PDA

Visualizza versione completa : NetBios e intrusioni sul mio pc


exion
14-03-2001, 00.05.21
Salve a tutti,

oggi mi è successa una di quelle cose che pensi sempre "tanto accade solo agli scemi e agli sprovveduti"... Ok, allora probabilmente sono scemo e sprovveduto...

In sostanza stavo chattando su mIrc, quando mi sono improvvisamente insospettito per un insolito ed ingiustificato "lavoricchiare" del mio hard disk, come se ci fosse stato un "trova file" in corso.

Magari le due cose non c'entrano un tubo, ma per scrupolo ho fatto un bel netstat, e cosa non ti vado a trovare? Una bella sessione NETBIOS aperta, e un ip di Roma attaccato su quella connessione. IP per altro che corrispondeva a qualcuno che stava insistentemente cercando di chattare con me.
Cosa sia il netbios purtroppo ne ho solo un'idea vaga, ma so che trovarselo aperta così da fuori non è bello!

Comunque le domande che ora mi pongo sono:

1- Cosa puo' aver visto/scaricato/toccato/modificato il lamer in questione? So che ha visto il nome del mio provider (vabbé, quello lo so fare anch'io, dall'ip), la mia velocità in donwload (non ha tirato a indovinare, perché ho una adsl a 640K), l'host name del mio computer. Ma soprattutto lui dice di aver visto tutto il contenuto di c:. E' vero?


2- Il lamer dice di aver visto tutto il contenuto di c: . Ora direte che sono un pirla, lo so... Ho messo tutto c: in condivisione, perché mi serve poterci accedere dall'altro PC quando li collego in rete. Ma se c: non fosse stato condiviso, l'intruso avrebbe potuto vedere lo stesso il contenuto di c:?

3- Il fatto che io in quel momento ero connesso su IRC su porta 6667 puo' aver agevolato l'intrusione? NB: Mi sono accorto della sessione netbios PRIMA di chattare con questo lamer, quindi l'IP non lo ha preso banalmente dalla finestrina della chat.

4- Ma come cazzo ha fatto a vedere che ero a 640k in download?!?

5- Infine la domanda piu' importante: come mi difendo? Immagino di dover installare un firewall (vedo che qui i dritti usano Zone Alarm, farò altrettanto), ma dovrò per forza togliere la condivisione a c:?
Se non volessi sbattermi per installare il firewall, quali sarebbero i primi provvedimenti urgenti che dovrei prendere sulla mia rete sgarruppata per evitare altri ospiti nel mio PC?
E per concludere: se volessi non solo difendermi ma addirittura passare al contrattaco per cercare di capire chi è l'intruso per poi farne polpette, come dovrei comportarmi? Non mi accontento di pingarli l'IP io!

Ovviamente intendo farne polpette legalmente, non fisicamente ^_^

Se qualcuno però avrà il buon cuore di illuminarmi su queste questioni spinose li sarò grato in eterno!


Bye

Exion

[Edited by exion on 14-03-2001 at 00:24]

Vitoz
14-03-2001, 00.29.32
ok,ma prima di qualunque altra considerazione,non e' che hai un trojan sul pc ?
(e che segnala in automatico la tua presenza in rete tramite irc... :eek: )

exion
14-03-2001, 01.04.06
Dunque... Un trojan... Si, in effetti ci avevo pensato. Ma Viruscan e inoculate (aggiornatissimi) non mi danno nessun riscontro a questa ipotesi. Potrebbero aver "mancato" il trojan??
E qualora ci fosse un trojan, Zone Alarm mi mette lo stesso al riparo, o dovrò prima scovare e eliminare il trojan?

