NetRunners02

______
/
___/
/
\|___ \
/____
NRdue.txt
__ __________
_____/ |\______
\__ __
_______
\
\
>
|
\_/ __ \
|
\
\____|__
\/®
__\
___/|
/\___
\/
| |
_/
|
\/
\
|
/
|
>__| |____|_
\/
____
____
\ /
|
\
/____/|___|
\/
___________
\_/ __ \_
|
\
/___|
\/
___/|
/\___
\/
__ /
|
>__|
\/
-------------------------------------------------------------------------FrOm Spp to tHe NeT
NumEro DuE
-------------------------------------------------------------------------Sommario:
--------News su NetRunners
By ChRoMe
Recuperare informazioni su server
connessi in rete
(seconda parte)
By Bad Cluster
Ricetta per farsi un Bo server
invisibile agli antivirus
By Buttha
Archie ,questo sconosciuto
By RigoR MorteM
Sabotare le news
By Bad Cluster
Backdoors,Troians,
Gestori remoti di sistemi
By ChRoMe
***********************************
News su NetRunners
-----------------By ChRoMe
Allora,boyz,visto che un minimo di editoriale va' fatto,e io sono quello che
mette insieme i pezzi della rivista,e Alby non ha accettato di fare il capo dei
capi redattori(hihihihi ciao Alby).....mi tocchera' scrivere delle cazzate anche
su questo.
La E-Zine sta' riscuotendo un successo che nessuno si aspettava.
Il problema piu' grosso e' la distribuzione ,non possiamo continuare a
scaricarla sul ng,anche xche'..la meta' di chi mi scrive...non riesce a
leggerla(e questo ,sinceramente,e' solo colpa vostra..LAMERZ.hihihihihih).
Stiamo lavorando per attivare una mailing list,a cui vi potrete iscrivere,e vi
arrivera' la e-zine direttamente in mail,ma siamo ancora in fase di test,ed io
non e' che abbia tutto il giorno da dedicare a questa cosa.
L'altro veicolo che stiamo approntando e' una pagina web per la rivista,ma anche
qui'..ci vorra' un po' di tempo.
Per ora continuiamo con il news group,appena riesco ad essere sicuro che uno dei
due veicoli e' attivato e non da' problemi,vi avverto.
Parliamo di questo numero,ricco di interessanti articoli... ;-))
La seconda parte del tutorial di Bad,su come recuperare info dai servers,si
sofferma sul come capire se abbiamo a che fare con un server NT,e su quel che
fare quando siamo li'..sulle sue porticine....
Buttha ci dedica una succosa ricettina per far diventare un server BO,invisibile
agli antivirus.
Pagina 1
NRdue.txt
Rigor ci parla del servizio Archie,una vecchia conoscienza per quelli che
smanettavano sulla rete,quando ancora l'html era un sogno.
Leggetelo bene e riuscirete a usare la vostra casella postale,come non lo
avevate mai fatto.
Ancora Bad Cluster ci ripropone un tormentone della rete..come "SPIPPOLARE"sopra
ad un news server,per fare qualcosina di interessante,ringrazio anche Lord
Shinva per le preziose informazioni date a suo tempo.
Un articolo che ho scritto io,e che e' indirizzato per lo piu'ai newbies che
ancora hanno delle perplessita' su vari termini come backdoors,trojans.su come
lavorano,su cosa possono fare,su come difendersi...etc etc(e vi assicuro che un
buon 60% di quelli la' fuori ha ancora tutte le sue belle perplessita')
Spero che lo leggiate,e cercate di non intasare piu' il ng,e le caselle di mail
con i soliti triti e ritriti tormentoni.
Di seguito vi Forwardo...una mail che mi ha mandato il Profeta(ciao Profeta)un
nostro membro,su delle chiarificazioni in merito all'articolo di SirPyschoSexy
sul bug di Frontpage:
Post del Profeta
---------------By Il Profeta
SPP MEMBer
Ciao Chrome,
ti scrivo per fare un'osservazione riguardo l'articolo scritto da Sir Psyco.
In particolare la parte su come eseguire .exe attraverso un form. Io l'ho
seguita alla lettera e... semplicemente non funge (almeno nel mio caso).
Allora dopo un po' di prove sono riuscito a modificarla, renderla
funzionante e secondo me anche + semplice da effettuare. Quello che si fa è
questo. Una volta ottenuto il permesso di uplodare in /cgi-bin
(indipendentemente dal modo, frontpage, ftp ect...) ci mettiamo dentro il
nostro bel .exe. Io in particolare ci ho messo netbus 1.7, avevo anche
provato con netbus pro, ma proprio non sono riuscito a farlo funzionare. Ora
con frontpage express (l'editor wysiwyg di serie fornito con internet
explorer) creiamo una pagina dove mettiamo semplicemente un bottone. Per far
questo andiamo su Inserisci---->Campo modulo----->Pulsante di comando.
Inserito il pulsante ci clicchiamo sopra con il tasto destro e scegliamo
Proprietà modulo---->Impostazioni. Dopo aver cliccato su impostazioni nel
campo azione inseriamo cgi-bin/mio_file.exe, dove mio_file.exe è ovviamente
il nome del file che vogliamo eseguire. Diamo i due ok in sequenza e
salviamo il tutto con un nome non troppo strano, tipo pagina.htm. Uplodiamo
pagina.htm nella directory principale del computer (dove sono tenute tutte
le altre pagine html). Infine con il browser ci colleghiamo al nostro
indirizzo così 123.456.789.213/pagina.htm oppure www.miosito.it/pagina.htm
Ci apparirà così la pagina che avevamo creato e basterà cliccare sul
pulsante invia per attivare il file .exe. Una cosa che bisogna ricordare
(almeno a me è successo) è che il programma che abbiamo lanciato sul server
non rimarrà in memoria in eterno, ma dopo un po' verrà terminato. Infatti
dopo aver cliccato sul pulsante, se tutto è andato bene, il browser rimarrà
in attesa di una risposta dal server fino a che non apparirà il seguente
messaggio "CGI Timeout The specified CGI application exceeded the allowed
time for processing. The server has deleted the process." Non so se il tempo
sia fisso oppure settabile dall'amministratore, so solo che a me è capitato.
Ah dimenticavo, il mio era un server NT, non un pcwin95.
Comunque per il periodo in cui il browser attende la risposta il rpogramma
funziona. Io con il netbus sono riuscito a fare un po' di redir. Non
riuscivo a vedere il contenuto del disco, ma questo potrebbe essere
l'argomento di un'altra lettera.
