Condividi:        

DAMEWARE Mini Remote Control I

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

DAMEWARE Mini Remote Control I

Postdi Kurosawa » 23/01/03 11:41

Per quanti si ricordano del mio post sulle porte aperte di cui ignoro il significato il tutto era scaturito da una "indagine" che dovevo fare per del traffico anomalo... il risultato di una scansione fport su un certo pc ha dato:
Codice: Seleziona tutto
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path                         
388   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
524   MSTask         ->  1025  TCP   C:\WINNT\system32\MSTask.exe 
8     System         ->  1027  TCP                                 
980   svc            ->  3636  TCP   C:\WINNT\SYSTEM32\svc.exe     
600   DWRCS          ->  6129  TCP   C:\WINNT\SYSTEM32\DWRCS.EXE
1036  svghost        ->  8623  TCP   C:\WINNT\system32\svghost.exe
1036  svghost        ->  8624  TCP   C:\WINNT\system32\svghost.exe
980   svc            ->  43958 TCP   C:\WINNT\SYSTEM32\svc.exe     

388   svchost        ->  135   UDP   C:\WINNT\system32\svchost.exe
8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
8     System         ->  445   UDP                                 
224   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
212   services       ->  1026  UDP   C:\WINNT\system32\services.exe
760   msimn          ->  1034  UDP   C:\Programmi\Outlook Express\msimn.exe
212   services       ->  1420  UDP   C:\WINNT\system32\services.exe


mi dicono che l'applicazione
C:\WINNT\SYSTEM32\DWRCS.EXE altro non è che DAMEWARE Mini Remote Control I.
Premetto che già sto leggendo http://www.netw3.com/documents/win2k_attack_chinese.htm , che essendo una pagina inglese, ed essendo nota la mia affinità con questa lingua, no navrò finito di tradurre prima di stasera (anche perchè non comincerò a leggerla col dizionario davanti se non dopo pranzo :oops: ).
Se nel frattempo qualche italiano di buon cuore mi accenna qualcosa, in termini non troppo tecnici al riguardo, se no non fa niente grazie lo stesso. Più che altro volevo comunicarvi che ormai ho quasi risolto e ringraziare che mi ha risposto sull'altro post: Nicola e Zello.

Sayonara,
Kurosawa
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Sponsor
 

Postdi zello » 23/01/03 13:55

Hey, ma nell'altro post non c'era la 6129 aperta!!
E questo fport dà altri risultati strani... sono tutte le porte aperte, o solo quelle in listening?
- 3636 (svc) non è una porta nota. E cos'è svc, per inciso?
- svghost - di che diavolo si tratta?
- cosa ci fa outlook su una porta 1034/udp? Se è in ascolto non ha senso. Se è in connessione, può essere una chiamata RPC.
- ho l'impressione che tu stia condividendo un po' di dischi con tutta internet - forse hanno montato remotamente il disco per installare DWRCS.
- in generale, mi sembra messo maluccio. Io spazzolerei via tutto e rifarei da capo, non permettendo netbios over TCP/IP oppure mettendolo dietro ad un firewall.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Kurosawa » 23/01/03 15:12

precisiamo:
il pc non è il mio (vedi altro post su Fport che non gira su sto cavolo di nt)
i risultati sono diversi perchè quelli postati all'inizio erano scanner fatti dall'esterno verso la macchina, quelli di questo topic invece sono i risultati di Fport.
Detto questo quelle in ascolto sono:
Codice: Seleziona tutto
 Proto  Indirizzo locale       Indirizzo remoto       Stato
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3636           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:6129           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8624           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:43958        0.0.0.0:0              LISTENING
  TCP    ***.***.***.**:139     0.0.0.0:0              LISTENING
  TCP    ***.***.***.**:8623    0.0.0.0:0              LISTENING
  TCP    ***.***.***.**:8623    ***.***.***.**:1630    ESTABLISHED
  TCP    ***.***.***.**:8624    ***.***.***.**:59851    ESTABLISHED
  UDP    0.0.0.0:135            *:*                   
  UDP    0.0.0.0:445            *:*                   
  UDP    0.0.0.0:1026           *:*                   
  UDP    0.0.0.0:1420           *:*                   
  UDP    127.0.0.1:1034         *:*                   
  UDP    ***.***.***.**:137     *:*                   
  UDP    ***.***.***.**:138     *:*                   
  UDP    ***.***.***.**:500     *:*                   