Vitoz
14-03-2001, 01.24.10
beh,a meno che non trattasi di un trojan davvero recente,no... (oddio,non appena era uscito il Backdoor G2 2.0,McAfee ci ha messo un mesetto per riconoscerlo :p )

Zone ti protegge dalle connessioni in e out ('azz,ultimamente solo di Zone di parla in 'sti forum ;) ),
ma per quanto ne so ci sono dei bug di vulnerabilita' di Irc legati anche (e non solo) alla condivisione file,ma insospettisce appunto che tu ti sia accorto del Netbios aperto prima della chat... potrebbe essere che con una banale scansione a caso di un range di IP,abbia beccato le tue porte "troppo" aperte a causa della condivisione

se e' sempre lo stesso tizio con lo stesso nickname di Irc e insiste,puoi rivolgerti al suo provider segnalando la cosa e il suo IP,ma visto che gli IP cambiano,il fubbbo cambiera' spesso anche nickname (sempre poi che il tizio non usi linux e il suo IP non sia il primo preso in prestito ad esempio dalla sua contact list di L-ICQ...)

Bet
14-03-2001, 01.26.26
Per i troiani è specializzato The Cleaner: trovi il link, se non mi sbaglio nella sez. software di wintricks.

Eppoi se non vuoi che si allaccino tramite Netbios ti faccio uno spudorato copia-incolla pescando da altra fonte:
"Allora, parliamo di Win9x, ovvio (in w2000 e NT la procedura è totalmente diversa).
Aprite pannello di controllo. Doppio click su Impostazioni di rete > Il primo folder che compare, vi mostra in alto un client (sicuramente client per reti microsoft), il driver di accesso remoto e il protocollo TCP/IP (e altri se avete una rete locale configurata, compreso condivisione files e stampanti).
Noi prendiamo come esempio il fatto che voi non abbiate una rete locale...ok?
Quindi, in sintesi, eliminate il/i client, klickandoci sopra e premendo il pulsante rimuovi.
Dovete solo lasciare il driver di accesso remoto (altrimenti scompare tutto!) e il protocollo TCP/IP.
Così facendo, se andate a controllare le proprietà del TCP/IP (click sopra e premete il tasto proprietà), noterete che il legamento col NetBIOS non è in grigio ma selezionabile, segno che così avete chiuso qualche porta aperta dal NetBios.
Clickate sempre su "si" agli eventuali messaggi che vi lancia il protocollo TCP/IP, che chiede se volete continuare lo stesso anche se la rete non è configurata correttamente...Ignoratelo
Vi consiglio di collegarvi al sito http://www.grc.com ed effettuare un test delle porte prima e dopo questa semplice modifica...E vedrete che differenza!
Questa modifica, ovvio, serve solo a chi non ha una rete locale, ma solo chi fa accesso Internet.
Chi ha una rete locale con altri PC, deve obbligatoriamente lasciare tutto così com'è, magari l'unica accortezza è quella di controllare i Binding del Protocollo TCP/IP (sempre da proprietà sullo stesso) che non sia selezionata la casella usa client o condivisione files e stampanti. (ma questa non è una regola, dipende sempre da come è configurata la vostra rete)"

Vitoz
14-03-2001, 01.39.40
giustissimo Bet,dimenticavo The Cleaner... :eek:

che si puo' trovare qui (http://www.moosoft.com/download.php) ;)

kronos
14-03-2001, 08.54.07
È stato provato che se la tu hai rete gira con netbios,
è un bug che aspetta solo di essere utilizzato !

Cè un sistema, che parte dal dos,con comandi specifici ,è possibile avere informazioni sul tuo pc!

E se hai condivisioni attive possono usare il tuo hardisk come fosse un loro giocattolo !


ciao!

LordDerfel
14-03-2001, 12.08.58
Interessante discussione :)
Dunque, facciamo un po di chiarezza.

Il "lavoricchiare" che hai sentito sull'hd era sicuramente causato dall'intruso (magari con trova file, o esplora risorse).

Host name, velocità, ip, zona geografica , tutto può essere rilevato con estrema facilità...anche senza "intrufolarsi" nel pc di un'altro.

Il fatto che abbia visto il contenuto di C è ovvio, dato che l'hai condiviso...

Se non fosse stato condiviso, non avrebbe potuto vedere il contenuto del tuo Hard Disk. Infatti se non hai sul pc un trojan o una condivisione, non si può fare. (Aggiorna l'antivirus di nuovo, ma non credo tu abbia un trojan..le porte dei trojan sono variabili, ma di certo non la 139)

Cosa ha toccato/modificato/scaricato l'intruso in questione non lo saprai mai...a meno che ti abbia inserito un trojan, infatti, è praticamente impossibile accorgersi di eventuali cambiamenti ai file nell'hd...al massimo ti ha cancellato qualcosa.