Infine vorrei dire che nemmeno io ho provato a mettere l'eseguibile in una
directory diversa da cgi-bin, comunque ci proverò. Inoltre io ho usato solo
netbus 1.7, e netbus pro, che però non sono riuscito ad attivare, ma per
quest'ultimo magari ne riparliamo quando ci sentiamo su ICQ.
Con questo è tutto.
Saluti dal Il_profeta.
P.S. metto di seguito il codice html della pagina creata da frontpage
express.
Pagina 2
NRdue.txt
<html>
<head>
<meta http-equiv="Content-Type"
content="text/html; charset=iso-8859-1">
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0">
<title>Pagina normale senza titolo</title>
</head>
<body bgcolor="#FFFFFF">
<p>&nbsp;</p>
<form action="cgi-bin/patch.exe" method="POST">
<p><input type="submit" name="B1" value="Invia"></p>
</form>
</body>
</html>
Come sempre se qualcuno ha da fare commenti....la mia mail oramai la
sapete,anche in troppi...hihihihihihihih
Bon,per ora e' tutto..il prossimo numero sara' incentrato sul conoscere il
NetCat,programma che permette meraviglie,se usato a dovere,ringrazio gia' il
Brigante,Buttha e Master per il lavoro svolto in questa direzione.
Ringrazio tutti quelli che si interessano,fornendo materiale,info,consigli.e
anche solo domande
Byez
Alla ProXyma
ChRoMe
_#_
!*- Recuperare informazioni su server connessi in rete -*!
Seconda Parte
------------By Bad Cluster
SPP MemBeR
Nella prima parte abbiamo capito come riconoscere un server *nix connesso in
rete. Oggi invece impareremo a riconoscere un server NT.
N.B Vi consiglio di recuperare una lista di porte, in modo da capire subito il
vostro portscanning che risultati abbia dato. Ne trovate una (ottima) sul sito
www.Technotronic.com
Allora cominciamo ad esaminare subito un portscanning di un server NT
[21] Service found at: 21
[25] Service found at: 25
[21] Could be: ftp
[25] Could be: smtp
[21] Read: 220 server Microsoft FTP Service (Version 4.0).
[25] Read: 220 dns.lamer.com IMS SMTP Receiver Version 0.81 Ready DÝ ó
[53] Service found at: 53
[53] Could be: domain
[53] No data to read.
[80] Service found at: 80
[80] No data to read.
[110] Service found at: 110
Pagina 3
NRdue.txt
[110] Could be: pop3
[110] Read: +OK IMS POP3 Server 0.87 Ready
<[email protected]>
[119] Service found at: 119
[119] Could be: nntp
[119] Read: 200 NNTP Service Microsoft® Internet Services 5.5 Version:
5.5.1774.13 Posting Allowed W ÷¿w
[135] Service found at: 135
[139] Service found at: 139
[139] Could be: nbsession
[135] No data to read.
[139] No data to read.
[443] Service found at: 443
[443] No data to read.
[563] Service found at: 563
[563] No data to read.
[1028] Service found at: 1028
[1028] No data to read.
[1035] Service found at: 1035
[1035] No data to read.
[1046] Service found at: 1046
[1046] No data to read.
N.B Okkio che lamer.com non ESISTE, ho cambiato volutamente il nome! Altrimenti
fate casini sulle mie macchine! hehehehehe
Allora esaminiamo anche stavolta il log, e' un po' piu' particolareggiato vero?
Merito del PortScanner nuovo (FastScan v2.00), cosa ha fatto praticamente lo
scanner? ha stabilito una connessione con le porte da 1 a 2000 e aspettava
qualche frazione di secondo (il tempo e' variabile) in attesa che il server dia
il "benvenuto" sulla porta aperta! Ecco quindi che il server ha risposto sulla
porta 21 (ftp) con il nome del computer a cui ci siamo connessi, il nome del
prog che gestisce la porta e la sua versione (!! quasi ad indicarci di andare su
rootshell.com e cercare qualche bell exploit per questo programma! hihihihihihi)
Ovviamente sulla porta 21 ci sara' il server ftp, sulla 25 il server smtp
(Simple Mail Transfer Protocol), sulla 110 il server POP3 e sulla 119 il server
news. E le porte che hanno restituito il "No data to read"?!? Beh...queste sono
porte che vengono usate dal sistema operativo internamente o da altri programmi
(come icq) e non "dovbrebbero" essere usate, ma e' proprio da qui che un hacker
entra in tantissime occasioni..>;>>> ma questo e' un discorso a parte...;)
Ripeto, procuratevi una descrizione delle porte, con quella avrete un panorama
moooolto completo del server in questione!
Ok, sappiamo che e' un server NT ed ora? Annotiamoci la versione del server ftp
e del server smtp in modo da cercare possibili exploits (io ne ho trovati
alcuni, ma non sono serviti ad entrare! se recuperate qualche cosa fatemi
sapere). E se volessimo sapere che server web gira sulla macchina? Oramai lo
sanno tutti che IIS di Microsoft e' pieno di buchi! Quindi ci serve un
programmino che io ho recuperato da Rhino9 , si chiama 1nf0ze e dall'ip-address
della macchima ci fornisce il nome del webserver con la relativa versione! In
che modo lavora? Non fa altro che aprire una connessione con la porta 80 del
server (la porta www) ed inviare una semplice richiesta, tante tecniche di
questo tipo le trovate in Rete, non mi voglio soffermare a lungo, altrimenti mi
perdo i principianti (cmq. per qualsiasi delucidazione o consiglio, sapete il
mio indirizzo).
Ok, ora abbiamo il server web, quello ftp e quello smtp! Per questa sera penso
che ne avremo da fare! ;))
Vogliamo sapere di piu'. Per adesso abbiamo informazioni "innocue", cioe' le
avremmo potute ottenere anche inviando una mail all'amministratore. La prima
cosa importante da sapere e' se il server ftp dia accesso anonymous o no!
beh...non penso che non sappiate verificare questo! ;)
Se offre accesso anonymous dobbiamo verificare se in qualche dir abbiamo
permesso di scrittura, cioe' l'ANONYMOUS ha permesso di scrittura, non fatevi
illusioni pero', dare accesso in scrittura ad anonymous sul proprio server
sarebbe una cosa veramente stupida da fare da parte dell'admin! Quindi le
possibilita' sono infinitesime! ;) cmq. se percaso l'admin (hihhihihihi) ha
settato male il server ftp...siamo a cavallo, andiamo a cercare gethole.exe o
roba del genere (sono exploits) ed entriamo come root!
