DAMEWARE Mini Remote Control I

[Kurosawa]

Per quanti si ricordano del mio post sulle porte aperte di cui ignoro il significato il tutto era scaturito da una "indagine" che dovevo fare per del traffico anomalo... il risultato di una scansione fport su un certo pc ha dato:

Codice: Seleziona tutto

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path                         
388   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
524   MSTask         ->  1025  TCP   C:\WINNT\system32\MSTask.exe 
8     System         ->  1027  TCP                                 
980   svc            ->  3636  TCP   C:\WINNT\SYSTEM32\svc.exe     
600   DWRCS          ->  6129  TCP   C:\WINNT\SYSTEM32\DWRCS.EXE
1036  svghost        ->  8623  TCP   C:\WINNT\system32\svghost.exe
1036  svghost        ->  8624  TCP   C:\WINNT\system32\svghost.exe
980   svc            ->  43958 TCP   C:\WINNT\SYSTEM32\svc.exe     

388   svchost        ->  135   UDP   C:\WINNT\system32\svchost.exe
8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
8     System         ->  445   UDP                                 
224   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
212   services       ->  1026  UDP   C:\WINNT\system32\services.exe
760   msimn          ->  1034  UDP   C:\Programmi\Outlook Express\msimn.exe
212   services       ->  1420  UDP   C:\WINNT\system32\services.exe


mi dicono che l'applicazione
C:\WINNT\SYSTEM32\DWRCS.EXE altro non è che DAMEWARE Mini Remote Control I.
Premetto che già sto leggendo http://www.netw3.com/documents/win2k_attack_chinese.htm , che essendo una pagina inglese, ed essendo nota la mia affinità con questa lingua, no navrò finito di tradurre prima di stasera (anche perchè non comincerò a leggerla col dizionario davanti se non dopo pranzo ).
Se nel frattempo qualche italiano di buon cuore mi accenna qualcosa, in termini non troppo tecnici al riguardo, se no non fa niente grazie lo stesso. Più che altro volevo comunicarvi che ormai ho quasi risolto e ringraziare che mi ha risposto sull'altro post: Nicola e Zello.

Sayonara,
Kurosawa

[zello]

Hey, ma nell'altro post non c'era la 6129 aperta!!
E questo fport dà altri risultati strani... sono tutte le porte aperte, o solo quelle in listening?
- 3636 (svc) non è una porta nota. E cos'è svc, per inciso?
- svghost - di che diavolo si tratta?
- cosa ci fa outlook su una porta 1034/udp? Se è in ascolto non ha senso. Se è in connessione, può essere una chiamata RPC.
- ho l'impressione che tu stia condividendo un po' di dischi con tutta internet - forse hanno montato remotamente il disco per installare DWRCS.
- in generale, mi sembra messo maluccio. Io spazzolerei via tutto e rifarei da capo, non permettendo netbios over TCP/IP oppure mettendolo dietro ad un firewall.

[Kurosawa]

precisiamo:
il pc non è il mio (vedi altro post su Fport che non gira su sto cavolo di nt)
i risultati sono diversi perchè quelli postati all'inizio erano scanner fatti dall'esterno verso la macchina, quelli di questo topic invece sono i risultati di Fport.
Detto questo quelle in ascolto sono:

Codice: Seleziona tutto

 Proto  Indirizzo locale       Indirizzo remoto       Stato
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3636           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:6129           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8624           0.0.0.0:0              LISTENING
  TCP    127.0.0.1:43958        0.0.0.0:0              LISTENING
  TCP    ***.***.***.**:139     0.0.0.0:0              LISTENING
  TCP    ***.***.***.**:8623    0.0.0.0:0              LISTENING
  TCP    ***.***.***.**:8623    ***.***.***.**:1630    ESTABLISHED
  TCP    ***.***.***.**:8624    ***.***.***.**:59851    ESTABLISHED
  UDP    0.0.0.0:135            *:*                   
  UDP    0.0.0.0:445            *:*                   
  UDP    0.0.0.0:1026           *:*                   
  UDP    0.0.0.0:1420           *:*                   
  UDP    127.0.0.1:1034         *:*                   
  UDP    ***.***.***.**:137     *:*                   
  UDP    ***.***.***.**:138     *:*                   
  UDP    ***.***.***.**:500     *:*                   


proseguiamo:
-cosa sia svc o svghost lo ignoro (ci dobbiamo preoccupare? mi tocca fare una ricerca?)
- cavolo è vero... (correggimi se sbaglio le porte per la posta son 25 e 110 no?)
- mi potresti illuminare sul "montare remotamente il disco?"

[zello]

cosa sia svc o svghost lo ignoro (ci dobbiamo preoccupare? mi tocca fare una ricerca?)

Guarda, io l'ho fatta e non ho trovato praticamente nulla. Peraltro non mi dici che sistemi sono (win2k?). svchost è legittimo sotto winnt e derivati, gli altri non credo. Se fossi un cracker, probabilmente avrei installato più di una backdoor, oppure un servizio (server irc, server ftp, ma anche spawn di console) ridenominando l'eseguibile e piazzandolo su una porta non standard, per esempio la 8623 e 8624 tcp...

