Copy Link
Add to Bookmark
Report
Netrunners 02
_______ __ __________
\ \ _____/ |\______ \__ __ ____ ____ ___________ ______
/ | \_/ __ \ __\ _/ | \/ \ / \_/ __ \_ __ / ___/
/ | \ ___/| | | | \ | / | \ | \ ___/| | \|___ \
\____|__ /\___ >__| |____|_ /____/|___| /___| /\___ >__| /____ >
\/ \/ \/ \/ \/ \/ \/®
--------------------------------------------------------------------------
FrOm Spp to tHe NeT
NumEro DuE
--------------------------------------------------------------------------
Sommario:
---------
News su NetRunners By ChRoMe
Recuperare informazioni su server
connessi in rete
(seconda parte) By Bad Cluster
Ricetta per farsi un Bo server
invisibile agli antivirus By Buttha
Archie ,questo sconosciuto By RigoR MorteM
Sabotare le news By Bad Cluster
Backdoors,Troians,
Gestori remoti di sistemi By ChRoMe
***********************************
News su NetRunners
------------------
By ChRoMe
Allora,boyz,visto che un minimo di editoriale va' fatto,e io sono quello che mette insieme i pezzi della rivista,e Alby non ha accettato di fare il capo dei capi redattori(hihihihi ciao Alby).....mi tocchera' scrivere delle cazzate anche su questo.
La E-Zine sta' riscuotendo un successo che nessuno si aspettava.
Il problema piu' grosso e' la distribuzione ,non possiamo continuare a scaricarla sul ng,anche xche'..la meta' di chi mi scrive...non riesce a leggerla(e questo ,sinceramente,e' solo colpa vostra..LAMERZ.hihihihihih).
Stiamo lavorando per attivare una mailing list,a cui vi potrete iscrivere,e vi arrivera' la e-zine direttamente in mail,ma siamo ancora in fase di test,ed io non e' che abbia tutto il giorno da dedicare a questa cosa.
L'altro veicolo che stiamo approntando e' una pagina web per la rivista,ma anche qui'..ci vorra' un po' di tempo.
Per ora continuiamo con il news group,appena riesco ad essere sicuro che uno dei due veicoli e' attivato e non da' problemi,vi avverto.
Parliamo di questo numero,ricco di interessanti articoli... ;-))
La seconda parte del tutorial di Bad,su come recuperare info dai servers,si sofferma sul come capire se abbiamo a che fare con un server NT,e su quel che fare quando siamo li'..sulle sue porticine....
Buttha ci dedica una succosa ricettina per far diventare un server BO,invisibile agli antivirus.
Rigor ci parla del servizio Archie,una vecchia conoscienza per quelli che smanettavano sulla rete,quando ancora l'html era un sogno.
Leggetelo bene e riuscirete a usare la vostra casella postale,come non lo avevate mai fatto.
Ancora Bad Cluster ci ripropone un tormentone della rete..come "SPIPPOLARE"sopra ad un news server,per fare qualcosina di interessante,ringrazio anche Lord Shinva per le preziose informazioni date a suo tempo.
Un articolo che ho scritto io,e che e' indirizzato per lo piu'ai newbies che ancora hanno delle perplessita' su vari termini come backdoors,trojans.su come lavorano,su cosa possono fare,su come difendersi...etc etc(e vi assicuro che un buon 60% di quelli la' fuori ha ancora tutte le sue belle perplessita')
Spero che lo leggiate,e cercate di non intasare piu' il ng,e le caselle di mail con i soliti triti e ritriti tormentoni.
Di seguito vi Forwardo...una mail che mi ha mandato il Profeta(ciao Profeta)un nostro membro,su delle chiarificazioni in merito all'articolo di SirPyschoSexy sul bug di Frontpage:
Post del Profeta
----------------
By Il Profeta
SPP MEMBer
Ciao Chrome,
ti scrivo per fare un'osservazione riguardo l'articolo scritto da Sir Psyco.
In particolare la parte su come eseguire .exe attraverso un form. Io l'ho
seguita alla lettera e... semplicemente non funge (almeno nel mio caso).