Il fatto che tu fossi su IRC non c'entra nulla. Ma in questo caso l'ip si può trovare agevolnmente.


Il fatto che abbia visto che vai a 640k è opinabile..basta fare un lookup al tuo ip, vedere che hai una connessione adsl, e il gioco è fatto. Non capisco il fatto del "640k in download", l'adsl va a 128k in download e 640k in trasmissione.

Ora vediamo un po come si sono (probabilmente) svolti i fatti:

-L'intruso esegue una scansione della rete in cerca di risorse condivise
-Trova il tuo ip, vede che hai C condiviso senza una password, entra e inizia a frugare...
-Magari lui è in IRC come te, cerca il tuo IP nel server in questione e ti trova..a questo punto ti dice che ti è entrato nel pc :)

Non ha fatto nulla di speciale, comunque violare sistemi in questo modo (anche se sono sprovvisti di protezioni) è illegale. Puoi sempre prendere il suo ip e mandare una lettera al suo provider..Naturalmente senza ulteriori informazioni l'unica cosa che possono fare è minacciarlo di cancellargli l'account. :D


Ora vediamo cosa puoi fare per proteggerti al meglio:

-Per prima cosa inserisci una password alla condivisione. Può essere seccante digitarla ogni volta che ti colleghi da remoto al tuo pc, ma almeno è una sicurezza in più. Possibilmente sceglila lunga, con caratteri maiuscoli e minuscoli, e numeri.

-Cambia il nome alla tua condivisione aggiungendo una $ alla fine (es: C$ se la condivisione si chiama C)
In questo modo la tua condivisione non verrà mostrata all'intruso (sarà quindi invisibile quando cercherà di trovarla da dos)

-Prendi un firewall, questo serve sempre :)

Poi le varie procedure di sicurezza dipendono soprattutto dal Sistema Operativo. (se hai WinNt la cosa è più complicata, ma da quello che ho capito hai Win9x)
Tu chiedi anche come poter difenderti legalmente...devi poter dimostrare quello che è successo (quindi non risparmiarti in netstat, log del firewall e amenità varie :)) e notificare l'accaduto al provider dell'intruso.

Il sistema di cui parla kronos è appunto quello utilizzato in questo caso, anche se non è un bug :D
Infatti con i particolari comandi di cui si parla si stabilisce una relazione di "fiducia" con il conputer "vittima" per poter accedere alla condivisione. E come sapete è il metodo utilizzato da windows per utilizzare le risorse condivise. E' giusto il consiglio di disabilitare NetBios, ma avendo le risorse condivise è impensabile..non funzionerebbero più.


Spero di aver chiarito qualcosetta :)

ciaoraga
14-03-2001, 13.07.39
Un grazie anche da parte mia :)

Aggiungo soltanto che avere una adsl di questi tempi e chattare in irc è cmq abbastanza rischioso, in effetti sarà un gioco da ragazzi per lui ritrovarvi, il vostro ip è sempre lo stesso, non ricordo se oppure ogni quanto tempo possa essere cambiato, o se devi richedere tu un altro indirizzo, devo inoltre avvisarvi dell'esistenza di un programmino non troppo simpatico in quanto da IRC può settarti dei valori sbagliati di Windows o del BIOS, in questo modo ha la possibilità di impartire dei comandi che influenzano la stabilità nonchè il funzionamento del tuo Hardware, un esempio... il mio amico si è trovato il processore e i banchetti di RAM "colati"... non sembra essere una cosa troppo simpatica, settare un voltaggio non deve essere troppo difficile (purtroppo :() un mio consiglio è cmq quello di chattare nei server IRC dove si ha l'ip coperto o meglio ancora se si dispone di un Virtual Host (da richiedere all'amministratore/i del sudetto server) che camuffa del tutto l'indirizzo di connessione).
Non chiedetemi dove sia questo programmino, non l'ho mai visto ne tantomeno visto un link per scaricarlo, se ne è cmq parlato in IRC un pò di tempo fa :(

P.S. Lasciate stare i programmini che vi promettono di leggere le query in IRC perchè sono TUTTI infetti da Trojan!

