Comments 120
быстрый взлом паролей объяснил бы keylogger, который не ловит TR и NOD
но скриншот рабочего стола? не стоял ли у вас remote admin какой-нибудь? вполне легальное ПО, не будет ловится никем, да и через firewall мог быть разрешен… других вариантов мне пока трудно придумать
но скриншот рабочего стола? не стоял ли у вас remote admin какой-нибудь? вполне легальное ПО, не будет ловится никем, да и через firewall мог быть разрешен… других вариантов мне пока трудно придумать
remote admin не стоял. Самое интересное это то что — как он узнал что у меня есть аккаунт WoW (тоже кстати с другим паролем).
откуда вы уверены, что не стоял? некоторые службы удаленного управления можно установить удаленно
если он имел доступ к рабочему столу, то про WoW уже не удивительно
если он имел доступ к рабочему столу, то про WoW уже не удивительно
у вас реально, что-то было на пк, по другому отследить вас весьма сложно.
А через что вы в интернет ходите?
Для того чтобы сделать скриншот рабочего стола, не обязательно нужен Remote Admin, снятие скриншота входит в стандартный Win32API и реализация данного функционала в трояне занимает совсем чуть-чуть кода.
это понятно
человек просто уверен что был защищен от троянов, я пытался с этой позиции подойти
человек просто уверен что был защищен от троянов, я пытался с этой позиции подойти
Во-во, маркетологи навешали лапши на уши. Полностью защищенной может быть только запаяная в свинцовую капсулу машина… И то я не уверен на 100%. Может можно сдезать каки-то манипуляции на основе нанотехнологий… Вопрос в том — кто заказал и зачем!!!
Вообще-то защита от троянов — это на куча антивирусов, а грамотная настройка системы о чём в данном случае — ни слова. Написанный «под заказ» троян никакой антивирус не отловит, а засунуть его можно во столько разных мест что мало не покажется.
Еще есть вариант админа локальной сетки. Или соседа на одном хабе. Или подключения через WiFi.
NOD 32, ситуацию не спасает, антивирусы, частенько не видят самописных «хаков», тут интересней firewall, сам использую комодо, возможно ли такое, что вирус выходил в нет, от имени другого процесса, которому разрешен был выход.
фаервол еще надо правильно настраивать. да и то, в «кругах черных шляп» есть методы обхода популярных фаеров, без привлечения внимания.
Вообще-то никакая настройка брандмауэера не поможет от «заказного» трояна. Просто засовываем DLL в MS IE, Firefox, остальные популярные браузеры — и ждём. Пока процесс полезет в Internet. А он туда рано или поздно полезет :-) Ну хоть один из них. Иначе нафига человеку аккаунты ВКонтакте?
Дальше — вопрос техники: можно напрямую ходить на машинку, которая за вами следит или через специальный account на том же ВКонтакте. Первое — жрёт меньше ресурсов и хорошо для «тонких» каналов, второе — более бранбмаужроустройчиво…
P.S. И это вещи, очевидные сходу мне — человеку, который подобными вещами не занимается. Наверняка можно ещё глубже процесс упрятать. Если вы под root'ом/administrator'ом и у вас заказной троян — то кранты. Единственный вариант — переустановка и исследование образа системы в виртуалке. И то не факт что отловите способ, которым троян был закинут — от квалификации троянописателя зависит.
Дальше — вопрос техники: можно напрямую ходить на машинку, которая за вами следит или через специальный account на том же ВКонтакте. Первое — жрёт меньше ресурсов и хорошо для «тонких» каналов, второе — более бранбмаужроустройчиво…
P.S. И это вещи, очевидные сходу мне — человеку, который подобными вещами не занимается. Наверняка можно ещё глубже процесс упрятать. Если вы под root'ом/administrator'ом и у вас заказной троян — то кранты. Единственный вариант — переустановка и исследование образа системы в виртуалке. И то не факт что отловите способ, которым троян был закинут — от квалификации троянописателя зависит.
Передача данных могла осуществятся через Background Intelligent Transfer Service — сервис используемый для закачки обновлений Windows.
В таком случае не подскажешь — если отключить Автоматическое Обновление Windows, это поможет?
Да. Желательно его отключить, и отключить саму службу.