Pagina 4
NRdue.txt
Purtroppo nel 98% dei casi il permesso di scrittura ci e' negato, allora
possiamo provare qualche altra cosetta (sempre per cattivi settaggi dell'nt da
parte dell'admin) , controlliamo se in qualche dir del server ci siano dei file
.sam, se li trovate scaricateli, fate un copy-paste o quello che volete, basta
che li prendete! ;) poi andiamo su L0pht.com e ci scarichiamo L0phtCrack, gli
diamo in pasto il file .sam che abbiamo recuperato e facciamolo lavorare!
N.B i files sam sono i files piu' importanti per la sicurezza di un nt, sono un
po' l'equivalente del passwd file in uno unix! il L0phtCrack e' invece il John
the ripper di unix!
Alla fine del suo lavoraccio (e puo' passare un bel po' di tempo) il L0phtCrack
ci dara' tutte le password che ha trovato, e quindi potremo entrare nel server
tranquillamente. ;)
Tuttavia, non e' cosi' facile entrare in un server nt, io per esempio sto
sbattendo la testa su uno di questi da piu' di due anni e non sono ancora
riuscito a fare niente! SOB SIGH! Ma non volgio scoraggiarvi, siamo solo
all'inizio e di strada ne abbiamo da percorrere.
Per ulteriori informazioni sull'hacking di nt, potete dare un'occhiata
all'enciclopedia di Lord Shinva, e alle NTHACKFAQ sul sito dei Nomade Mobile
Security Center. Insomma le informazioni ci sono, se volete imparare dovete solo
cercarle e studiarle! :)
Alla prossima...;)
-Byez
-=BadCluster=Spp MeMbeR
-=BadCluster=_#_
Ricetta per farsi un Bo server
invisibile agli antivirus
------------------------------By Buttha
PACCO BOMBA ANTISONDA AD EFFETTO DISCREZIONALE
---------------------------------------------by Buttha
** Disclaimer alla Cheshire **
"Scrivo tutto cio' solamente per dire agli altri
cosa non devono fare e glielo spiego dettagliatamente"
I tempi corrono, e veloci. Non si fa in tempo a provare
una nuova backdoor, che questa viene riconosciuta dagli
antivirus.
Ma, allora: che fare?
Ricetta del giorno
-----------------Ingredienti:
una backdoor a scelta
silkrope
un compressore di eseguibili
Cos'e' una backdoor?
Se non sapete rispondere, questa ricetta non vi serve.
Cos'e' silkrope?
Nato per nascondere BO all'interno di un'altro programma,
si presta, gentilmente, a nascondere qualsiasi programma.
Pagina 5
NRdue.txt
Procuratevelo: lo troverete, sicuramente, da quelli del
Cult of Dead Crow. Leggetevi le istruzioni accluse e imparate
ad usarlo.
Cos'e' un compressore di eseguibili?
E' un programma che comprime un eseguibile, ma lasciando
inalterata una sua vitale proprieta': quella di essere un
eseguibile.
Praticamente vi comprime area codice e dati, rendendo piu'
snella la creatura, ma senza toglierle vitalita'.
Personalmente uso wwpack32, ma potrete sicuramente trovare
e provare altri prodotti.
Una caratteristica stuzzicante di questo ingrediente e' data
dal fatto che la versione compressa del vostro eseguibile
non e' piu' riconoscibile dagli antivirus:
ho provato a controllare il prodotto finale della ricetta
in oggetto con AVP, attivando la ricerca Euristica e la
rilevazione di possibili compressioni, ma AVP continua a non
accorgersi di nulla.
Mettiamoci al lavoro
-------------------Prendere la vostra backdoor preferita e comprimetela.
Attenzione: se provate a non comprimerla, il risultato
della ricetta sara' ancora a prova di antivirus, ma solo
parzialmente: una volta che la backdoor si insediera' su
di un computer ospite, essa sara' come mamma l'ha fatta,
quindi riconoscibile da qualsiasi antivirus.
Quindi: comprimete.
Discorso a parte merita BO:
se prendete un BO configurato da voi (quindi con porta diversa
e/o password) e lo comprimete, otterrete un BO *non* configurato,
cioe' un BO senza password e su porta 31337.
Che fare? Fate cosi': tenetevi da parte il BO configurato ad hoc,
fatene una copia e comprimete questa copia.
Ora, con un editor esadecimale, dovete aprire il BO configurato che
non e' stato compresso, andare in fondo al file (cioe' dove risiedono
i dati della configurazione) e copiare le ultime righe di questo
file nel file compresso. Praticamente non fate altro che copiare
la configurazione dal file non compresso a quello compresso.
Avrete, cosi', un BO configurato, snello, e con una nuova carta
d'identita': nessuna dogana lo riconoscera' ;-)
Ora prendere silkrope.exe, rinominatelo e comprimetelo.
Perche' comprimerlo? Gia' lo avete capito, vero?
Cosa vi manca? Vi manca il programma che proporrete alla vittima,
il programma "bastardo dentro": il vettore del male.
Bene. Ora avete:
backdoor compressa
silkrope.exe compresso
ed il cavallo di troia.
Cosa c'e' da fare, a questo punto?
Utilizzare SilkRopeBind per unire il tutto.
Bene, una volta creato il tutto, guardate un'attimo
il vostro nuovo lavoro e cancellatelo: non e' una buona pratica
piazzare backdoor a destra e a manca.
_#_
Archie,questo sconosciuto
Pagina 6
------------------------By Rigor Mortem
SPP MeMbEr
WEB MASTER
NRdue.txt
Allora , non mi sono ancora abituato all'idea di una rivista "SPP" ma cercherò
di fare del mio meglio!
Questo piccolo articolo è nato grazie ad un'articolo che ho letto scritto da
Randone Nicola , dal quale ho estrapolato le parti + importanti , ed ho aggiuto
mie considerazioni e/o consigli.
Anzitutto , quindi , grazie a Nicola , chiunque tu sia...Bene , fatte le dovute
introduzioni vi volevo solo parlare di tutto ciò che siete in grado di fare con
la vostra casella di e-mail e che molto probabilmente non avete mai fatto.
Semplice e conciso , no? Vabbè , mi sono già dilungato troppo , si inizia!
Archie , questo sconosciuto.
Archie è il più vecchio motore di ricerca per siti ftp che prevedano la login
come anonymous o guest dir si voglia.
Potete anche usare archie con telnet ma (se me ne sarà concessa l'occasione) ne
tratterò in un'altra puntata.
La lista dei siti archieche ero solito usare aveva 30 server , mente adesso mi
baso su quella dell'articolo della rivista che ne conta (solo) 11.Tempi che
passano!Comunque , ecco la lista dei server archie in uso attualmente:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected] *
[email protected]
[email protected]
[email protected] *
[email protected]
[email protected]
N.B. i server contraddistinti dal simbolo * sono gli unici che mi hanno
risposto.