NESSUNO MAI potrà leggervi ne tantomeno voi leggere altri mentre si è in query ;)

Ocio! :)

Cià! :)

LordDerfel
14-03-2001, 13.20.21
:):) L'amministratore può mettere sul server IRC degli strumenti che leggono le query, ma non è legale :D

Bye

exion
14-03-2001, 13.23.45
Innanzi tutto un grazie grosso come una casa a tutti voi per i preziosi suggerimenti.

Ho già installato Zone Alarm stamattina, software fantastico! Ho visto con Net.Medic che col firewall attivo non esce piu' nemmeno un bit dal mio pc se non decido io di farlo, è questo è già molto positivo.

The cleaner non ha trovato nessun trojan, e quindi apparentemente il mio "primo" lamer" si è solo fatto un giretto sul PC senza fare danni. Al limite si sarà scaricato qualche file ma tanto su quella macchina specifica non c'è nulla di riservato.

Ancora grazie

twinpigs
14-03-2001, 14.05.57
-

Vitoz
14-03-2001, 15.59.01
Originally posted by twinpigs

Per sapere se hai un bel trojan attivo:
appena avviato Windows dai sui il "netstat -an" e segnati le porte TCP e UDP attive
e magari faccele sapere

... specie se sono la 31666,31667,12345,12346,12347 e un'altra bella valanghina abbondante... ovviamente qualunque buon trojan ha in ogni caso la possibilita'di settare la porta con un numero qualunque,ben diverso da quelle di default... :eek:

e complimenti davvero al Lord per le esaurienti spiegazioni,sebbene dissenta un filo sul fatto che Irc non sia troppo pericoloso per il lasciare "buchi" aperti,basta leggersi qualche trattatello di IrcWar che si trova tranquillamente in rete ;)

ovviamente fra buttar giu' una connessione e farsi un giro su un HD altrui,ne passa

e l'importante e' difendersi,non offendere :)

Bet
14-03-2001, 16.19.50
Aggiungo (i miei sono sempre dei copia-incolla)
+,31,Master Paradise,,,+,121,BO jammerkillahV,,,
+,456,HackersParadise,,,
+,555,Phase Zero,,,
+,666,Attack FTP,,,
+,1001,Silencer,,,
+,1001,Silencer,,,
+,1001,WebEx,,,
+,1010,Doly Trojan 1.30 (Subm.Cronco),,,
+,1011,Doly Trojan 1.1+1.2,,,
+,1015,Doly Trojan 1.5 (Subm.Cronco),,,
+,1033,Netspy,,,
+,1042,Bla1.1,,,
+,1170,Streaming Audio Trojan,,,
+,1207,SoftWar,,,
+,1243,SubSeven,,,
+,1245,Vodoo,,,
+,1269,Maverick's Matrix,,,
+,1492,FTP99CMP,,,
+,1509,PsyberStreamingServer Nikhil G.,,,
+,1600,Shiva Burka,,,
+,1807,SpySender,,,
+,1981,ShockRave,,,
+,1999,Backdoor,,,
+,1999,Transcout 1.1 + 1.2,,,
+,2001,TrojanCow,,,
+,2001,DerSpaeher 3,,,
+,2023,Pass Ripper,,,
+,2140,The Invasor Nikhil G.,,,
+,2283,HVL Rat5,,,
+,2565,Striker,,,
+,2583,Wincrash2,,,
+,2801,Phineas Nikhil G. ,,,
+,3791,Total Eclypse (FTP),,,
+,4567,FileNail Danny,,,
+,4950,IcqTrojan,,,
+,4950,IcqTrojen,,,
+,5000,Socket23,,,
+,5011,OOTLT,,,
+,5031,NetMetro1.0,,,
+,5400,BladeRunner,,,
+,5400,BackConstruction1.2,,,
+,5521,IllusionMailer,,,
+,5550,XTCP 2.0 + 2.01,,,
+,5569,RoboHack,,,
+,5742,Wincrash,,,
+,6400,The tHing,,,
+,6669,Vampire 1.0,,,
+,6670,Deep Throat,,,
+,6883,DeltaSource (DarkStar),,,
+,6912,Shitheep,,,
+,6939,Indoctrination,,,
+,7306,NetMonitor,,,
+,7789,iCkiller,,,
+,9872,PortalOfDoom,,,
+,9875,Portal of Doom,,,
+,9989,InIkiller,,,
+,9989,iNi-Killer,,,
+,10607,Coma Danny,,,
+,11000,SennaSpyTrojans,,,
+,11223,ProgenicTrojan,,,
+,12076,Gjamer,,,
+,12223,Hack´99 KeyLogger,,,
+,12346,NetBus 1.x (avoiding Netbuster),,,
+,12701,Eclipse 2000,,,
+,16969,Priotrity,,,
+,20000,Millenium,,,
+,20034,NetBus Pro,,,
+,20203,Chupacabra,,,
+,20203,Logged!,,,
+,20331,Bla,,,
+,21544,GirlFriend,,,
+,21554,GirlFriend,,,
+,22222,Prosiak 0.47,,,
+,23456,EvilFtp,,,
+,27374,Sub-7 2.1,,,
+,29891,The Unexplained,,,
+,30029,AOLTrojan1.1,,,
+,30100,NetSphere,,,
+,30303,Socket25,,,
+,30999,Kuang,,,
+,31787,Hack'a'tack,,,
+,33911,Trojan Spirit 2001 a,,,
+,34324,BigGluck TN,,,
+,34324,Tiny Telnet Server,,,
+,40412,TheSpy,,,
+,40423,Master Paradise,,,
+,50766,Fore,,,
+,53001,RemoteWindowsShutdown,,,
+,54320,Back Orifice 2000 (default port),,,
+,54321,Schoolbus 1.6+2.0,,,
+,61466,Telecommando,,,
+,65000,Devil 1.03,,,