Start > Settings > Control Panel > Administrative Tools > Services > Background Intelligent Transfer Service
Ставишь Startup Type — Disabled и нажимаешь кнопку Stop если она включена.
Обновления лучше ставить вручную, после чего проверять не запустила ли винда снова эту службу.
Самое смешное это определение этой службы:
Start > Settings > Control Panel > Administrative Tools > Services > Background Intelligent Transfer Service
Ставишь Startup Type — Disabled и нажимаешь кнопку Stop если она включена.
Обновления лучше ставить вручную, после чего проверять не запустила ли винда снова эту службу.
Самое смешное это определение этой службы:
Данная служба позволяет использовать для передачи данных резервы сети по пропускной способности. Служба используется для передачи асинхронных данных через http 1.1 сервера. Например: На сайте Microsoft это используется для Windows Update. Служба позволяет продолжить загрузку при завершении сеанса или выключении компьютера (при следующем его запуске).
Какие службы требуют Фоновую интеллектуальную служба передачи (Background Intelligent Transfer Service) для нормального функционирования: Никакие
тот же pincher часто не ловится НОДом…
был залит бэкдорчик может?
а там уже мог и скрин снять и по почте злоумышленнику послать.
самый верный способ защиты — не лезть на рожон. Тогда вероятность «заказа» стремится к нулю.
ЗЫ
При текущем уровне проникновения информатизационных услуг иногда получить по роже выгоднее, чем стать жертвой хака
а там уже мог и скрин снять и по почте злоумышленнику послать.
самый верный способ защиты — не лезть на рожон. Тогда вероятность «заказа» стремится к нулю.
ЗЫ
При текущем уровне проникновения информатизационных услуг иногда получить по роже выгоднее, чем стать жертвой хака
Я вот тоже не могу даже предположить кто меня заказал, да еще и за деньги. На рожон вроде никогда и не лез, даже не грубил особо никому в сети.
Если по бэкдоры — тогда меня наверное взламывал очень продвинутый хакер. Так как в таком случае бэкдор должен быть самостоятельно написан.
Если по бэкдоры — тогда меня наверное взламывал очень продвинутый хакер. Так как в таком случае бэкдор должен быть самостоятельно написан.
как человек вращающийся в этой сфере скажу — что можно даже обычного троя, просто хорошо закриптованного. лучше полумайте как он к вам поппал, вспмните не переходили вы по каким-нибудь сомнительным ссылкам?
Если вы некому не грубили и не наезжали не на кого сами. Значит смотрите в сторону женского пола, девушек знакомых или любовниц, может там есть муж или парень о котором вы не знаете, но он узнал про вас. Вот он и заказал
Однажды мне в руки попал приватный троян, который не предназначался для всех. Стоил он около 200$ кажется, но каким-то образом он достался и мне. Называть не буду. Так вот он склеивался с виндой намертво, вылечить невозможно (без команды с сервера) ни один антивирус его не ловил. Так что, надо будет — взломают. К тому же, как уже сказали выше. самый простой способ — кейлоггер. Вы вводите пароль и через пять минут он уже у злоумышленника.
Что же делать? Постараться не заводить врагов, вот и все, что я могу посоветовать.
Что же делать? Постараться не заводить врагов, вот и все, что я могу посоветовать.
Вывод — выходить в нет нужно с под линукса :), установленный на виртуальной машине :)
UFO just landed and posted this here
Если Вас заказали, то защититься крайне сложно. ИМХО самый простой метод для Вас — это Инет только через виртуалку. Причем личные сайты и все остальные с разных виртуалок :). Скачать можно бесплатно:
www.vmware.com/appliances/directory/80
www.vmware.com/appliances/directory/80
Что за сопли?
UFO just landed and posted this here
UFO just landed and posted this here
Имхо, зря вы систему снесли. Надо было ее оставить для опытов (а отдельно поставить новую), причину всеж найти проще было бы. Как минимум можно было последить что у вас куда лезет наружу, какие процессы висят и т.д, м.б. что-нибудь и нашли бы. Вполне возможно, как написал ctrlok, взяли некую «софтину» у друзей.
Кроме того «заказал» кто-то из знакомых, и, вероятно, этот «кто-то», наверняка и подсунул вам нечто. Теоритически м.б. и проследили бы связь да надавали по рогам =)
Кроме того «заказал» кто-то из знакомых, и, вероятно, этот «кто-то», наверняка и подсунул вам нечто. Теоритически м.б. и проследили бы связь да надавали по рогам =)
Пароли были не более 6 символов?
