Hackage d'appli sous W2K Pro.... Comment kil fait ? - Windows & Software
Marsh Posté le 28-11-2001 à 16:38:37
je V peut etre expliciter alors ....
bon, un collegue admin comme moi m'a refiler un troyan horse ya deja qq mois et depuis, il fait ce kil veut sur ma becane (genre killing de processus, C pas plus mechant que ca mais C tres tres chiant, surtout que C un vrai gamin avec ca).
Il paraitrait ( ) que C faisable par tout le monde (genre "C pas un troyan", mais bon, je peux pas lui faire confiance )... voili voilou....
Donc si qq1 a dja entendu un truc la dessus... merci !
Marsh Posté le 28-11-2001 à 16:40:57
ah! merde, j'avais pas vu, t'es admin en plus?! Dans quelle boite?
Marsh Posté le 28-11-2001 à 16:41:07
jebthebear a écrit a écrit : je V peut etre expliciter alors .... bon, un collegue admin comme moi m'a refiler un troyan horse ya deja qq mois et depuis, il fait ce kil veut sur ma becane (genre killing de processus, C pas plus mechant que ca mais C tres tres chiant, surtout que C un vrai gamin avec ca). Il paraitrait ( ) que C faisable par tout le monde (genre "C pas un troyan", mais bon, je peux pas lui faire confiance )... voili voilou.... Donc si qq1 a dja entendu un truc la dessus... merci ! |
j'ai pas vraimennt compris
tu cherches a enlever le trojan ou bien a en mettre un a qqun ?
Marsh Posté le 28-11-2001 à 16:44:46
boumbastic a écrit a écrit : j'ai pas vraimennt compris tu cherches a enlever le trojan ou bien a en mettre un a qqun ? |
non non, le virer ! Je m'amuse pas a ca moi, sauf que j'aimerais savoir comment il fait, juste pour m'endormir moins con quoi....
Mais bon, G eu 2 versions differentes de ce pb : troyan et "outil" (mouais ) utilisable tres simplement (genre util d'admin. sous Windaube)
gizmo > T gentil mais je me permettrais pas de venir ici sans avoir essayer de le trouver ! C un minimum qd meme !!
Marsh Posté le 28-11-2001 à 16:59:28
jebthebear a écrit a écrit : non non, le virer ! Je m'amuse pas a ca moi, sauf que j'aimerais savoir comment il fait, juste pour m'endormir moins con quoi.... Mais bon, G eu 2 versions differentes de ce pb : troyan et "outil" (mouais ) utilisable tres simplement (genre util d'admin. sous Windaube) gizmo > T gentil mais je me permettrais pas de venir ici sans avoir essayer de le trouver ! C un minimum qd meme !! |
bah il fait pas grand chose
le troyen est un outil `de debutant ou de lamer, mais c vrai que drole de le faire a qqun que tu connais notamment dans la meme societe.
il suffit d'executer un petit prog sur la machine cible et c tout.
cette machine devient serveur , elle ecoute sur un port predetermine et l'apprenti hacker pourra se connecter avec le client adapté.
la suivant le trojan qu'il utilise il aura de multiple possibilité.
le principal interet d'un trojan a un stade plus "avance" c'est de piloter plusieurs machine infecte et leur demander de se connecter en meme tps sur un serveur . c une attaque DoS distribuée qui a l'avantage pour le pirate de ne pas devoiler l'dresse de sa machine puisque celle ci ne se connecte pas sur la cible finale.
le pb avec les gens qui veulent juste s'amuser a t'emmerder c que n'importe qui d'autre peut faire un tour sur ta machine si par hasard il s'apercoit qu'elle est infecte. (y a des mecs qui passent leur tps a scanner des range d'IP pour trouver ce genre de truc)
car tu as du le comprendre la seule reellle difficulte est d'executer ledit prog sur la cible .
dans une entreprise c tres simple (entre midi et 2, le soir..) mais sur le net c plus dur. (pieces jointes d'un mail par ex)
voila sinon les plus classiques sont SubSeven, Netbus, Back Orifice et biens d'autres
une commande netstat -an sur ta machine est un debut pour voir si t'es infecte .
par ex les port 1234, 12345 , 27374 ou d'autres sont typiques.
tu coupes tout (icq, navigateur, autres pro en arriere plan) et tu fais la commande .
c le debut de tte recherche .
Marsh Posté le 28-11-2001 à 17:09:54
Oki je l'ai l'enfoiré.... port 1271 et 1251... Etat : established
je fé comment pour le virer de la pliz ??