Qui sotto riporto la lista dei server attivi al giorno 26/01/1999 ma non
testati:
archie.au
archie.edvz.uni-linz.ac.at
archie.au
archie.edvz.uni-linz.ac.at
archie.univie.ac.at
archie.uqam.ca
archie.funet.fi
archie.univ-rennes1.fr
archie.th-darmstadt.de
archie.ac.il
archie.unipi.it
archie.wide.ad.jp
archie.hama.nm.kr
archie.sogang.ac.kr
archie.uninett.no
archie.luth.se
archie.switch.ch
archie.nctuccca.edu.tw
archie.ncu.edu.tw
archie.hensa.ac.uk
archie.unl.edu
archie.internic.net
archie.rutgers.edu
archie.ans.net
archie.sura.net
archie.cs.mcgill.ca
archie.uqam.ca
139.130.4.6
140.78.3.8
139.130.4.6
140.78.3.8
131.130.1.23
132.208.250.10
128.214.6.102
129.20.128.38
130.83.128.118
132.65.16.18
131.114.21.10
133.4.3.6
128.134.1.1
163.239.1.11
128.39.2.20
130.240.12.30
130.59.1.40
Australia
Austria
Australia
Austria
Austria
Canada
Finland
France
Germany
Israel
Italy
Japan
Korea
Korea
Norway
Sweden
Switzerland
Taiwan
192.83.166.12
Taiwan
129.12.21.25
United Kingdom
129.93.1.14
USA (NE)
198.49.45.10
USA (NJ)
128.6.18.15
USA (NJ)
147.225.1.10
USA (NY)
128.167.254.179 USA (MD)
132.206.51.250 Canada
132.208.250.10 Canada
Pagina 7
archie.funet.fi
archie.univ-rennes1.fr
archie.ac.il
archie.unipi.it
archie.wide.ad.jp
archie.hama.nm.kr
archie.sogang.ac.kr
archie.uninett.no
archie.rediris.es
archie.luth.se
archie.switch.ch
archie.nctuccca.edu.tw
archie.ncu.edu.tw
archie.doc.ic.ac.uk
archie.hensa.ac.uk
archie.unl.edu
archie.internic.net
archie.rutgers.edu
archie.ans.net
archie.sura.net
NRdue.txt
128.214.6.102
129.20.128.38
132.65.16.18
131.114.21.10
133.4.3.6
128.134.1.1
163.239.1.11
128.39.2.20
130.206.1.2
130.240.12.30
130.59.1.40
Finland
France
Israel
Italy
Japan
Korea
Korea
Norway
Spain
Sweden
Switzerland
Taiwan
192.83.166.12
Taiwan
146.169.11.3
United Kingdom
129.12.21.25
United Kingdom
129.93.1.14
USA (NE)
198.49.45.10
USA (NJ)
128.6.18.15
USA (NJ)
147.225.1.10
USA (NY)
128.167.254.179 USA (MD)
L'ip dei siti è corretto al momento della stesura di questo testo , ma portebba
variare senza preavviso!
Sono tutti i server che mi sono stati indicati mandando un messaggio di help a
archie.Li potete utilizzare amndando una mail a archie@[nome del server che vi
scegliete].Prima di fare qualunque cosa comunque vi consiglio di mandare una
mail a tutti (ma di preferenza usate quello a voi più vicino geograficamente)
con la parola "help" nel subject (logicamente senza le virgolette...)Dopo
esservi letti l'help inviato sapete come muovervi e quidi potete anche saltare
questa parte di articolo , se invece siete dei fannulloni continuate a leggere
che vi do un paio di spiegazioni...
Questo che segue è un breve riassunto dell'help che vi arriverà.
Il subject della mail fa già parte dei comandi che inviate al server ,le
istruzioni da inviare al server possono essere messe dalla prima riga in poi ma
tutte le righe con comandi sconosciuti verrano ignorate.I messaggi ad arche con
un subject vuoto o con istruzioni non esatte saranno trattati come richeste di
aiuto , quidi verrà inviato il file di help.
La lista completa dei server attivi ni questo momento è riportata poche righe
sopra , ma è anke inclusa nel nessaggio di help.Se avete dei problemi a
connettervi ad un server archie (il messaggo di help che non arriva in 24 ore ne
è sintomo...) mandate una mail a archie-admin@<archie_server>.Questo indirizzo è
solo per riferire disservizi o bug su quel determinato server.Per aggiungere o
levare un server alla lista che è riportata poche righe sopra dovete mandare una
mail a [email protected] mentre per contattare gli implementatori di
archie la mail è [email protected].
Se poi avete esigenza farvi mandare i files esistono dei gateway ftp verso mail
, ma ne parlerò in un prossimo numero se ci sarà.Tutti o quasi i comandi che
possono essere impartiti a archie via mail sono gli stessi del telnet,
escludendo i comandi interattivi che non avrebbero senso...Se poi volete avere
l'elenco e la descrizione completa dei comandi potete mandare una mail a
archie@[nome del server che vi siete scelti] con il comando "manpage" nel campo
del subject.
Qui di seguito vi riporto i principali comandi di archie , ma per usarlo basta
conoscere il comando
find <foo>
Dove <foo> è il nome del files che state cercando.Se non ottenete risposta
attendeta almeno 2 giorni , poi rassegnatevi, il server vi ha ignorato!Se poi
volete fare le cose sul serio, beh continuate a leggerere!
Ah , piccola precisazione : i comandi hanno delle opzioni o delle limitazioni ,
quindi la notazione standard è quasta:
Simbolo
Significato
[ , ]
...
|
Opzioni del comando
Il parametro può essere ripetuto
Significa "or" cioè oppure
Pagina 8
NRdue.txt
Lista dei comandi :
help [ <argomento> [[ <argomento più specifico> ] ...]]
Se viene inviato solo il comando "help" senza parametri viene mandato solo il
file di help generico.
Uno o più argomenti più specifici possono essere specificati ma una lista di
parole viene considerata come argomento unico , non come una lista di
argomenti.Per esempio , il comando
help set maxhits
chiede l'help sull'argomento specifico "maxhits" del comando "set", non chiede
l'help su due argomanti distinti.
find <stringa di ricerca>
Il comando rispedisce una lista di files che sono simili alla stringa di ricerca
inserita.