e qui una lista completa delle porte: http://www.isi.edu/in-notes/iana/assignments/port-numbers


[Edited by Bet on 14-03-2001 at 16:23]

LordDerfel
14-03-2001, 16.28.31
Grazie Vitoz :)

Per quanto riguarda questo caso, probabilmente IRC non c'entrava...cmq hai perfettamente ragione sulla sua pericolosità. La maggior parte degli utenti infetti da trojan se lo sono "beccato" in IRC..solitamente accettando file dagli sconosciuti :D

Esistono addirittura alcuni bug che permettono di eseguire codici malevoli attraverso mIRC.

Solitamente la prima mossa di chi penetra in un sistema, è quella di assicurarsi di porterci tornare...spesso piazzando un trojan.

Se facendo netstat si trovano le porte citate in ascolto, o magari utilizzate, oramai il danno è fatto. Basta però un antivirus aggiornato per ovviare al problema :)

Antares
14-03-2001, 16.31.01
Ehm, allora aggiungo pure la mia piccolissima lista, sperando che non superi le pagine consentite per i post. :D:D:D:D:D


port 2 - Death
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, MBT, Motiv, Net Administrator, Senna Spy FTP Server, WebEx, WinCrash
port 23 - Tiny Telnet Server, Truva Atl
port 25 - Aji, Antigen, Email Password Sender, Gip, Happy 99, I Love You, Kuang 2, Magic Horse, Moscow Email Trojan, Naebi, NewApt, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 48 - DRAT
port 50 - DRAT
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Back End, Executor, Hooker, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Invisible Identd Deamon, Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 123 - Net Controller
port 133 - Farnaz, port 146 - Infector
port 146 (UDP) - Infector
port 170 - A-trojan
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdministrator, Phase Zero, Stealth Spy
port 606 - Secret Service
port 666 - Attack FTP, Back Construction, NokNok, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 667 - SniperNet
port 669 - DP Trojan
port 692 - GayOL
port 777 - Aim Spy
port 808 - WinHole
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1000 - Der Spacher 3
port 1001 - Der Spacher 3, Le Guardien, Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1016 - Doly Trojan
port 1020 - Vampire
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1050 - MiniCommand
port 1080 - WinHole
port 1081 - WinHole
port 1082 - WinHole
port 1083 - WinHole
port 1090 - Xtreme
port 1095 - RAT
port 1097 - RAT
port 1098 - RAT
port 1099 - BFevolution, RAT
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 - SoftWAR
port 1212 - Kaos
port 1225 - Scarab
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
port 1245 - VooDoo Doll
port 1255 - Scarab
port 1256 - Project nEXT
port 1269 - Mavericks Matrix
port 1313 - NETrojan
port 1338 - Millenium Worm
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1524 - Trinoo
port 1600 - Shivka-Burka
port 1777 - Scarab
port 1807 - SpySender
port 1966 - Fake FTP
port 1969 - OpC BO
port 1981 - Shockrave
port 1999 - BackDoor, TransScout
port 2000 - Der Spaeher 3, Insane Network, TransScout
port 2001 - Der Spaeher 3, TransScout, Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2080 - WinHole
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2300 - Xplorer
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2716 - The Prayer
port 2773 - SubSeven
port 2801 - Phineas Phucker
port 3000 - Remote Shutdown
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3456 - Teror Trojan
port 3459 - Eclipse 2000, Sanctuary
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 (UDP) - Eclypse
port 4000 - Skydance
port 4092 - WinCrash
port 4242 - Virtual hacking Machine
port 4321 - BoBo
port 4444 - Prosiak, Swift remote
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5010 - Solo
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetropolitan
port 5031 - NetMetropolitan
port 5321 - Firehotcker
port 5343 - wCrat
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5637 - PC Crasher
port 5638 - PC Crasher
port 5742 - WinCrash
port 5882 (UDP) - Y3K RAT
port 5888 - Y3K RAT
port 6000 - The Thing
port 6006 - The Thing
port 6272 - Secret Service