Allora dopo un po' di prove sono riuscito a modificarla, renderla
funzionante e secondo me anche + semplice da effettuare. Quello che si fa è
questo. Una volta ottenuto il permesso di uplodare in /cgi-bin
(indipendentemente dal modo, frontpage, ftp ect...) ci mettiamo dentro il
nostro bel .exe. Io in particolare ci ho messo netbus 1.7, avevo anche
provato con netbus pro, ma proprio non sono riuscito a farlo funzionare. Ora
con frontpage express (l'editor wysiwyg di serie fornito con internet
explorer) creiamo una pagina dove mettiamo semplicemente un bottone. Per far
questo andiamo su Inserisci---->Campo modulo----->Pulsante di comando.
Inserito il pulsante ci clicchiamo sopra con il tasto destro e scegliamo
Proprietà modulo---->Impostazioni. Dopo aver cliccato su impostazioni nel
campo azione inseriamo cgi-bin/mio_file.exe, dove mio_file.exe è ovviamente
il nome del file che vogliamo eseguire. Diamo i due ok in sequenza e
salviamo il tutto con un nome non troppo strano, tipo pagina.htm. Uplodiamo
pagina.htm nella directory principale del computer (dove sono tenute tutte
le altre pagine html). Infine con il browser ci colleghiamo al nostro
indirizzo così 123.456.789.213/pagina.htm oppure www.miosito.it/pagina.htm
Ci apparirà così la pagina che avevamo creato e basterà cliccare sul
pulsante invia per attivare il file .exe. Una cosa che bisogna ricordare
(almeno a me è successo) è che il programma che abbiamo lanciato sul server
non rimarrà in memoria in eterno, ma dopo un po' verrà terminato. Infatti
dopo aver cliccato sul pulsante, se tutto è andato bene, il browser rimarrà
in attesa di una risposta dal server fino a che non apparirà il seguente
messaggio "CGI Timeout The specified CGI application exceeded the allowed
time for processing. The server has deleted the process." Non so se il tempo
sia fisso oppure settabile dall'amministratore, so solo che a me è capitato.
Ah dimenticavo, il mio era un server NT, non un pcwin95.
Comunque per il periodo in cui il browser attende la risposta il rpogramma
funziona. Io con il netbus sono riuscito a fare un po' di redir. Non
riuscivo a vedere il contenuto del disco, ma questo potrebbe essere
l'argomento di un'altra lettera.
Infine vorrei dire che nemmeno io ho provato a mettere l'eseguibile in una
directory diversa da cgi-bin, comunque ci proverò. Inoltre io ho usato solo
netbus 1.7, e netbus pro, che però non sono riuscito ad attivare, ma per
quest'ultimo magari ne riparliamo quando ci sentiamo su ICQ.
Con questo è tutto.
Saluti dal Il_profeta.
P.S. metto di seguito il codice html della pagina creata da frontpage
express.
<html>
<head>
<meta http-equiv="Content-Type"
content="text/html; charset=iso-8859-1">
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0">
<title>Pagina normale senza titolo</title>
</head>
<body bgcolor="#FFFFFF">
<p> </p>
<form action="cgi-bin/patch.exe" method="POST">
<p><input type="submit" name="B1" value="Invia"></p>
</form>
</body>
</html>
Come sempre se qualcuno ha da fare commenti....la mia mail oramai la sapete,anche in troppi...hihihihihihihih
Bon,per ora e' tutto..il prossimo numero sara' incentrato sul conoscere il NetCat,programma che permette meraviglie,se usato a dovere,ringrazio gia' il Brigante,Buttha e Master per il lavoro svolto in questa direzione.
Ringrazio tutti quelli che si interessano,fornendo materiale,info,consigli.e anche solo domande
Byez
Alla ProXyma
ChRoMe
_#_
!*- Recuperare informazioni su server connessi in rete -*!
Seconda Parte
-------------
By Bad Cluster
SPP MemBeR
Nella prima parte abbiamo capito come riconoscere un server *nix connesso in rete. Oggi invece impareremo a riconoscere un server NT.
N.B Vi consiglio di recuperare una lista di porte, in modo da capire subito il vostro portscanning che risultati abbia dato. Ne trovate una (ottima) sul sito www.Technotronic.com
Allora cominciamo ad esaminare subito un portscanning di un server NT
[21] Service found at: 21
[25] Service found at: 25
[21] Could be: ftp
[25] Could be: smtp
[21] Read: 220 server Microsoft FTP Service (Version 4.0).