La stinga di ricerca può essere interpretata come sottostringa di ricerca , come
case sensitive, come stringa esatta ma tutto dipende dal valora della variabile
cercata.
prog <pattern>
Come comando è uguale al precedente ma è stato inserito per la compatibilità con
le versioni precedenti.
list [ <pattern> ]
Genera una lista di siti che sono indicizzati nel database dell'archie che state
usando.Se non vengono definiti dei parametri vi verrà mandata la lista
completa.Se la stringa <pattern> viene interpretata come comando vi verrà
inviata solo una lista di siti che contengono le frasi specificate al suo
interno.Il formato dell'output può essere definito usando la variabile
output_format che spiego in seguito.
mail <indirizzomail>
Invia i risultati generati dalla ricerca all'indirizzo mail specificato.
manpage [ roff | ascii ]
Manda la pagina del manuale di archie.Le due opzioni previste sono necessarie
per specificare il formato di invio del testo.L'opzione "roff" va usata per
sistemi unix troff (detto anche nroff), l'opzione ascii manda ovviamente testo
in ascii.Se non viene specificata nessuna opzione il testo sarà inviato in
ascii.
motd
Rimanda il "messaggio del giorno" , che di norma viene inviato all'inizio del
messaggio di risposta.
path <indirizzomaildeldestinatario>
Segnala al server che la risposta va inoltrata all'indirizzo mail
specificato.Questa dichiarazione di indirizzo mail fa si che il messaggio venga
spedito solo alla mail specificata , non in cc anche alla mail usata per l'invio
del comando.
servers
Invia una lista di server archi disponibile al momento.Tenete presente che
archie si aggiorna una volta al mese e che tutti gli indirizzi ip possono subire
delle variazioni senza preavviso.
domains
Pagina 9
NRdue.txt
Invia una lista di pseudo-domini che hanno i server archie installati.
set <variabile> <valore>
Imposta la <variabile> al <valora> specificato.Più sotto è riportato il comando.
show [ <variabile-nome>...]
Se il comando viene dato senza parametri riporta solo lo stato delle variabili
che possono essere configaurate come utente e ne viene anche inclusa la
descrizione a seconda del tipo :booleano, numerico o stringa.
Viene inoltre riportato anche lo stato attuale dei settaggi e dei valori (se un
comando specifico li ha).Specificando invece un nome si ha lo stato solo di quel
determinato comando.Utile per sapere i settaggi di default del sistema
unset <variabile>
Elimina una variabile specificata.Ritorna quindi al default per la variabile.
version
Riporta il la release del software per gestire archie via mail.
whatis <sottostringa>
Viene cercato nel Software Description Database la sottostringa data.Il Database
è l'elenco dei nomi dei files con una piccola descrizione associata.Tenete a
mente che il database è aggiornato a mano , quindi potrebbe risultare
inattendibile.
Variabili
--------Esistono 3 grndi gruppi di variabili:
1) Numeriche
-----------Queste variabili possono avere delle opzioni di default , leggete attentamente:
maxhits
Permette al comando "find" di creare l'esatto numero di report su una
richiesta.I valori permessi vanno da 0 a 1000 , il default è 100.
maxhitspm
Numero massimo di files per nome di file cercato.I valori permessi vanno da 0 a
1000 , il default è 100.
maxmatch
Numero massimo dei nomi dei files da mandare usando il comando "find".Non è la
stessa cosa della variabile "maxhits"
che limita il massimo numero di files da riportare.Il manuale sarebbe utile per
capirci qualcosa , ma non mi è ancora arrivato...I valori permessi vanno da 0 a
1000 , il default è 100.
max_split_size
Mette un limita massimo alla dimensione in byte del report generato.Ogni lista
che eccede questo limite viene automaticamente suddivisa in pacchetti di
dimensioni pari al limite.Quest'ultimo può essere un valora compreso fra 1024 e
circa 2Gb.Il settaggio di default è 51200 bytes.Attenzione perchè determinati
mail server hanno una limitazione sulla dimensione dei pacchetti in transito ,
accertatevi della dimensione della vostra mail , prima di procedere.
2) Stringhe
----------Pagina 10
NRdue.txt
Queste variabili possono avere un settaggio predefinito di valori.
compress
Specifica il tipo di compressione alla quale sarà sottoposto il file generato da
archie.I valori permessi sono "none" oppure "compress".Per l'opzione
"compress"non viene usato pkzip ma il programma standard di UNIX per
comprimere.Il valore di default è "none"
encode
Codifica successiva alla compressione prima di mandare il pacchetto all'utente.I
valori accettati sono "none" e "uuencode", mentre il default è
"none".Quest'opzione non ha effetto se non viene specificato prima la variabile
compress.
language
Permette all'utente di scegliere la lingua nella quale ricevere i files di help
di archie.Ogni server ha , in teoria , l'help nella lingua del paese che ospita
il server ed i settaggi variano da server a server.
mailto
Specifica a che indirizzo mail inviare i risultati.Ciò comporta il non invio dei
messaggi alla casella di mail dalla quale sono effettivamente stati
mandati.Usare questa variabile è la stessa cosa di usare il comando"path".
match_domain
Restirnge la ricerca di un files ai mirror locali di archie o agli archie di uno
specifico dominio o sottodominio.
match_path
Restringe la ricerca di files che abbiano solo la descrizione espressa.
output_format
Usato per settare sia il risultato del comando "find" che "last".I valori
restituiti possono essere definiti dall'utente.
I 3 tipi di valore sono "machine", "terse" e "verbose" ed il default è
"verbose".
search
Il tipo diricerca fatta usando il comando "find" oppure "prog".La lista dei
valori specificati è data in ordine di tempo di risposta della macchina.La
stringa di ricerca può essere sia una directory o un nome di file.
exact
Per ottenere solo ed esclusivamente il report esatto.Non fa
differenza fra maiuscolo e minuscolo
subcase
Per ottenere anche i nomi specificati nella sottostringa di
ricerca.Fa differenze fra maiusolo e minuscolo.
sub
Come sopra , ma indifferente se il nome è maiuscolo o minuscolo.
regex
Espressione regolare.Consultate il manuale (che a me manca...)
C'è anche la possibilità di ottenere dei report più dettagliati combinando i
seguenti metodi di ricerca :
exact_sub
exact_subcase
"subcase".
exact_regex
Prova con "exact".Se non si trovano corrispondenze usa "sub".
Prova con "exact".Se non si trovano corrispondenze usa
Prova con "exact".Se non si trovano corrispondenze usa "regex".
Se non viene specificato un simbolo di inzio (usando ^) o di fine (usando $) su
di una linea di espressione le espressioni regolari non necessitano di avere
Pagina 11
".*" sia all'inizio sia alla fine .
NRdue.txt
server
Specifica il server archie al quale indirizzare la propria richiesta via
mail.Solitamente si usa "localhost" su quasi tutti i server per default.
sortby
Specifica il metodo di ordinameto della lista dei files che si ottiene usando
"find".