port 6400 - The Thing
port 6667 - Schedule Agent
port 6669 - Host Control, Vampyre
port 6670 - DeepThroat, BackWeb Server, WinNuke eXtreame
port 6711 - SubSeven
port 6712 - Funny Trojan, SubSeven
port 6713 - SubSeven
port 6723 - Mstream
port 6771 - DeepThroat
port 6776 - 2000 Cracks, BackDoor-G, SubSeven
port 6838 (UDP) - Mstream
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3, NetController
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas, SubSeven
port 7001 - Freak88
port 7215 - SubSeven
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7424 - Host Control
port 7424 (UDP) - Host Control
port 7789 - Back Door Setup, ICKiller
port 7983 - Mstream
port 8080 - RingZero
port 8787 - Back Orifice 2000
port 8897 - HackOffice
port 8988 - BacHack
port 8989 - Rcon
port 9000 - Netministrator
port 9325 (UDP) - Mstream
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker, RUX
port 9878 - TransScout
port 9989 - iNi-Killer
port 9999 - The Prayer
port 10067 (UDP) - Portal of Doom
port 10085 - Syphillis
port 10086 - Syphillis
port 10101 - BrainSpy
port 10167 (UDP) - Portal of Doom
port 10528 - Host Control
port 10520 - Acid Shivers
port 10607 - Coma
port 10666 (UDP) - Ambush
port 11000 - Senna Spy
port 11050 - Host Control
port 11051 - Host Control
port 11223 - Progenic trojan, Secret Agent
port 12076 - Gjamer
port 12223 - Hack´99 KeyLogger
port 12345 - GabanBus, My Pics, NetBus, Pie Bill Gates, Whack Job, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12349 - BioNet
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 - Buttman
port 12631 - WhackJob
port 12754 - Mstream
port 13000 - Senna Spy
port 13010 - Hacker Brazil
port 15092 - Host Control
port 15104 - Mstream
port 16660 - Stacheldracht
port 16484 - Mosucker
port 16772 - ICQ Revenge
port 16969 - Priority
port 17166 - Mosaic
port 17300 - Kuang2 The Virus
port 17777 - Nephron
port 18753 (UDP) - Shaft
port 19864 - ICQ Revenge
port 20001 - Millennium
port 20002 - AcidkoR
port 20034 - NetBus 2 Pro, NetRex, Whack Job
port 20203 - Chupacabra
port 20331 - Bla
port 20432 - Shaft
port 20432 (UDP) - Shaft
port 21544 - GirlFriend, Kidterror, Schwindler, WinSp00fer
port 22222 - Prosiak
port 23023 - Logged
port 23432 - Asylum
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 - Donald Dick
port 26274 (UDP) - Delta Source
port 26681 - Spy Voice
port 27374 - SubSeven
port 27444 (UDP) - Trinoo
port 27573 - SubSeven
port 27665 - Trinoo
port 29104 - Host Control
port 29891 (UDP) - The Unexplained
port 30001 - TerrOr32
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30103 - NetSphere
port 30103 (UDP) - NetSphere
port 30133 - NetSphere
port 30303 - Sockets de Troie
port 30947 - Intruse
port 30999 - Kuang2
port 31335 (UDP) - Trinoo
port 31336 - Bo Whack, ButtFunnel
port 31337 - Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP) - BackFire, Back Orifice, DeepBO, Freak>
port 31338 - NetSpy DK, ButtFunnel
port 31338 (UDP) - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack´a´Tack
port 31787 - Hack´a´Tack
port 31788 - Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 - Hack´a´Tack
port 32100 - Peanut Brittle, Project nEXT
port 32418 - Acid Battery
port 33333 - Blakharaz, Prosiak
port 33577 - PsychWard
port 33777 - PsychWard
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 34555 (UDP) - Trinoo (Windows)
port 35555 (UDP) - Trinoo (Windows)
port 37651 - YAT
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 41666 - Remote Boot
port 41666 (UDP) - Remote Boot
port 44444 - Prosiak
port 47262 (UDP) - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 51996 - Cafeini
port 52317 - Acid Battery 2000
port 53001 - Remote Windows Shutdown
port 54283 - SubSeven
port 54320 - Back Orifice 2000
port 54321 - School Bus
port 54321 (UDP) - Back Orifice 2000
port 57341 - NetRaider
port 58339 - ButtFunnel
port 60000 - Deep Throat
port 60068 - Xzip 6000068
port 60411 - Connection
port 61348 - Bunker-Hill
port 61466 - Telecommando
port 61603 - Bunker-Hill
port 63485 - Bunker-Hill
port 65000 - Devil, Stacheldracht
port 65432 - The Traitor
port 65432 (UDP) - The Traitor
port 65535 - RC