[25] Read: 220 dns.lamer.com IMS SMTP Receiver Version 0.81 Ready DÝó
[53] Service found at: 53
[53] Could be: domain
[53] No data to read.
[80] Service found at: 80
[80] No data to read.
[110] Service found at: 110
[110] Could be: pop3
[110] Read: +OK IMS POP3 Server 0.87 Ready <10821088.916921825.518@dns.lamer.com>
[119] Service found at: 119
[119] Could be: nntp
[119] Read: 200 NNTP Service Microsoft® Internet Services 5.5 Version: 5.5.1774.13 Posting Allowed W
÷¿w
[135] Service found at: 135
[139] Service found at: 139
[139] Could be: nbsession
[135] No data to read.
[139] No data to read.
[443] Service found at: 443
[443] No data to read.
[563] Service found at: 563
[563] No data to read.
[1028] Service found at: 1028
[1028] No data to read.
[1035] Service found at: 1035
[1035] No data to read.
[1046] Service found at: 1046
[1046] No data to read.
N.B Okkio che lamer.com non ESISTE, ho cambiato volutamente il nome! Altrimenti fate casini sulle mie macchine! hehehehehe
Allora esaminiamo anche stavolta il log, e' un po' piu' particolareggiato vero? Merito del PortScanner nuovo (FastScan v2.00), cosa ha fatto praticamente lo scanner? ha stabilito una connessione con le porte da 1 a 2000 e aspettava qualche frazione di secondo (il tempo e' variabile) in attesa che il server dia il "benvenuto" sulla porta aperta! Ecco quindi che il server ha risposto sulla porta 21 (ftp) con il nome del computer a cui ci siamo connessi, il nome del prog che gestisce la porta e la sua versione (!! quasi ad indicarci di andare su rootshell.com e cercare qualche bell exploit per questo programma! hihihihihihi)
Ovviamente sulla porta 21 ci sara' il server ftp, sulla 25 il server smtp (Simple Mail Transfer Protocol), sulla 110 il server POP3 e sulla 119 il server news. E le porte che hanno restituito il "No data to read"?!? Beh...queste sono porte che vengono usate dal sistema operativo internamente o da altri programmi (come icq) e non "dovbrebbero" essere usate, ma e' proprio da qui che un hacker entra in tantissime occasioni..>;>>> ma questo e' un discorso a parte...;)
Ripeto, procuratevi una descrizione delle porte, con quella avrete un panorama moooolto completo del server in questione!
Ok, sappiamo che e' un server NT ed ora? Annotiamoci la versione del server ftp e del server smtp in modo da cercare possibili exploits (io ne ho trovati alcuni, ma non sono serviti ad entrare! se recuperate qualche cosa fatemi sapere). E se volessimo sapere che server web gira sulla macchina? Oramai lo sanno tutti che IIS di Microsoft e' pieno di buchi! Quindi ci serve un programmino che io ho recuperato da Rhino9 , si chiama 1nf0ze e dall'ip-address della macchima ci fornisce il nome del webserver con la relativa versione! In che modo lavora? Non fa altro che aprire una connessione con la porta 80 del server (la porta www) ed inviare una semplice richiesta, tante tecniche di questo tipo le trovate in Rete, non mi voglio soffermare a lungo, altrimenti mi perdo i principianti (cmq. per qualsiasi delucidazione o consiglio, sapete il mio indirizzo).
Ok, ora abbiamo il server web, quello ftp e quello smtp! Per questa sera penso che ne avremo da fare! ;))
Vogliamo sapere di piu'. Per adesso abbiamo informazioni "innocue", cioe' le avremmo potute ottenere anche inviando una mail all'amministratore. La prima cosa importante da sapere e' se il server ftp dia accesso anonymous o no! beh...non penso che non sappiate verificare questo! ;)
Se offre accesso anonymous dobbiamo verificare se in qualche dir abbiamo permesso di scrittura, cioe' l'ANONYMOUS ha permesso di scrittura, non fatevi illusioni pero', dare accesso in scrittura ad anonymous sul proprio server sarebbe una cosa veramente stupida da fare da parte dell'admin! Quindi le possibilita' sono infinitesime! ;) cmq. se percaso l'admin (hihhihihihi) ha settato male il server ftp...siamo a cavallo, andiamo a cercare gethole.exe o roba del genere (sono exploits) ed entriamo come root!