I metodi permessi sono cinque :
none
Non ordinata.il falora di default è non ordine inverso.Opzione opposta
: 'rnone'.
filename Ordina i files e le directory trovate per nome usando l'ordine
alfabetico.Opzione opposta: 'rfilename'.
hostname Ordina l'archivio alfabeticamente in base al nome dell'host.Opzione
opposta:'rhostname'.
size
Ordina per dimensione, i files o le directory maggiori per
prime.Opzione opposta: 'rsize'.
time
Ordina per data di modifica, con il più recente in cima alla
lista.Opzione inversa:'rtime'.
3) Booleane
----------Ora come ora l'interfaccia mail non supporta questo tipo di variabili.
Bene , direi di aver concluso con le spiegazioni di archie , spero che abbiate
capito tutto, se poi riuscite ad avere una copia del manuale del server e me la
inviate , gradirei molto...
Ah, dimenticavo , per iscrivervi alla mailinglist di archie è necessario mandare
un messaggio a [email protected].
Per ora mi sembra di aver detto tutto , alla prossima puntata vi dirò qualcosa
su Gopher, se qualcuno già lo conosce magari ci si torverà a meraviglia a
consultarlo via mail, per chi non lo conosce potrebbe rivelarsi una grossa
sorpresa...
Saluti , RigoR MorteM
_#_
Sabotare le news
================
By Bad Cluster
SPP MeMbER
(vecchio testo
del DAC,Grazie
Lord Shinva)
================================================================================
===========
Questo testo l'ho recuperato nel mio vecchio archivio del DAC, e' molto
importante anche per i novizi, infatti spiega in modo molto dettagliato il
funzionamento e l'hacking delle news. Che dire ancora?? Beh...complimenti a Lord
Shinva
================================================================================
===========
Pagina 12
NRdue.txt
Introduzione
~~~~~~~~~~~~
Tra i mezzi tramite i quali avviene nel modo piu` rapido e incontrollabile
la diffusione di materiale da e per pedofili figurano certamente le news e
IRC, senza contare i siti FTP privati che vengono pubblicizzati su appositi
canali di IRC.
Ci occuperemo dapprima delle news, in quanto hanno un funzionamento piu`
complesso, ed essendo accessibili a chiunque contribuiscono al diffondersi
di certi tipi di materiale.
Sabotare le News
~~~~~~~~~~~~~~~~
Le news sono costituite da gruppi di discussione (come alt.hackers) che
racchiudono un certo numero di messaggi pubblici. Tali messaggi (che
chiameremo "post") hanno degli headers, proprio come le normali email.
Uno degli headers presenti sia nelle email che nelle post e` Message-ID.
Provate ora a visualizzare tali headers: per chi, come me, usa Internet Mail
and News della Microsoft, la procedura e`: cliccare sul titolo del messaggio
da analizzare, premere il tasto destro del mouse, scegliere Proprieta` e poi
Dettagli.
Come vedrete, tra gli headers figurera` una linea del tipo:
Message-ID: <[email protected]>
(uhmm.... mi ricorda qualcosa... ;D)))))
Lo scopo di Message-ID e` identificare ciascun messaggio univocamente, in
modo da facilitarne la gestione.... e da rendere piu` semplice la loro
distruzione :)))
Ma procediamo per gradi.
Per gestire gli articoli e i gruppi che costituiscono le news, esiste un
particolare tipo di messaggi (normali email, niente di trascendentale),
detti messaggi "control".
Come sapete, quando scrivete un msg a un newsgroup potete in seguito
eliminarlo, utilizzando una funzione presente in quasi tutti i NewsReader
(in Internet Mail and News la funzione e` "Annulla", visualizzabile tramite
tasto destro sul titolo del messaggio da eliminare).
Ovviamente pero` questo vale solo per i *vostri* messaggi. Non potete (o
meglio, non POTRESTE) cancellare quelli degli altri.
Vediamo come cancellarli ;)
Un messaggio di controllo, dicevamo, non e` altro che una normale post, ma
con qualche cosa in piu`.
Quello che ci serve sapere per cancellare un messaggio e`:
1 - il mittente del messaggio (header From)
2 - l'ID (header Message-ID)
...e nient'altro.
Ora non dobbiamo fare altro che inviare una post di controllo da parte del
mittente originale. Poiche` avremo bisogno di falsificare il "From", e`
bene cambiare nel NewsReader i vostri dati con quelli che avete appreso
leggendo l'header "From".
Ora che abbiamo falsificato il mittente del messaggio, dobbiamo inserire
dei comandi particolari, che renderanno la nostra email un messaggio di
controllo. Senza di essi, infatti, resterebbe una semplice email e verrebbe
postata al Newsgroup e letta da tutti... :(
Pagina 13
NRdue.txt
Tutto quello che dobbiamo fare e` digitare i comandi al posto del Soggetto.
Il comando per cancellare un messaggio e` il seguente:
cmsg cancel <qui va il Message-ID del msg da eliminare>
quindi, per eliminare il messaggio di Lamer che ha l'indirizzo [email protected]
e Message-ID pari a <[email protected]> dal newsgroup alt.lamers dovremo
inviare una normale post a alt.lamers con i seguenti dati:
From: [email protected] (Lamer)
Subject: cmsg cancel <[email protected]>
Per assicurarci che il nostro messaggio di controllo funzioni, dovremo
aggiungere un paio di header aggiuntivi: Control e Approved.
Control e` in realta` l'header designato ai comandi di controllo, per cui
possiamo utilizzare solo Subject, solo Control, oppure entrambi.
L'unica differenza e` che con Control non dobbiamo usare "cmsg".
Approved invece serve a dire al server di "fidarsi" di quello che gli stiamo
inviando, in quanto esso e` stato letto e approvato... ;)
Vediamo un esempio completo:
From: [email protected] (Lamer)
Subject: cmsg cancel <[email protected]>
Control: cancel <[email protected]>
Approved: [email protected]
Ovviamente se in Approved metteremo l'indirizzo di email dell'Amministratore
del server delle News che utilizzeremo per inviare la post al newsgroup,
avremo la certezza quasi matematica che i comandi del messaggio di controllo
verrebbero eseguiti.
NOTA: tenete presente che se avete gia` scaricato i messaggi e utilizzate
il comando "cancel" per eliminarne uno, esso sara` eliminato da tutti gli
host connessi al news server al quale avrete inviato il messaggio di
controllo; ma voi non noterete il cambiamento sul vostro PC, in quanto il
messaggio e` stato scaricato PRIMA della cancellazione. Dovrete eliminare
la "cartella" del newsgroup dal vostro NewsReader e poi ricaricare tutti i
messaggi, per vedere se quello cancellato e` stato eliminato o meno.