(deja 1000 merci pour l'info)
Marsh Posté le 28-11-2001 à 17:19:35
jebthebear a écrit a écrit : Oki je l'ai l'enfoiré.... port 1271 et 1251... Etat : established je fé comment pour le virer de la pliz ?? (deja 1000 merci pour l'info) |
pas un port classique ca, ca veut rien dire, mais ca me parait louche
dans win 2k tu vas dans la base de registre et tu fais (de memoire la j'ai une merde de Mac sous les yeux) Local machine/Software/Microsoft/Windows/currentversion/run/ et la tu checkes les progs de demarrage
y a plein d'autre endroit malheuresement pour faire demarrer un exe, le rep start up tt simplement !
d'autres cles dans la BDR, les services sous 2 K.
verifie aussi les process qui tournent sur ta machine et vers quels exe ils pointent .
enfin bon ca c pour apprendre a le faire mais c vrai qu'un antivirus mis a jour devrait te le trouver , essaye aussi des outils destinés au troyen comme the cleaner
Je te conseille quand meme de le faire a la main car ca permet d'apprendre comment ca marche et c'est que tu voulais savoir !!
Marsh Posté le 28-11-2001 à 17:21:41
ah et puis un firewall genre ZA pro te permettrait d'eviter ce genre de pb a l'avenir.
il t'avertirait quand un exe ou un dll demande des droit de serveur sur ta machine.
Marsh Posté le 28-11-2001 à 17:21:42
ah et puis un firewall genre ZA pro te permettrait d'eviter ce genre de pb a l'avenir.
il t'avertirait quand un exe ou un dll demande des droit de serveur sur ta machine.
Marsh Posté le 28-11-2001 à 17:29:58
tres bonne memoire
G un truc chelou dedans... Synchronization Manager (le nom est pas chelou en lui meme, C plus son repertoire ki me turlupine : il est po sous C: ... C marqué : "mobsync.exe /logon" telkel ! C grave docteur ??)
Marsh Posté le 28-11-2001 à 17:33:15
jebthebear a écrit a écrit : tres bonne memoire G un truc chelou dedans... Synchronization Manager (le nom est pas chelou en lui meme, C plus son repertoire ki me turlupine : il est po sous C: ... C marqué : "mobsync.exe /logon" telkel ! C grave docteur ??) |
la j'ai un doute
mais je crois pas que ce soit ca
Marsh Posté le 28-11-2001 à 17:38:33
boumbastic a écrit a écrit : la j'ai un doute mais je crois pas que ce soit ca |
moi non plus en fait... je T dis ca car cette appli n'avait pas de lecteur source, et C T la seule...
Bref, sinon, ya un truc pour securiser l'acces a sa machine a ce kil parait (lorsqu'elle recoit une demande pour les droits serveur je crois). Ca te dis rien ca ??
Marsh Posté le 28-11-2001 à 17:45:33
jebthebear a écrit a écrit : moi non plus en fait... je T dis ca car cette appli n'avait pas de lecteur source, et C T la seule... Bref, sinon, ya un truc pour securiser l'acces a sa machine a ce kil parait (lorsqu'elle recoit une demande pour les droits serveur je crois). Ca te dis rien ca ?? |
un firewall
prends ZA pro c tres bien
Marsh Posté le 28-11-2001 à 17:52:09
boumbastic a écrit a écrit : un firewall prends ZA pro c tres bien |
bah oui mais sur mon post client...... C cho non ?
Et pour le truc W2K Pro pour securiser son acces (C un soft fourni avec je crois), ca te dis rien ?
ZA, C pour Zone Alarm C ca ? (40$ la licence...t'aurais po la version freeware pliz ? )
Marsh Posté le 28-11-2001 à 19:50:57
jebthebear a écrit a écrit : bah oui mais sur mon post client...... C cho non ? Et pour le truc W2K Pro pour securiser son acces (C un soft fourni avec je crois), ca te dis rien ? ZA, C pour Zone Alarm C ca ? (40$ la licence...t'aurais po la version freeware pliz ? ) |
il existe une version gratuite
Marsh Posté le 28-11-2001 à 16:10:12
salut,
en fait, je taf (en rezo) sous W2K, et un co***rd me vire mes appli (seulement quand il est bourré ) genre je suis sur le forum.... et zouuuuuuuuu, j'y suis plus On m'a dis que C T juste sur les executables que ca fonctionnait...
Kezaco pliz ??
merci
---------------
-----BEGIN PGP SIGNATURE-----