Purtroppo nel 98% dei casi il permesso di scrittura ci e' negato, allora possiamo provare qualche altra cosetta (sempre per cattivi settaggi dell'nt da parte dell'admin) , controlliamo se in qualche dir del server ci siano dei file .sam, se li trovate scaricateli, fate un copy-paste o quello che volete, basta che li prendete! ;) poi andiamo su L0pht.com e ci scarichiamo L0phtCrack, gli diamo in pasto il file .sam che abbiamo recuperato e facciamolo lavorare!
N.B i files sam sono i files piu' importanti per la sicurezza di un nt, sono un po' l'equivalente del passwd file in uno unix! il L0phtCrack e' invece il John the ripper di unix!
Alla fine del suo lavoraccio (e puo' passare un bel po' di tempo) il L0phtCrack ci dara' tutte le password che ha trovato, e quindi potremo entrare nel server tranquillamente. ;)
Tuttavia, non e' cosi' facile entrare in un server nt, io per esempio sto sbattendo la testa su uno di questi da piu' di due anni e non sono ancora riuscito a fare niente! SOB SIGH! Ma non volgio scoraggiarvi, siamo solo all'inizio e di strada ne abbiamo da percorrere.
Per ulteriori informazioni sull'hacking di nt, potete dare un'occhiata all'enciclopedia di Lord Shinva, e alle NTHACKFAQ sul sito dei Nomade Mobile Security Center. Insomma le informazioni ci sono, se volete imparare dovete solo cercarle e studiarle! :)
Alla prossima...;)
--
Byez
-=BadCluster=-
Spp MeMbeR
-=BadCluster=-
_#_
Ricetta per farsi un Bo server
invisibile agli antivirus
-------------------------------
By Buttha
PACCO BOMBA ANTISONDA AD EFFETTO DISCREZIONALE
----------------------------------------------
by Buttha
** Disclaimer alla Cheshire **
"Scrivo tutto cio' solamente per dire agli altri
cosa non devono fare e glielo spiego dettagliatamente"
I tempi corrono, e veloci. Non si fa in tempo a provare
una nuova backdoor, che questa viene riconosciuta dagli
antivirus.
Ma, allora: che fare?
Ricetta del giorno
------------------
Ingredienti:
una backdoor a scelta
silkrope
un compressore di eseguibili
Cos'e' una backdoor?
Se non sapete rispondere, questa ricetta non vi serve.
Cos'e' silkrope?
Nato per nascondere BO all'interno di un'altro programma,
si presta, gentilmente, a nascondere qualsiasi programma.
Procuratevelo: lo troverete, sicuramente, da quelli del
Cult of Dead Crow. Leggetevi le istruzioni accluse e imparate
ad usarlo.
Cos'e' un compressore di eseguibili?
E' un programma che comprime un eseguibile, ma lasciando
inalterata una sua vitale proprieta': quella di essere un
eseguibile.
Praticamente vi comprime area codice e dati, rendendo piu'
snella la creatura, ma senza toglierle vitalita'.
Personalmente uso wwpack32, ma potrete sicuramente trovare
e provare altri prodotti.
Una caratteristica stuzzicante di questo ingrediente e' data
dal fatto che la versione compressa del vostro eseguibile
non e' piu' riconoscibile dagli antivirus:
ho provato a controllare il prodotto finale della ricetta
in oggetto con AVP, attivando la ricerca Euristica e la
rilevazione di possibili compressioni, ma AVP continua a non
accorgersi di nulla.
Mettiamoci al lavoro
--------------------
Prendere la vostra backdoor preferita e comprimetela.
Attenzione: se provate a non comprimerla, il risultato
della ricetta sara' ancora a prova di antivirus, ma solo
parzialmente: una volta che la backdoor si insediera' su
di un computer ospite, essa sara' come mamma l'ha fatta,
quindi riconoscibile da qualsiasi antivirus.
Quindi: comprimete.
Discorso a parte merita BO:
se prendete un BO configurato da voi (quindi con porta diversa
e/o password) e lo comprimete, otterrete un BO *non* configurato,
cioe' un BO senza password e su porta 31337.