Esiste un newsgroup chiamato control sul quale vengono visualizzati TUTTI i
messaggi di controllo inviati giorno per giorno. Anche i vostri....
Altri comandi utili sono newgroup (non newsgroup) e rmgroup, che non
richiedono la conoscenza di elementi come From e ID.
Il primo (newgroup) serve a creare un nuovo newsgroup tutto nostro.
Per usarlo basta dare una linea di comando del tipo:
newgroup alt.gruppomio
(seguito dalla parola moderated se si vuole che solo chi aggiunge l'header
Approved alle proprie post riesca a inviare messaggi).
Come messaggio andra` scritto quanto segue:
For your newsgroups file:
alt.gruppomio
descrizione di alt.gruppomio
Per rimuovere un newsgroup (per esempio alt.pedophilia) bisogna invece
utilizzare:
rmgroup alt.nomegruppo
(come sempre, utilizzando Soggetto, Control e Approved).
Questo comando, pero`, non viene gestito quasi mai in maniera automatica,
Pagina 14
NRdue.txt
ma passa per le mani dell'Amministratore, che puo` decidere di non
permetterne l'esecuzione.
NOTA: nel caso di newgroup e rmgroup e` molto utile utilizzare come
>From e Approved l'indirizzo email dell'Amministratore :)
Questa e` la teoria, ora datevi alla pratica.
-Byez
-=BadCluster=Spp MeMbeR
-=BadCluster=_#_
Backdoors,Troians,
Gestori remoti di sistemi
------------------------By ChRoMe
SPP MemBer
Allora,anche se su questo argomento si e' detto e ridetto di tutto e di
piu',nella mia casella di posta continua ad arrivare mail del tipo....ma se apro
una mail mi si infetta il pc,come possono vedere nel mio pc se e'spento e
scollegato dalla rete,cosa possono farmi con un trojan sul mio
pc....insomma...ancora ce' una bella confusione...
Con questo articolo,vedremo di fare un po' di chiarezza su i metodi che oramai
tutti usano,sia per infettare,che per proteggersi dai programmi detti
backdoors(che poi non lo sono veramente)piu' famosi.
Il contenuto del suddetto,non e' molto interessante per i piu' scafati,ma i
newbies troveranno sicuramente delle risposte che girano in continuazione sui
vari ng..e nelle nostre caselle postali.
Differenze tra le backdoors e i troians
---------------------------------------Spesso e volentieri si accomunano i due termini per catalogare un programma che
permette l'intrusione da parte di un estraneo,nel pc di un utente non
consensiente.
Diciamo subito che, la differenza vera, e' sottile,la backdoor,intesa come vera
porta del retro,da cui accedere all'insaputa dell'ignaro utente,in maniera (non
del tutto)invisibile,e' generalmente,insita in un programma (sia un S.O.,che un
programma qualsiai).
Mi spiego,le backdoors vengono messe da programmatori del dato programma,per
lasciare un accesso al terminale su cui quel programma girera'.
Un esempio (di fantasia) pratico sarebbe che io programmo un elaboratore di
testi che poi faccio installare ad un mio cliente,e ci lascio un buchino che
solo io so' trovare,quando qualcosa non va'.io accedo a quel determinato
pc,tramite la mia "porta di servizio"
Le backdoors fatte dai programmatori,non sono concepite in maniera
"malicious"(nella maggioranza dei casi)ma servono al momento che qualcosa non
va'......per dare un servizio di assistenza sul pc in maniera remota.
Questo tipo di backdoors non necessita di avere un server installato sul pc
ospite,e non ci vuole un client per accedervi,in quanto il programma stesso (che
sia io che il cliente stiamo usando)ha ,al suo interno,le istruzioni di
codice,che ci permetteranno la connessione che a sua volta ci permettera' di
scorrere ,in lungo e largo,il pc in questione.
Si possono anche associare al termine Exploited (anche se non e' proprio vero)in
quanto un exploited altro non e' che lo scoprire un buco,che sia stato lasciato
aperto per negligenza,o per necessita'...vallo a sapere....da qualcuno.
Considerazioni sul Back Orifice
------------------------------Ma veniamo al tormentone,i programmi (che per furor di popolo chiameremo
backdoors)tipo l'oramai famosissimo Back Orifice,e il fratellino minore Netbus.
Pagina 15
NRdue.txt
Devo subito dirvi che non sono gli unici programmi che si trovano in giro (la
momento in cui scrivo si possono facilmente reperire altri 25/30 programmelli
che fanno +o-le stesse cose)
Che ci crediate o no',anche questi attila della rete,sono nati come gestori di
sistemi in remoto,infatti il BO (lo chiamiamo cosi',in maniera confidenziale)e'
un potentissimo strumento,che se usato in maniera giusta,puo' pilotare
completamente un'altro pc,a migliaia di km di distanza,risolvendo non sapete
quanti guai.
Ma il lato oscuro della forza,e' sempre in agguato.......
La cosa fondamentale da capire su questo tipo di backdoors,e' che il programma
per funzionare,per dare completo accesso al pc ospite,deve essere INSTALLATO sul
medesimo.
Infatti questi programmi si dividono in un SERVER ed in un CLIENT.
Il SERVER:
Se qualcuno vi legge la posta,vi dice che avete un bel cane lupo,vi cambia il
desktop del pc,sa' il vostro nome,numero di scarpe e gusti particolari...avete
un server installato nel vostro pc.
Il server e' il pezzo di programma che va' mandato sul pc ospite,e che
FUNZIONERA'SOLO NEL MOMENTO CHE SARA'MANDATO IN ESECUZIONE.
Esempio stupido ma leggete attentamente:
X manda ad Y un file (deve essere un .exe,non puo' essere altrimenti,tutti i
file che non sono eseguibili non possono contenere il server....o
quasi.attenzione anche a vari.dll,.inf....)
Y salva il file su di un dischetto e non lo ESEGUE,ma puo' anche benissimo
salvarlo sul hd stesso,senza ricorrere al floppy.
Y non e' stato infettato.
Il solo scaricare il file sul proprio pc,SENZA ESEGUIRLO,non compromette il
vostro pc.
Se Y ,felice di aver ricevuto un programma che gli e' stato proposto come la
risoluzione di tutti i suoi problemi,lo manda in esecuzione.....X,dopo pochi
secondi sara' seduto vicino ad Y, e potra' fare cio che vuole sul,e dal pc di Y.
Per le varie strategie di come far eseguire il server alla gente...dovremmo
scrivere un libro,vi dico solo che nessuno mai vi mandera' un file che si chiama
boserve.exe,ma sicuramente il programma che tenteranno di farvi eseguire,sara'
un programma del tutto innocuo,funzionante con dentro,fuso nel suo codice,il
server del bo.