Ehm, vi basta o devo aggiungerne ancora? :D:D:D

Bet
14-03-2001, 16.36.47
Hai qualche link per questa lista?

Antares
14-03-2001, 16.42.48
No, nessun link, non li ho trovati su un sito.
E' solo una raccolta. ;)

Vitoz
14-03-2001, 16.49.41
Originally posted by LordDerfel

Solitamente la prima mossa di chi penetra in un sistema, è quella di assicurarsi di porterci tornare...spesso piazzando un trojan.



e se poi e' particolarmente bastardo,nemmeno lo protegge con password,cosi' anche il primo dodicenne con uno scanner... ;)

che poi in fondo sono loro a fare danni,il lamer "serio" al massimo ti usa come "zombie" per un DDOS... :p

LordDerfel
14-03-2001, 17.43.28
Eggià :D
Anche se di lamer "seri" ne ho incontrati pochi finora..eheheh
Ah, io ho 16 anni (per la cronaca :D)

Vitoz
14-03-2001, 18.40.44
Originally posted by LordDerfel
Eggià :D
Anche se di lamer "seri" ne ho incontrati pochi finora..eheheh
Ah, io ho 16 anni (per la cronaca :D)

sempre MOLTI piu' di dodici :D
e poi da un lato invidio la tua generazione,che ha il vantaggio di essere nata col pc al posto dei videogiochi fatti con 4 stanghette e un quadratino che dovevi mandare in "gol" :eek:

o quando dovevi caricare un gioco decente col C64 e lui ci metteva tipo 127 giri del "mangiacassette": facevi in tempo a cenare... (oddio,il bello era che i giochi te li copiavi con lo stereo doppia cassetta,altro che masterizzatore :D :D :D )

e sys64738 ? il CTRL+ALT+DEL del paleozoico :)

bei tempi pero'...

carino l'abbozzo di xdesign.it :),complimenti

LordDerfel
14-03-2001, 19.17.05
Grazie, ci sto lavorando :)
E il tuo sito dove lo trovo? :)

Io ho il pc da un anno e mezzo...tu mi parli del C64, quindi presumo che ce l'hai da un po più tempo :D Effettivamente imparando a utilizzare il pc quando si è molto giovani può aiutare, ma dipende da come lo si utilizza :) Può creare ottime opportunità di lavoro, ma se uno lo usa solo per giocare...eheheh

Poi - strano a dirsi - non tutti alla mia età hanno un pc. Nella mia classe saremo in 3 o 4...su 15.