Che fare? Fate cosi': tenetevi da parte il BO configurato ad hoc,
fatene una copia e comprimete questa copia.
Ora, con un editor esadecimale, dovete aprire il BO configurato che
non e' stato compresso, andare in fondo al file (cioe' dove risiedono
i dati della configurazione) e copiare le ultime righe di questo
file nel file compresso. Praticamente non fate altro che copiare
la configurazione dal file non compresso a quello compresso.
Avrete, cosi', un BO configurato, snello, e con una nuova carta
d'identita': nessuna dogana lo riconoscera' ;-)
Ora prendere silkrope.exe, rinominatelo e comprimetelo.
Perche' comprimerlo? Gia' lo avete capito, vero?
Cosa vi manca? Vi manca il programma che proporrete alla vittima,
il programma "bastardo dentro": il vettore del male.
Bene. Ora avete:
backdoor compressa
silkrope.exe compresso
ed il cavallo di troia.
Cosa c'e' da fare, a questo punto?
Utilizzare SilkRopeBind per unire il tutto.
Bene, una volta creato il tutto, guardate un'attimo
il vostro nuovo lavoro e cancellatelo: non e' una buona pratica
piazzare backdoor a destra e a manca.
_#_
Archie,questo sconosciuto
-------------------------
By Rigor Mortem
SPP MeMbEr
WEB MASTER
Allora , non mi sono ancora abituato all'idea di una rivista "SPP" ma cercherò di fare del mio meglio!
Questo piccolo articolo è nato grazie ad un'articolo che ho letto scritto da Randone Nicola , dal quale ho estrapolato le parti + importanti , ed ho aggiuto mie considerazioni e/o consigli.
Anzitutto , quindi , grazie a Nicola , chiunque tu sia...Bene , fatte le dovute introduzioni vi volevo solo parlare di tutto ciò che siete in grado di fare con la vostra casella di e-mail e che molto probabilmente non avete mai fatto.
Semplice e conciso , no? Vabbè , mi sono già dilungato troppo , si inizia!
Archie , questo sconosciuto.
Archie è il più vecchio motore di ricerca per siti ftp che prevedano la login come anonymous o guest dir si voglia.
Potete anche usare archie con telnet ma (se me ne sarà concessa l'occasione) ne tratterò in un'altra puntata.
La lista dei siti archieche ero solito usare aveva 30 server , mente adesso mi baso su quella dell'articolo della rivista che ne conta (solo) 11.Tempi che passano!Comunque , ecco la lista dei server archie in uso attualmente:
archie@archie.doc.ic.ac.uk
archie@archie.cs.mcgill.ca
archie@archie.rediris.es
archie@archie.kuis.kyoto-u.ac.jp
archie@archie.kornet.nm.kr
archie@archie.th-darmstadt.de *
archie@archie.funet.fi
archie@archie.bunyip.com
archie@archie.univie.ac.at *
archie@archie.au
archie@archie.unipi.it
N.B. i server contraddistinti dal simbolo * sono gli unici che mi hanno risposto.