7 символов, включая одну цифру.
Мой совет, использовать более длинные пароли, около 20 символов, буквы и цифры вперемешку.
Плюс запретить браузерам запоминать пароли. Было бы неплохо, ещё кода находитесь в интернете, сидеть не с правами админа.
Плюс запретить браузерам запоминать пароли. Было бы неплохо, ещё кода находитесь в интернете, сидеть не с правами админа.
Пароль из 7 символов [a-z0-9] подбирается.
12 символов достаточно.
Мы как-то пробовали подбирать оригиналы к md5-хешам на P4 2400MHz — подбирал 5-значные в пределах минуты, и т. д., 7-значные заняли несколько часов.
12 символов достаточно.
Мы как-то пробовали подбирать оригиналы к md5-хешам на P4 2400MHz — подбирал 5-значные в пределах минуты, и т. д., 7-значные заняли несколько часов.
7-значные заняли несколько часов.
o_0
~2M вариантов в секунду даже из расчета что перебирали не несколько часов а ровно сутки!?
возможно я ошибаюсь в своих грубых математических прикидках, но имхо вы загнули…
даже если ограничиться только числами вам пришлось бы обрабатывать ~900 вариантов в секунду если принять что «несколько часов» равны трем ;)
подбирается то он подбирается, но в нормальных системах после ввода неправильного пароля пауза есть… секунды две. Вот тут подбор и накрывается медным тазом
UFO just landed and posted this here
Ничего так боевичок:)
Боевичек хороший, запасся попкорном и жду продолжения…
попробуй вспомнить последовательность того что устанавливал и у кого брал софт.
заказать тебя не могли это тупой «отворот».
кто смог тебе на комп поставить «что то» и потом от души поиздеваться.
в любом случае если они заходили к тебе в почту в контакт… можно было попытаться хотябы узнать IP под которыми все это делалось.
ну или в противном случае посмотри по сторонам может где камера стоит (как в фильме антимонополия)
заказать тебя не могли это тупой «отворот».
кто смог тебе на комп поставить «что то» и потом от души поиздеваться.
в любом случае если они заходили к тебе в почту в контакт… можно было попытаться хотябы узнать IP под которыми все это делалось.
ну или в противном случае посмотри по сторонам может где камера стоит (как в фильме антимонополия)
Я вот только одного не понимаю, зачем было написано в ответе от взломщиков про rezer.ru?
При чем здесь эта фирма, занимающаяся инструментами?
При чем здесь эта фирма, занимающаяся инструментами?
«Это все происходило при установленых — NOD 32 (лицензия), COMODO Firewall, Тrojan Remover. Так что система была в высшей степени защищена. Прямого доступа в компьютер не было ниукого кроме меня. „
Если Вы работаете под аккаунтом администратора, то о какой защищенности Вы говорите?
Если Вы работаете под аккаунтом администратора, то о какой защищенности Вы говорите?
UFO just landed and posted this here
По всей видимости это так.
Автор, советую оставить только две учетные записи: администратор и ограниченная запись (лишнюю учетку админа удалить). Работать исключительно под ограниченной (сеть, все сменные носители и т. д.). Далее установить пароли и желательно на обе учетки, в которых будут комбинации из цифр, букв разных раскладок и регистров, а так же другие символы.
Автор, советую оставить только две учетные записи: администратор и ограниченная запись (лишнюю учетку админа удалить). Работать исключительно под ограниченной (сеть, все сменные носители и т. д.). Далее установить пароли и желательно на обе учетки, в которых будут комбинации из цифр, букв разных раскладок и регистров, а так же другие символы.
Сочувствую, камрад, самого в апреле также ломанули.