Codice: Seleziona tutto

  UDP    127.0.0.1:1034         *:*


Il problema non è solo la porta (1034): i servizi di e-mail sono su tcp, e non su udp, e inoltre sono "a connessione", e non "in ascolto". OE dovrebbe usare una porta alta (>1024) per connettersi *alla* 25, oppure alla 110, oppure a IMAP (che ogni volta non mi ricordo mai qual'è...).

- mi potresti illuminare sul "montare remotamente il disco?"

Microsoft "esporta" netbios - che è il protocollo per condividere dischi e stampanti - su tcp/ip (nbt - netbios over tcp/ip). Questo, unito al fatto che le unità sono condivise di default sotto windows nt e (credo) anche 2000, fa sì che in qualche caso sia possibile che il resto della rete possa installare tutto un tuo disco come unità di rete, e farci i suoi porci comodi. Chiedi a kadosh per ulteriori info, non è proprio il mio campo (ma è il suo )
Ciao

[Kurosawa]

Peraltro non mi dici che sistemi sono (win2k?).

trattasi di w2k.

i servizi di e-mail sono su tcp, e non su udp, e inoltre sono "a connessione", e non "in ascolto"

d'accordo su udp ma... hem non me ne intendo molto, ma

Codice: Seleziona tutto

 

  UDP    127.0.0.1:1034         *:*
 


mi pare che non indichi la porta in ascolto...

Codice: Seleziona tutto

TCP    0.0.0.0:8624           0.0.0.0:0              LISTENING
 

questa è in ascolto no?

Se fossi un cracker, probabilmente avrei installato più di una backdoor, oppure un servizio (server irc, server ftp, ma anche spawn di console) ridenominando l'eseguibile e piazzandolo su una porta non standard, per esempio la 8623 e 8624 tcp...

e qui veramente siamo sulla metafisica ora... comincio a perdermi...
buttiamola là a parte il FW che mi consigliate?

ps: però mi sto divertendo e comincio a capire un po' di cose... che bello!

[Nicola]

Codice: Seleziona tutto

 

  UDP    127.0.0.1:1034         *:*

1034 UDP.

mi pare che non indichi la porta in ascolto...

Codice: Seleziona tutto

TCP    0.0.0.0:8624           0.0.0.0:0              LISTENING

questa è in ascolto no?

E' in LISTENING, credo che non sia connesso nessuno.

buttiamola là a parte il FW che mi consigliate?

Kerio Personal Firewall. Lo setti per bloccare le porte non lecite.

Ciao

[zello]

Premessa: i dettagli dei protocolli tcp/ip non sono esattamente il mio forte, diciamo che più o meno so come funziona...
Il protocollo udp non prevede "connessioni" come il tcp, semplicemente invia pacchetti a determinati indirizzi. Sotto questo punto di vista, non vi è differenza di stato in una connessione udp. Certo è che la riga:

Codice: Seleziona tutto

UDP    127.0.0.1:1034         *:*


vuole dire che il computer locale sta aspettando pacchetti da chiunque (*:*) che arrivino sulla porta 1034. In altri termini: è in ascolto.

e qui veramente siamo sulla metafisica ora... comincio a perdermi...

Oh, niente di strano. Metti di avere un server telnet, chiamato TelnetServer.exe, che ascolta sulla porta 23 - che è la porta standard per il servizio telnet. Il primo netstat o fport te lo becca uso ridere.
Ora supponi che rinomino l'eseguibile in svghost.exe, e lo piazzo in ascolto non sulla 23, ma sulla 8623 . Già netstat e fport mi darebbero dati meno leggibili, no?

[Kurosawa]

Nico il tuo ultimo post non mi è molto chiaro...

[Nicola]

Nico il tuo ultimo post non mi è molto chiaro...

hai detto:

mi pare che non indichi la porta in ascolto...

Ti ho detto che la indica e che è la 1034 (dopo ":") ed è di tipo UDP.

questa è in ascolto no?

E' in listening cioe' aspetta connessioni. Visto che so proprio poco il TCP-IP guarda il post di zello che è + dettagliato.


Per il firewall ti consiglio di usare Kerio Personal Firewall e di settarlo per bloccare le porte non lecite (vedi quella usata da svghost ecc)

Ciao.

[rebol]

Bravi a tutti quanti, continuate. Così la prossima volta che parlo di SYN/ACK o TCP/IP a Kurosawa non mi guarda come fossi alieno

PS: di la verità kurosawa, ti stai intrippando....... è figa o no 'sta roba?

[Kurosawa]

OT: phew si molto!!!!...
però ce ne è di pane damasticare prima di cominciare a ingoiare qualce boccone (maaamaaaa che metafora).

[Kurosawa]

ok ora comincio a ragionare un po'

ma non mi fermo... come detto prima Fport su nt non va... che devo usare per ottenere lo stesso risultato?

...e comunque davvero grazie a tutti!!!!...

ps: non finisce qui... mo voglio proprio arrivare fino in fondo a sta storia...

[zello]

Sicuro sicuro sicuro che non vada? A me andava, ai tempi di NT4 (mi sembra di ricordare...). Non va su 95,98 e ME...

[Kurosawa]

nt4 server sp6... e non va