proseguiamo:
-cosa sia svc o svghost lo ignoro (ci dobbiamo preoccupare? mi tocca fare una ricerca?)
- :mmmh: cavolo è vero... (correggimi se sbaglio le porte per la posta son 25 e 110 no?)
- mi potresti illuminare sul "montare remotamente il disco?"
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi zello » 23/01/03 15:51

cosa sia svc o svghost lo ignoro (ci dobbiamo preoccupare? mi tocca fare una ricerca?)

Guarda, io l'ho fatta e non ho trovato praticamente nulla. Peraltro non mi dici che sistemi sono (win2k?). svchost è legittimo sotto winnt e derivati, gli altri non credo. Se fossi un cracker, probabilmente avrei installato più di una backdoor, oppure un servizio (server irc, server ftp, ma anche spawn di console) ridenominando l'eseguibile e piazzandolo su una porta non standard, per esempio la 8623 e 8624 tcp...
Codice: Seleziona tutto
  UDP    127.0.0.1:1034         *:*

Il problema non è solo la porta (1034): i servizi di e-mail sono su tcp, e non su udp, e inoltre sono "a connessione", e non "in ascolto". OE dovrebbe usare una porta alta (>1024) per connettersi *alla* 25, oppure alla 110, oppure a IMAP (che ogni volta non mi ricordo mai qual'è...).
- mi potresti illuminare sul "montare remotamente il disco?"

Microsoft "esporta" netbios - che è il protocollo per condividere dischi e stampanti - su tcp/ip (nbt - netbios over tcp/ip). Questo, unito al fatto che le unità sono condivise di default sotto windows nt e (credo) anche 2000, fa sì che in qualche caso sia possibile che il resto della rete possa installare tutto un tuo disco come unità di rete, e farci i suoi porci comodi. Chiedi a kadosh per ulteriori info, non è proprio il mio campo (ma è il suo ;))
Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Kurosawa » 23/01/03 16:16

Peraltro non mi dici che sistemi sono (win2k?).

trattasi di w2k.

i servizi di e-mail sono su tcp, e non su udp, e inoltre sono "a connessione", e non "in ascolto"

d'accordo su udp ma... hem non me ne intendo molto, ma
Codice: Seleziona tutto
 

  UDP    127.0.0.1:1034         *:*
 
mi pare che non indichi la porta in ascolto...
Codice: Seleziona tutto
TCP    0.0.0.0:8624           0.0.0.0:0              LISTENING
 
questa è in ascolto no?
Se fossi un cracker, probabilmente avrei installato più di una backdoor, oppure un servizio (server irc, server ftp, ma anche spawn di console) ridenominando l'eseguibile e piazzandolo su una porta non standard, per esempio la 8623 e 8624 tcp...
e qui veramente siamo sulla metafisica ora... comincio a perdermi...
buttiamola là a parte il FW che mi consigliate?

ps: però mi sto divertendo e comincio a capire un po' di cose... che bello!
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi Nicola » 23/01/03 16:21

Kurosawa ha scritto:
Codice: Seleziona tutto
 

  UDP    127.0.0.1:1034         *:*

1034 UDP.

Kurosawa ha scritto: mi pare che non indichi la porta in ascolto...
Codice: Seleziona tutto
TCP    0.0.0.0:8624           0.0.0.0:0              LISTENING
questa è in ascolto no?

E' in LISTENING, credo che non sia connesso nessuno.