Расскажу свою историю)
Увели аську, контакт, мыло, на сайтах с одного из хостов(на который по ФТП с винды заходил) внедрили в каждом файле js код…
Стоял NOD32+антитроян(не помню какой)
Что прикольно — потом с моей же аськи флиртовали с моей же сестрой(естестно она уже знала что взломали)… В результате аську с мылом через день(удалили все письма) вернули ей :) До сих пор не понял этого добровольного «жеста милости» со стороны кулхацкеров :)
Контакт восстанавливал ужасно долго… требовали фото на фоне акка контакта итп)
После этого аська+мыло+ФТП+заход под аккаунтом на важные сайты только с линя)
Расскажу свою историю)
Увели аську, контакт, мыло, на сайтах с одного из хостов(на который по ФТП с винды заходил) внедрили в каждом файле js код…
Стоял NOD32+антитроян(не помню какой)
Что прикольно — потом с моей же аськи флиртовали с моей же сестрой(естестно она уже знала что взломали)… В результате аську с мылом через день(удалили все письма) вернули ей :) До сих пор не понял этого добровольного «жеста милости» со стороны кулхацкеров :)
Контакт восстанавливал ужасно долго… требовали фото на фоне акка контакта итп)
После этого аська+мыло+ФТП+заход под аккаунтом на важные сайты только с линя)
Вам не кажется, что это все из-за «вконтакта»? :D
или из-за нод =) или того и другого! Может на вконтакте какой-то вирус бродит?
Вообще-то человек ещё от FTP не отказался, причём тут ВКонтакт?
Вы считаете, что нормальный ФТП сервер ломается легче насквозь глючного «вконтакта»? :) А фтп — отличная вещь, если вам оно не надо — не значит, что никому не надо :)
Вы считаете, что нормальный ФТП сервер ломается легче насквозь глючного «вконтакта»? :)Да, конечно. ВКонтакте ещё ломать надо, а FTP уже сломан сразу, из коробки. Он пароли открытым текстом по сети передаёт: заходите, люди добрые, берите что хотите, пользуйтесь — не стесняйтесь.
Вы бы ещё про telnet вспомнили. Или про rlogin.
То есть 100% веб хостингов (где фтп — обязательное условие) являются абсолютно не защищенными? :) Вы меня удивляете :)
Ну, выходит так) Как еще то обновлять сайты? Веб-фтп(по крайней мере в cpanel) это мрак — кто юзал тот поймет…
Не очень понимаю почему моя история так много споров вызвала )) Я уже сам как бы заб(ы)ил на этот взлом — благо удачно все закончилось относительно, а итогом стало то, что практически полностью перешел на линь и вполне себе рад).
Все получилось в стиле «не было бы счастья, да несчестье помогло». До этого юзал линь в качестве… хм… «неведомой зверушки» — изредка.
PS контакт вирус, это да, но только как на хабре начинается обсуждение контакта — все время получается стычка любители vs. ненавистники. Не заметили?
PPS Удачи вам, и грамотно настроенного файрволла ;)
Не очень понимаю почему моя история так много споров вызвала )) Я уже сам как бы заб(ы)ил на этот взлом — благо удачно все закончилось относительно, а итогом стало то, что практически полностью перешел на линь и вполне себе рад).
Все получилось в стиле «не было бы счастья, да несчестье помогло». До этого юзал линь в качестве… хм… «неведомой зверушки» — изредка.
PS контакт вирус, это да, но только как на хабре начинается обсуждение контакта — все время получается стычка любители vs. ненавистники. Не заметили?
PPS Удачи вам, и грамотно настроенного файрволла ;)
Детектив целый...)
Посмотрел ваш профайл на хабре, зашел в жж… Вот в упор не вижу, для чего вас «заказывать», платить деньги и т.д. Сетевая активность минимальна, обычный человек, не лебедев какой-нить. Ведь просто так пресловутый «заказ» это сделаешь, нужно знать людей, нужно убедиться в профессионализме, переводить деньги, контролировать результат и т.д. Вобщем геммора больше чем пользы. Ну это так, мысли в слух…
А совет один — не сидите под админом.
А совет один — не сидите под админом.
Это все происходило при установленых — NOD 32 (лицензия), COMODO Firewall, Тrojan Remover. Так что система была в высшей степени защищенаВы правда так думаете?
UFO just landed and posted this here
UFO just landed and posted this here
Как это могло вообще все произойти?
почитайте сначала это:
www.rian.ru/society/20080516/107610576.html
а потом это:
www.itsec.ru/newstext.php?news_id=49868
Вы все еще хотите пользоваться соц. сетями аля ВКонтакте, Одноклассники и т.д?..