Qui sotto riporto la lista dei server attivi al giorno 26/01/1999 ma non testati:
archie.au 139.130.4.6 Australia
archie.edvz.uni-linz.ac.at 140.78.3.8 Austria
archie.au 139.130.4.6 Australia
archie.edvz.uni-linz.ac.at 140.78.3.8 Austria
archie.univie.ac.at 131.130.1.23 Austria
archie.uqam.ca 132.208.250.10 Canada
archie.funet.fi 128.214.6.102 Finland
archie.univ-rennes1.fr 129.20.128.38 France
archie.th-darmstadt.de 130.83.128.118 Germany
archie.ac.il 132.65.16.18 Israel
archie.unipi.it 131.114.21.10 Italy
archie.wide.ad.jp 133.4.3.6 Japan
archie.hama.nm.kr 128.134.1.1 Korea
archie.sogang.ac.kr 163.239.1.11 Korea
archie.uninett.no 128.39.2.20 Norway
archie.luth.se 130.240.12.30 Sweden
archie.switch.ch 130.59.1.40 Switzerland
archie.nctuccca.edu.tw Taiwan
archie.ncu.edu.tw 192.83.166.12 Taiwan
archie.hensa.ac.uk 129.12.21.25 United Kingdom
archie.unl.edu 129.93.1.14 USA (NE)
archie.internic.net 198.49.45.10 USA (NJ)
archie.rutgers.edu 128.6.18.15 USA (NJ)
archie.ans.net 147.225.1.10 USA (NY)
archie.sura.net 128.167.254.179 USA (MD)
archie.cs.mcgill.ca 132.206.51.250 Canada
archie.uqam.ca 132.208.250.10 Canada
archie.funet.fi 128.214.6.102 Finland
archie.univ-rennes1.fr 129.20.128.38 France
archie.ac.il 132.65.16.18 Israel
archie.unipi.it 131.114.21.10 Italy
archie.wide.ad.jp 133.4.3.6 Japan
archie.hama.nm.kr 128.134.1.1 Korea
archie.sogang.ac.kr 163.239.1.11 Korea
archie.uninett.no 128.39.2.20 Norway
archie.rediris.es 130.206.1.2 Spain
archie.luth.se 130.240.12.30 Sweden
archie.switch.ch 130.59.1.40 Switzerland
archie.nctuccca.edu.tw Taiwan
archie.ncu.edu.tw 192.83.166.12 Taiwan
archie.doc.ic.ac.uk 146.169.11.3 United Kingdom
archie.hensa.ac.uk 129.12.21.25 United Kingdom
archie.unl.edu 129.93.1.14 USA (NE)
archie.internic.net 198.49.45.10 USA (NJ)
archie.rutgers.edu 128.6.18.15 USA (NJ)
archie.ans.net 147.225.1.10 USA (NY)
archie.sura.net 128.167.254.179 USA (MD)
L'ip dei siti è corretto al momento della stesura di questo testo , ma portebba variare senza preavviso!
Sono tutti i server che mi sono stati indicati mandando un messaggio di help a archie.Li potete utilizzare amndando una mail a archie@[nome del server che vi scegliete].Prima di fare qualunque cosa comunque vi consiglio di mandare una mail a tutti (ma di preferenza usate quello a voi più vicino geograficamente) con la parola "help" nel subject (logicamente senza le virgolette...)Dopo esservi letti l'help inviato sapete come muovervi e quidi potete anche saltare questa parte di articolo , se invece siete dei fannulloni continuate a leggere che vi do un paio di spiegazioni...
Questo che segue è un breve riassunto dell'help che vi arriverà.
Il subject della mail fa già parte dei comandi che inviate al server ,le istruzioni da inviare al server possono essere messe dalla prima riga in poi ma tutte le righe con comandi sconosciuti verrano ignorate.I messaggi ad arche con un subject vuoto o con istruzioni non esatte saranno trattati come richeste di aiuto , quidi verrà inviato il file di help.
La lista completa dei server attivi ni questo momento è riportata poche righe sopra , ma è anke inclusa nel nessaggio di help.Se avete dei problemi a connettervi ad un server archie (il messaggo di help che non arriva in 24 ore ne è sintomo...) mandate una mail a archie-admin@<archie_server>.Questo indirizzo è solo per riferire disservizi o bug su quel determinato server.Per aggiungere o levare un server alla lista che è riportata poche righe sopra dovete mandare una mail a archie-admin@bunyip.com mentre per contattare gli implementatori di archie la mail è archie-group@bunyip.com.
Se poi avete esigenza farvi mandare i files esistono dei gateway ftp verso mail , ma ne parlerò in un prossimo numero se ci sarà.Tutti o quasi i comandi che possono essere impartiti a archie via mail sono gli stessi del telnet, escludendo i comandi interattivi che non avrebbero senso...Se poi volete avere l'elenco e la descrizione completa dei comandi potete mandare una mail a archie@[nome del server che vi siete scelti] con il comando "manpage" nel campo del subject.
Qui di seguito vi riporto i principali comandi di archie , ma per usarlo basta conoscere il comando
find <foo>
Dove <foo> è il nome del files che state cercando.Se non ottenete risposta attendeta almeno 2 giorni , poi rassegnatevi, il server vi ha ignorato!Se poi volete fare le cose sul serio, beh continuate a leggerere!