Kurosawa ha scritto:buttiamola là a parte il FW che mi consigliate?


Kerio Personal Firewall. Lo setti per bloccare le porte non lecite.

Ciao
Ultima modifica di Nicola su 23/01/03 16:27, modificato 1 volte in totale.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 23/01/03 16:26

Premessa: i dettagli dei protocolli tcp/ip non sono esattamente il mio forte, diciamo che più o meno so come funziona...
Il protocollo udp non prevede "connessioni" come il tcp, semplicemente invia pacchetti a determinati indirizzi. Sotto questo punto di vista, non vi è differenza di stato in una connessione udp. Certo è che la riga:
Codice: Seleziona tutto
UDP    127.0.0.1:1034         *:*

vuole dire che il computer locale sta aspettando pacchetti da chiunque (*:*) che arrivino sulla porta 1034. In altri termini: è in ascolto.
e qui veramente siamo sulla metafisica ora... comincio a perdermi...

Oh, niente di strano. Metti di avere un server telnet, chiamato TelnetServer.exe, che ascolta sulla porta 23 - che è la porta standard per il servizio telnet. Il primo netstat o fport te lo becca uso ridere.
Ora supponi che rinomino l'eseguibile in svghost.exe, e lo piazzo in ascolto non sulla 23, ma sulla 8623 . Già netstat e fport mi darebbero dati meno leggibili, no?
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Kurosawa » 23/01/03 16:28

Nico il tuo ultimo post non mi è molto chiaro... :-?
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi Nicola » 23/01/03 16:31

Kurosawa ha scritto:Nico il tuo ultimo post non mi è molto chiaro... :-?

hai detto:
mi pare che non indichi la porta in ascolto...

Ti ho detto che la indica e che è la 1034 (dopo ":") ed è di tipo UDP.
questa è in ascolto no?

E' in listening cioe' aspetta connessioni. Visto che so proprio poco il TCP-IP guarda il post di zello che è + dettagliato.


Per il firewall ti consiglio di usare Kerio Personal Firewall e di settarlo per bloccare le porte non lecite (vedi quella usata da svghost ecc)

Ciao.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi rebol » 23/01/03 17:16

Bravi a tutti quanti, continuate. Così la prossima volta che parlo di SYN/ACK o TCP/IP a Kurosawa non mi guarda come fossi alieno :)

PS: di la verità kurosawa, ti stai intrippando....... è figa o no 'sta roba?
HITOTSU JINKAKU KANSEI NI TSUTOMURU KOTO
HITOTSU MAKOTO NO MICHI O MAMORU KOTO
HITOTSU DORYOKU NO SEISHIN O YASHINAU KOTO
HITOTSU REIGI O OMONZURU KOTO
HITOTSU KEKKI NO YU O IMASHIMURU KOTO
rebol
Utente Senior
 
Post: 129
Iscritto il: 11/09/02 14:12
Località: In the middle of nowhere

Postdi Kurosawa » 23/01/03 17:18

OT: phew si molto!!!!...
però ce ne è di pane damasticare prima di cominciare a ingoiare qualce boccone (maaamaaaa che metafora).
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi Kurosawa » 23/01/03 17:37

ok ora comincio a ragionare un po'

ma non mi fermo... come detto prima Fport su nt non va... che devo usare per ottenere lo stesso risultato?

...e comunque davvero grazie a tutti!!!!...

ps: non finisce qui... mo voglio proprio arrivare fino in fondo a sta storia...
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi zello » 23/01/03 18:31

Sicuro sicuro sicuro che non vada? A me andava, ai tempi di NT4 (mi sembra di ricordare...). Non va su 95,98 e ME...
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Kurosawa » 24/01/03 08:26

nt4 server sp6... e non va :(
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie


Torna a Sicurezza e Privacy


Topic correlati a "DAMEWARE Mini Remote Control I":


Chi c’è in linea

Visitano il forum: Nessuno e 33 ospiti