Вспомнил друга програмера неудачника)) Решил как то он себе DC поставить. Вроде парень умный. но ступил жесткого. расшарил все диски. :) включая С :) и тоже фигел с какой скоростью какой то чел взломал аську. знал где он лазит, достал его фотки и т.д. Придя к нему долго смотрел в чем проблема. Стоял фервол, антивирь и тд. а дело оказалось в ДС :) зашел смотрю диски рашарены.
тоже в дц как-то стянула чью-то аську. оказался мальчик 22 лет. с паролем типа 123456.
объяснила, что расшаривать диск цэ — плохо, что простые пароли — плохо, ну и что ругаться матом тоже плохо.
вернула, сказал спасибо, исправился.
объяснила, что расшаривать диск цэ — плохо, что простые пароли — плохо, ну и что ругаться матом тоже плохо.
вернула, сказал спасибо, исправился.
*закрыл расшаренные диски* *краснеющий смайлик*
Спасибо
Спасибо
Хм, у нас в сетке, ~ 10000 пользователей, полностью диски расшарены у 2000 примерно, это я около месяца назад проверял.
Мне кажется дите нашло у вас дырку и ради повышения своеи значимости поломало все. И добавило понты про заказали.
На любом хакерском форуме задайте вопрос, вам должны буду разъяснить, это точно.
И ни слова про linux =) Плиз, не минусуйте, я так, просто…
UFO just landed and posted this here
Хорошо криптованый трой, который обходит фаерволл через iexplorer.exe (даже древний pinch способен на такое), сам попадался разок на такое, с тех пор IE выход в сеть блокирован.
Очень вероятно, что у вас так и было :).
Очень вероятно, что у вас так и было :).
Вконтакт, аська, мыло, вов — не такие уж и страшные потери. И практически все подлежит восстановлению. Сам факт что тебя поимели конечно неприятен, но в нашей жизни это происходит часто. Меня вот больше интересуют люди, которые ради сохранения несущественного пароля, закрываются стеной фаерволов, ставят пароли минимум в 20 символов и паранаидальное просматривают каждый новый исполняемый файл дебагером. Вы на улицу тоже исключительно в бронежилете выходите? А в магазин только на танке?
Вас хакнули «script kiddies». Говоря другими словами, эта шпана, которая научилась использовать лазейки Windows и имеющая доступ к постоянно обновляемому репозиторию крэк-кодов. Слепить из скриптов целевой инструмент взлома не представляется сложным.
Основная проблема для стервецов со скриптами: опятность пользователя, касающейся базовой защиты системы. К базовой защите системы не относятся: антивирус, файервол. Они относятся к проактивной, дополнительной защите.
Базовая защита подразумевает:
• отсутствие запущенных сервисов, которые не нужны в работе;
• правильная установка прав на элементы файловой системы;
• неповторяемость парольной фразы и стойкость паролей к взлому методом перебора по словарю;
• работу пользователя с минимальными привелегиями, достаточными для работы.
У вас работал, корее всего, сервис удалённого доступа к Рабочему столу (протокол RDP). Который можно оформить в виде трояна или червя, подсаживающегося в систему через JavaScript или CSS в браузере/почтовике.
Возможно, хранилище паролей в браузере/почтовике не было защищено мастер-паролем.
Основная проблема для стервецов со скриптами: опятность пользователя, касающейся базовой защиты системы. К базовой защите системы не относятся: антивирус, файервол. Они относятся к проактивной, дополнительной защите.
Базовая защита подразумевает:
• отсутствие запущенных сервисов, которые не нужны в работе;
• правильная установка прав на элементы файловой системы;
• неповторяемость парольной фразы и стойкость паролей к взлому методом перебора по словарю;
• работу пользователя с минимальными привелегиями, достаточными для работы.
У вас работал, корее всего, сервис удалённого доступа к Рабочему столу (протокол RDP). Который можно оформить в виде трояна или червя, подсаживающегося в систему через JavaScript или CSS в браузере/почтовике.
Возможно, хранилище паролей в браузере/почтовике не было защищено мастер-паролем.
Очень сочувствую! Не дай бог такого :)
сегодня грохнул на одной машинке какого-то неизвестного науке зверя. плодит в памяти cmd и c:\windir\service.exe в неимоверных количествах. ничем не ловится…
UFO just landed and posted this here
Sign up to leave a comment.
Взлом