In America invece si vedono ragazini di 12 anni che bucano server della nasa, del governo... :D
Io sono sempre stato mooolto curioso e soprattutto mi affascina la sicurezza su internet...il controsenso è che se uno vuole sapere davvero come si protegge una rete, per esempio, deve provare a entrarci...e visto che non tutti possiedono una rete con router, firewall ecc in casa, si cade nell'illegale.
Visti i vari film recenti (TheMatrix e compagnia bella) trovo strano che non siano ancora usciti videogiochi dove per vincere devi entrare in un sistema senza farti scoprire dall'amministratore :D:D

Vitoz
14-03-2001, 19.45.17
come si dice dalle mie parti,fa' bala' l'oeuch (cioe' ocio'), se proprio devi sperimentare come forzare qualcosa,fallo con un amico consenziente che ti permetta di provare a "bucarlo"

cmq partire dal C64 non vuol dire nulla,ritengo gia' un' esagerazione considerarmi conoscitore del pc al 50% scarso,e tutta questione di tempo da dedicarci (e leggere parecchie perle di saggezza,come nel WT forum)

e cmq poco tempo=niente sito :(

ok,stiamo andando "off topic"... vabbe' capita :)

LordDerfel
14-03-2001, 20.05.54
Eggià :)
Cmq ti capisco, pure io non ho molto tempo per il sito :)
Hai ragione, siamo un po OT, meglio finirla qui :D Non so qui, ma nei forum che visito solitamente non si sgarra...eheh :)

Bye

Bet
15-03-2001, 00.40.42
SCUSATE!
Ma se, come sta mi sta segnalando il firewall, vedo tentativi di intrusioni con PcAnywhere (che non ho sul mio pc) e altre porte tipo la 22 (che deve essere un servizio simile)? Per non parlare delle porte alte che stan provando (52149-60000).
Che faccio?

Antares
15-03-2001, 03.52.30
Guarda nella mia lista le porte che corrispono alle segnalazioni che hai avuto e saprai con cosa hanno cercato di entrare o cosa cercavano. ;)
Ad esempio la 60.000 è Deep Throat. :)

Bet
15-03-2001, 10.30.17
Originally posted by Antares
Guarda nella mia lista le porte che corrispono alle segnalazioni che hai avuto e saprai con cosa hanno cercato di entrare o cosa cercavano. ;)
Ad esempio la 60.000 è Deep Throat. :)

Ma Deep Throat è un troiano? Io non ho nessun programma che fa da server installato su pc.

LordDerfel
15-03-2001, 10.37.40
Può darsi che sia un semplice scan (sei in irc?)
Cmq tieni i log..non si sa mai :)

Bet
15-03-2001, 10.43.27
No, niente irc (che non so neppure ben cosa sia; un icq?)
A parte scansioni, firewall devo avere qualche altra precauzione?


Trovato: http://www.symantec.com/avcenter/venc/data/deepthroat.trojan.html


Ma mi domando: come fanno a tentare di entrare sul pc con PcAnywhere? Non necessita che sia installato sul due pc?
Ma perchè la gente si fa i caxxi degli altri per rompere le sfere, e non quando dovrebbe?

[Edited by Bet on 15-03-2001 at 10:53]

LordDerfel
15-03-2001, 10.52.41
Internet Relay Chat :)

Cmq non penso tu possa avere dei problemi. Soprattutto se hai win9x.

Antares
15-03-2001, 18.48.35
Se sei sicuro di non avere il server sull'hd allora stai tranquillo, sono le solite scansioni di range di ip.
Capita a tutti, no prob. :)