Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 14

Temat: Wykrycie istniejącego backdoora

  1. #1
    Zarejestrowany
    Jul 2008
    Skąd
    Ziemia (KN19..)
    Postów
    13

    Domyślnie Wykrycie istniejącego backdoora

    Otóż jestem osobą szalenie ambitną i ciekawską. Jak każdy miewałam problemy z trojanami i próbami ataków (na szczęście nie udane).
    Pytanie moje jest następujące - jak wykryć (i czy da się) backdoora pozostałego po ataku? Taki backdoor może posłużyć do ataku zupełnie innej osobie, nie koniecznie tej, której pierwotnie miał służyć, a nie chciałabym
    Chcę się wszelkich takowych pozbyć.
    Tym bardziej, że zawsze udało mi się ratować system inaczej niż "zrób format i czystą instalację", moje windowsy stały nieraz latami.
    Wszelkie sugestie mile widziane

  2. #2
    Avatar javaman
    javaman jest offline www.javainside.pl
    Zarejestrowany
    Mar 2008
    Skąd
    no przed monitorem przecież...
    Postów
    474

    Domyślnie

    jeśli to windows a nie masz jakichś usług stale wystawionych na zewnątrz, przejedź po portach nmapem i porównaj te otwarte z listą portów używaną przez trojany:
    http://www.elektronikjk.republika.pl/txt/b2.html
    będziesz wiedział czy nie chodzi Ci w systemie coś nieporządanego.

  3. #3
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    mozesz tez wkleic loga z np. hijackthis i na jakiejs stronie[juz nie pamietam jakiej, wygogluj] wkleic go, a nastepnie zobaczyc przeanalizowany przez komputer.
    War, war never changes.

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Pewnej metody wykrycia nie ma... jedyna pewna linia ochrony to reinstalka systemu i pozniej kontrolowane i ostrozne przywracanie danych z backupow (aby nie przywrocic jakiegos paskudztwa). Ta zasada dotyczy wszelkich systemow - zarowno Windows jak i Linux.

    Jesli mowimy o kernel-mode rootkit'ach to wtedy taki rootkit moze ukryc co chce w sumie, wiec netstat nie pokaze nic, tasklist ani nic inne tez procesu nie pokaze (bo mamy np wstrzykiwanie w DLL-ki), skan z zewnatrz moze nic nie zwrocic. Moze pomoc monitorowanie ruchu sieciowego z danej maszyny. Jesli wiemy ze nie powinna sie nigdzie laczyc na dziwne porty a sie laczy to pewnie cos tam siedzi... choc i to da sie ladnie oszukac bo sprytnie napisany rootkit moze nie ukryje sie calkiem (bo bedzie widac ze cos po kablu idzie) ale bedzie w stanie nas zwodzic dosc dlugo. Raz spotkalem sie z takim wlasnie sprytnym rozwiazaniem - gdybym spotkal autora to bym mu skrzynke wodki kupil i schal do upadlego :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    ryniek jest offline while 1: os.fork()
    Zarejestrowany
    Jan 2008
    Skąd
    tutej!
    Postów
    233

    Domyślnie

    Cytat Napisał GSG-9 Zobacz post
    mozesz tez wkleic loga z np. hijackthis i na jakiejs stronie[juz nie pamietam jakiej, wygogluj] wkleic go, a nastepnie zobaczyc przeanalizowany przez komputer.
    To pewnie o tą stronę Tobie chodzi. Sam z niej korzystam czasem. Podobno dobry jest jeszcze skaner AV online od F-Secure, który ma jeszcze wbudowaną funkcję AntiRootKit.
    Ostatnio edytowane przez ryniek : 08-05-2008 - 19:22

  6. #6
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    zapobiegać jedno leczyć drugie :)

    Chcesz mieć bezpieczną windę ?
    Skoncentruj się na częstych aktualizacjach systemu i programów(z naciskiem na programów :) bo o ile system sobie aktualkę pociągnie sam o tyle np. jakiś dziurawy winamp czy coś już raczej nie ;) choć chyba winamp jeszcze jakieś tam miał auto-update ale jest wiele programów które tego nie miają :) ) , następnie dobrym firewallu i pakiecie antywirusowym. no i aktualizacji tych zabezpieczeń :)

    dobrym nawykiem jest co jakiś czas zrobić jakieś dodatkowe testy zewnętrznymi programami - ale jak byś tak chciał dzień w dzień latać od bugtraq skanować system nie wiem co cudować to można dostać pierdo*ca .... zwarzywszy na to ze pewnie na kompie jakies fotki z imprezy i parę mp3 i save'y z fify do pilnowania :)

    a co do długiej żywotności windy - czy ja wiem... może to i dobry pomysł ale ja jakoś nie jestem przekonany - walnij sobie ghosta ja tak robie i nie nazekam - co sie da z programów to portable...

    A i CIEKAWOSTKA :)
    gdzieś ostatnio wydziałem statystyki po jakim czasie coś się dobija do systemu podłączonego do net'u :) średni (podkreślam średni) czas to 5 min :)
    zgadnijcie ile się pobierają aktualizacje do kasperskiego a o windowsie to nawet nie wspomnę ;)
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  7. #7
    ryniek jest offline while 1: os.fork()
    Zarejestrowany
    Jan 2008
    Skąd
    tutej!
    Postów
    233

    Domyślnie

    Hehehe, eMCe, tą ciekawostkę, to Ja już kilka dni temu napisałem, na tym forum. I nie pięć minut tylko max. do 4 minut. Więc w sumie teraz nie opłaca się podłączać nowych kompów do neta

  8. #8
    Zarejestrowany
    Aug 2008
    Postów
    1

    Domyślnie

    Jeśli chodzi o aktualizacje oprogramowania, to istnieje program Secunia Personal Software Inspector, skanujący dysk w poszukiwaniu programów i sprawdza czy są w wersji aktualnej.

    Oprócz tego przydatny jest program wirtualizujący: Sandboxie, potrafi w ramach aktualnego systemu operacyjnego utworzyć strefę w której można instalować i uruchamiać programy, które mogą czytać z dysku, ale każde zapisanie ma miejsce w osobnym folderze, z którego jednym kliknięciem można usunąć całą zawartość "wirtualnego komputera".

    Kiedyś ktoś polecał mi też narzędzie do wszechstronnej analizy systemu pod kątem bezpieczeństwa: Belarc Advisor. Wydaje się robić to dosyć dokładnie, a jednocześnie krótko omawia każdą z wielu podatności jakie skanuje.

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Sandboxie choc powolne zdaje sie spelniac swoja role... pozostalych nie testowalem
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Avatar VLN
    VLN
    VLN jest offline Banned
    Zarejestrowany
    Jan 2008
    Postów
    277

    Domyślnie

    http://www.pspl.com/download/winvulscan.htm

    Podobno sprawdza system w poszukiwaniu luk w zabezpieczeniach .

    PS.Był w Next-cie 08/2008 .


    Pozdrawiam VLN.
    Kod php:
    $zmienna $_POST['COS']; 
    Zamiast tego :
    Kod php:
    $zmienna htmlspecialchars($_POST['COS']); 
    I mamy zabezpieczenie przed XSS

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. wykrycie hooka
    By mcx in forum Hacking
    Odpowiedzi: 0
    Autor: 04-20-2008, 17:57
  2. wykrycie
    By moracz in forum Wardriving
    Odpowiedzi: 8
    Autor: 02-06-2008, 23:26
  3. Zagmatwac wykrycie włamu
    By plastus1983 in forum Wardriving
    Odpowiedzi: 5
    Autor: 01-25-2008, 05:58

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj