections to the VNC ports. If N is the display number of a particular VNC server then it will accept connections on port 5900+N. Configuring your firewall to allow connections to this port will allow VNC to work. If you wish to use the in-built web server and Java VNC Viewer then you will also need to allow connections to port 5800+N. Unfortunately, because VNC traffic is not encrypted, this approach weakens the security provided by your firewall, and so is not advisable.


quindi sembrerebbe che non sia coinvolta solo la porta 80....
In ogni caso per ora lascerò il firewall a casa mia disabilitato (ho cmq le ultime patch di XP, spero non decidano di attacarmi tutti gli hacker della terra proprio ora, tanto piu' che sul mio PC non è che ci sia molto) e quindi l'unica "barriera" sarà il firewall aziendale da cui spero di uscire usando la 80 tramite browser web proprio come mi hai suggerito tu!

Provo e vi sapro' dire (il 20 settembre, prima non ho modo di accedere al PC a 200km di distanza

[dins]

e purtroppo anche qui:

http://ultravnc.sourceforge.net/ultravnc.pdf

a pag 5 nel punto 3 e 4 fa capire abbastanza esplicitamente che per settare il "remote viewer" se sono dietro un firewall ho bisogno di farmi aprie dall' amministratore di rete la porte 5800 e 5900 tanto che scrive esplicitamente che ne l indirizzo dentro il browser web in realta' bisogna scrivere
http:\\xxx.xxx.xxx.xxx:5800
dove le xxx sono le triplette dell'indirizzo web che nel mio caso sarebbe il nome del DNS, ma purtroppo la porta è la 5800 (uscita ) mentre è la 5900 in entrata, porte che purtropo sono bloccate qui in azienda da me....

cmq forse sono io ad essere di coccio, e tra 2 settimane proverò.....solo che ogni tentativo andato a vuoto mi fa perdere 2 settimane......

Per questo vorrei essere sicuro prima....

[kingv]

dins> prova il procedimento che ha indicato SecondReality, e' giusto

[dins]

Quote:

Originariamente inviato da kingv
dins> prova il procedimento che ha indicato SecondReality, e' giusto

ok!mi fido, vi faro' sapere tra 2 settimane!!!

[Second Reality]

Quote:

Originariamente inviato da kingv
dins> prova il procedimento che ha indicato SecondReality, e' giusto

Dubitavi??

A parte gli scherzi...

Se vuoi contattare una macchina ti serve l'ip o il modo per ottenerlo.
I servizi sulla macchina rispondono a determinate porte, lalcune delle quali per standard sono assegnate a determinati servizi.

VNC (server) può mettersi in ascolto sulla posta che tu preferisci.

Il servizio http è un mini server web che carica il plug-in java che ti permette di controllare la macchina in remoto.

L'unico problema che a mio avviso potresti incontrare consiste nel blocco della connessione da parte del firewall, se sono impostate regole per limitare i download.

Cmq, visto che sto testando il nuovo firewall provo, anche xchè non ho mai provato a monitorare le connessioni del plug.in java creato per vnc.

Ciao

[Fenoftaleino]

usa il BO, anche se suona strano è la cosa piu potente per amministrazione remota e non è un virus, è una backdoor.
Funzionera anche dietro firewall o proxy.
Trovi info e download a : www.bo2k.com.
ciao

[dins]

Quote:

Originariamente inviato da Second Reality

Se vuoi contattare una macchina ti serve l'ip o il modo per ottenerlo.

Questo come detto non è un problema....
il mio PC a casa a Napoli a cui mi voglio connettere in remoto dalla mia azienda a roma, è always on via ADSL ed conosco sempre il suo IP essendo associato ad un indirizzo DNS.
(l'ip è dinamico e cambia ad ogni connessione ma ogni volta che il PC si connette comunica il nuovo IP per far aggiornare la tabella DNS-indirizzo IP)

[dins]

Quote:

Originariamente inviato da Second Reality

Se vuoi contattare una macchina ti serve l'ip o il modo per ottenerlo.

cioè in pratica sono abbonato qui:

http://www.no-ip.com/


e infatti ha sempre funzionato finche' il PC "viewer" era quello dell'università, non situato dietro alcun proxy.

Ora invece sono in azienda a roma, dietro un firewall/proxy che è abilitato solo al traffico http sulla 80.....
mentre ho capito che il programma in questione usa la 5800 e 5900 che qui in azienda da me sono sbarrate....
solo questo era il mio dubbio....

[dins]

Quote:

Originariamente inviato da Fenoftaleino
usa il BO, anche se suona strano è la cosa piu potente per amministrazione remota e non è un virus, è una backdoor.
Funzionera anche dietro firewall o proxy.
Trovi info e download a : www.bo2k.com.
ciao

be potrebbe essere un'altra soluzione....ma è bloccabile tramite password?

[dins]

Quote:

Originariamente inviato da dins
be potrebbe essere un'altra soluzione....ma è bloccabile tramite password?

be sono appena andato sul sito,sembrerebbe di si...

[Fenoftaleino]

certo..
Va da paura, le passwd sono possibilissime e sono criptate.
Se usi SERPENT il pluging di criptazione sei sicurissimo, meglio di una connessione ssh.
Davvero è ottimo.
Unica cosa: attenzione a che porta scegli.
Non usare la 31337 detta eleet.
Ti consiglio di usare una porticina bassa bassa, comoda e poco facilmente scannabile.
Usavo la 1754.
Puoi sempre impostare la porta, ma per non rischiare attacchi ( i pirati NON ATTACCANO LA 135 o 139, essa è aperta ma nessun servizio di solito è in ascolto, pochi hanno netBios /beui collegato )provala in remoto.
Se hai un amico mettigli il server e da casa prova ad amministrarlo oppure fai tutto in locale, usando la tua macchina come server e client contemporanei sul IP 127.0.0.1 oppure Localhost.
Fammi sapere.
Ciao
Evita il VNC ecc... sono stati fatti per gli UTENTI e cio' li rende pericolosi per la sicurezza.
BO era un troian, adesso si è ripulito, ma il codice sorgente è un perfetto listato C che puoi anche scaricare perche open source.
UNIX POWER!