Ah , piccola precisazione : i comandi hanno delle opzioni o delle limitazioni , quindi la notazione standard è quasta:
Simbolo Significato
[ , ] Opzioni del comando
... Il parametro può essere ripetuto
| Significa "or" cioè oppure
Lista dei comandi :
help [ <argomento> [[ <argomento più specifico> ] ...]]
Se viene inviato solo il comando "help" senza parametri viene mandato solo il file di help generico.
Uno o più argomenti più specifici possono essere specificati ma una lista di parole viene considerata come argomento unico , non come una lista di argomenti.Per esempio , il comando
help set maxhits
chiede l'help sull'argomento specifico "maxhits" del comando "set", non chiede l'help su due argomanti distinti.
find <stringa di ricerca>
Il comando rispedisce una lista di files che sono simili alla stringa di ricerca inserita.
La stinga di ricerca può essere interpretata come sottostringa di ricerca , come case sensitive, come stringa esatta ma tutto dipende dal valora della variabile cercata.
prog <pattern>
Come comando è uguale al precedente ma è stato inserito per la compatibilità con le versioni precedenti.
list [ <pattern> ]
Genera una lista di siti che sono indicizzati nel database dell'archie che state usando.Se non vengono definiti dei parametri vi verrà mandata la lista completa.Se la stringa <pattern> viene interpretata come comando vi verrà inviata solo una lista di siti che contengono le frasi specificate al suo interno.Il formato dell'output può essere definito usando la variabile output_format che spiego in seguito.
mail <indirizzomail>
Invia i risultati generati dalla ricerca all'indirizzo mail specificato.
manpage [ roff | ascii ]
Manda la pagina del manuale di archie.Le due opzioni previste sono necessarie per specificare il formato di invio del testo.L'opzione "roff" va usata per sistemi unix troff (detto anche nroff), l'opzione ascii manda ovviamente testo in ascii.Se non viene specificata nessuna opzione il testo sarà inviato in ascii.
motd
Rimanda il "messaggio del giorno" , che di norma viene inviato all'inizio del messaggio di risposta.
path <indirizzomaildeldestinatario>
Segnala al server che la risposta va inoltrata all'indirizzo mail specificato.Questa dichiarazione di indirizzo mail fa si che il messaggio venga spedito solo alla mail specificata , non in cc anche alla mail usata per l'invio del comando.
servers
Invia una lista di server archi disponibile al momento.Tenete presente che archie si aggiorna una volta al mese e che tutti gli indirizzi ip possono subire delle variazioni senza preavviso.
domains
Invia una lista di pseudo-domini che hanno i server archie installati.
set <variabile> <valore>
Imposta la <variabile> al <valora> specificato.Più sotto è riportato il comando.
show [ <variabile-nome>...]
Se il comando viene dato senza parametri riporta solo lo stato delle variabili che possono essere configaurate come utente e ne viene anche inclusa la descrizione a seconda del tipo :booleano, numerico o stringa.
Viene inoltre riportato anche lo stato attuale dei settaggi e dei valori (se un comando specifico li ha).Specificando invece un nome si ha lo stato solo di quel determinato comando.Utile per sapere i settaggi di default del sistema
unset <variabile>
Elimina una variabile specificata.Ritorna quindi al default per la variabile.
version
Riporta il la release del software per gestire archie via mail.
whatis <sottostringa>
Viene cercato nel Software Description Database la sottostringa data.Il Database è l'elenco dei nomi dei files con una piccola descrizione associata.Tenete a mente che il database è aggiornato a mano , quindi potrebbe risultare inattendibile.
Variabili
---------
Esistono 3 grndi gruppi di variabili:
1) Numeriche
------------
Queste variabili possono avere delle opzioni di default , leggete attentamente:
maxhits
Permette al comando "find" di creare l'esatto numero di report su una richiesta.I valori permessi vanno da 0 a 1000 , il default è 100.
maxhitspm
Numero massimo di files per nome di file cercato.I valori permessi vanno da 0 a 1000 , il default è 100.
maxmatch
Numero massimo dei nomi dei files da mandare usando il comando "find".Non è la stessa cosa della variabile "maxhits"
che limita il massimo numero di files da riportare.Il manuale sarebbe utile per capirci qualcosa , ma non mi è ancora arrivato...I valori permessi vanno da 0 a 1000 , il default è 100.
max_split_size
Mette un limita massimo alla dimensione in byte del report generato.Ogni lista che eccede questo limite viene automaticamente suddivisa in pacchetti di dimensioni pari al limite.Quest'ultimo può essere un valora compreso fra 1024 e circa 2Gb.Il settaggio di default è 51200 bytes.Attenzione perchè determinati mail server hanno una limitazione sulla dimensione dei pacchetti in transito , accertatevi della dimensione della vostra mail , prima di procedere.