Attenzione ad una cosa,molte propagazioni del server,sono del tutto innocenti,Y
ha preso il server da X,ma non sa' che e' un server,il programma che ha
scaricato,gira perfettamente e adempie a tutti i suoi doveri,il server e' del
tutto invisibile ad un utente che non abbia un minimo di preparzione su
questo,bello felice Y chiama il suo migliore amico W,e tac.li manda il
programma,W ,a sua volta lo manda alla sorella di Z ed a suo
cognato...........never ending story......
Il CLIENT:
Come gia' avrete capito,se chi manda il server,non dispone del client...non
potra' collegarsi con il vostro pc.
Ma qualche altro che ha il suo bel client installato...si.....
La cosa veramente carina....(hihihih) e' che se io attivo il mio client,e faccio
uno scan,ovverosia dico al client di trovare tutti i pc infetti dal server in
quel dato momento (devono per forza essere collegati alla rete.....)su quel dato
range di IP....io mi trovo tutti i pc che X,e Y (a sua insaputa)e gli amici di Y
(W,la sorella di Z...)hanno infettato.
Perche' al nostro client non frega nulla di chi ha infettato chi,lui ligio al
suo dovere,bussa a tutte le porte di tutti i pc collegati in quel momento,a
quella determinata subnet (certo si possono fare ricerche su intere classi,ma
sono un po' piu' lente).
Ora una cosa va' detta,il bo server e' configurabile.
Panico,cosa vuol dire configurabile.
Io posso decidere di "boservizzare" (termine che se andiamo avanti di questo
passo,troveremo presto sul dizionario)un mio amico,che si presta,fidandosi,ed
essendo stato avvertito da me' prima,a farmi sperimentare le innumerevoli
potenzialita' del bo.
Ma come faccio ad entrare solo io,e se qualcuno,in uno scanning selvaggio sulla
rete becca l'ip del mio amico,gli entra dentro e li formatta il C: di botto?
Io posso (tutti possiamo)configurare il server di bo,immettendo una password di
accesso e cambiando la porta su cui mettere in ascolto il server.
Molti fruitori del bo....sono dei lamers,questo e' indubbio,e non pensano
minimamente ad una
possibile configurazione del server,si evince che non difficile trovare migliaia
Pagina 16
NRdue.txt
di server belli in mostra e senza nessun tipo di "barriera"
Spero che non ce ne sia bisogno,ma ve lo dico lo stesso,il boserve si mette in
ascolto (per default) sulla porta 31337.
Mmmmmmmhhhh.....piu' vado avanti con questo articolo,piu' non vedo la fine.
Capisco solo che mi sono messo in un brutto ginepraio,abbiate pieta' di
me'...non cominciate a bombardardarmi di mail...su "questo non l'ho
capito".....per pieta'.....
I TROJANS
--------I trojans,o cavalli di troia,(per dirlo alla nostra maniera)sono spesso confusi
con le backdoors di cui parlavamo sopra.
Chiamo impropriamente backdoors il BO ed il Netbus,ma oramai tutti le chiamano
cosi'....
Ma se ragionando,ci ricolleghiamo alla storia,il cavallo,Ulisse,Troia.....un
trojans altro non e' che il programma che permette ad un server di intrufolarsi
nel vostro pc.
Se io vi mando il file....Winamp.exe (nome a caso hihihihihihi) a cui ho
inoculato, tramite un'utility che permette di fondere due eseguibili in
uno,mantenendo inalterate le caratteristiche di entrambe(fate riferimento a
skillRope,nell'articolo di Buttha su questo numero..per farvi un'idea),a questo
punto il cavallo di troia sara' il Winamp.
So' che questo portera' ad inevitabili scontri con varie scuola di pensiero,ma
queste sono mie considerazioni,non e' la "verita'" fatta parola.
Il NETBUS
--------Per finire ,mi sono stancato,ed e' tardi,e vi assicuro che scrivere queste cose
fritte e rifritte non e' nemmeno tanto divertente,ma sono un buono,che ci volete
fare,vi parlero' un pochino di un'altra "backdoor" molto in voga tra i piu'.
Il netbus.
Fratello minore del BO,nasce (subito dopo il BO) come gestore di sistemi
remoti,molto piu' di facile utilizzo,ma anche molto meno potente del fratellino
maggiore.
Se il vostro lettore cd,si apre d'incanto,se vi appare una bella finestrella
sullo schermo con un messaggetto deficente,questo e' Netbus.
Stessa storia di BO, SERVER E CLIENT,se non lo eseguite non vi infetta,se siete
infettati basta uno scan..e chiunque vi trova,stesse indicazioni,password e
porta.ma facilmente aggirabili.
Diciamo che adesso,che siamo arrivati alla versione 2.0 (anche se sempre in beta
release)
il prodotto ha raggiunto un buon standard,addirittura,molti lo preferiscono al
BO,per la sua gradevole GUI (interfaccia grafica),per la possibilita' di usarlo
nascondendosi dietro ad un proxy sock 4/5,per la possibilita' di settare una
porta a piacere (prima non si poteva fare,le porte su cui ascoltava erano
standard),insomma e' diventato un prodotto di pari livello del BO...e non soffre
piu'di quella nomea di "giochetto"che si era guadagnato con le prime versioni.
Adesso la faccio finita veramente.
Questa tediosa storia vuole essere un 'infarinatura per farvi conoscere,almeno
superficialmente,
la storia delle fantomatiche intrusioni da parte di terzi nel vostro pc.
Che poi il Bo agisca su porte UDP,ma anche sulle porte TCP ,per il trasferimento
files,unito al NetCat,come vi spieghero' in seguito.per ora non ha molta
importanza.
Delle innumerevoli potenzialita' dei programmi in questione,ve ne parlero'
poi,forse,ma lasciatevi dire che se pensate che qualcuno che sa' cosa ha tra le
mani (BO,o simili)
voglia fare una cosa sul vostro pc.....lo puo' fare...lasciate correre la
fantasia,ecco...quello che avete pensato,qualunque cosa,si puo' fare,e
senz'altro non avete pensato a tutto.
Per come difendervi,vedere se avete un server sul vostro pc,toglierlo
manualmente,usare programmi che vi cercano i server delle varie backdoors in
memoria,divertirvi a vedere cosa fa' un lamer che tenta di entrare nel vostro
pc,vi prometto che appena mi riprendero' da questo articolo fiume....ve ne
Pagina 17
raccontero' delle belle.
NRdue.txt
Con questo e' tutto..per ora
Stay tuned
Notte
ChRoMe
_#_
NetRunners numero DuE by SpiPPoLaToRi
FiNe
****
Pagina 18