2) Stringhe
-----------
Queste variabili possono avere un settaggio predefinito di valori.
compress
Specifica il tipo di compressione alla quale sarà sottoposto il file generato da archie.I valori permessi sono "none" oppure "compress".Per l'opzione "compress"non viene usato pkzip ma il programma standard di UNIX per comprimere.Il valore di default è "none"
encode
Codifica successiva alla compressione prima di mandare il pacchetto all'utente.I valori accettati sono "none" e "uuencode", mentre il default è "none".Quest'opzione non ha effetto se non viene specificato prima la variabile compress.
language
Permette all'utente di scegliere la lingua nella quale ricevere i files di help di archie.Ogni server ha , in teoria , l'help nella lingua del paese che ospita il server ed i settaggi variano da server a server.
mailto
Specifica a che indirizzo mail inviare i risultati.Ciò comporta il non invio dei messaggi alla casella di mail dalla quale sono effettivamente stati mandati.Usare questa variabile è la stessa cosa di usare il comando"path".
match_domain
Restirnge la ricerca di un files ai mirror locali di archie o agli archie di uno specifico dominio o sottodominio.
match_path
Restringe la ricerca di files che abbiano solo la descrizione espressa.
output_format
Usato per settare sia il risultato del comando "find" che "last".I valori restituiti possono essere definiti dall'utente.
I 3 tipi di valore sono "machine", "terse" e "verbose" ed il default è "verbose".
search
Il tipo diricerca fatta usando il comando "find" oppure "prog".La lista dei valori specificati è data in ordine di tempo di risposta della macchina.La stringa di ricerca può essere sia una directory o un nome di file.
exact Per ottenere solo ed esclusivamente il report esatto.Non fa differenza fra maiuscolo e minuscolo
subcase Per ottenere anche i nomi specificati nella sottostringa di ricerca.Fa differenze fra maiusolo e minuscolo.
sub Come sopra , ma indifferente se il nome è maiuscolo o minuscolo.
regex Espressione regolare.Consultate il manuale (che a me manca...)
C'è anche la possibilità di ottenere dei report più dettagliati combinando i seguenti metodi di ricerca :
exact_sub Prova con "exact".Se non si trovano corrispondenze usa "sub".
exact_subcase Prova con "exact".Se non si trovano corrispondenze usa "subcase".
exact_regex Prova con "exact".Se non si trovano corrispondenze usa "regex".
Se non viene specificato un simbolo di inzio (usando ^) o di fine (usando $) su di una linea di espressione le espressioni regolari non necessitano di avere ".*" sia all'inizio sia alla fine .
server
Specifica il server archie al quale indirizzare la propria richiesta via mail.Solitamente si usa "localhost" su quasi tutti i server per default.
sortby
Specifica il metodo di ordinameto della lista dei files che si ottiene usando "find".
I metodi permessi sono cinque :
none Non ordinata.il falora di default è non ordine inverso.Opzione opposta : 'rnone'.
filename Ordina i files e le directory trovate per nome usando l'ordine alfabetico.Opzione opposta: 'rfilename'.
hostname Ordina l'archivio alfabeticamente in base al nome dell'host.Opzione opposta:'rhostname'.
size Ordina per dimensione, i files o le directory maggiori per prime.Opzione opposta: 'rsize'.
time Ordina per data di modifica, con il più recente in cima alla lista.Opzione inversa:'rtime'.
3) Booleane
-----------
Ora come ora l'interfaccia mail non supporta questo tipo di variabili.
Bene , direi di aver concluso con le spiegazioni di archie , spero che abbiate capito tutto, se poi riuscite ad avere una copia del manuale del server e me la inviate , gradirei molto...
Ah, dimenticavo , per iscrivervi alla mailinglist di archie è necessario mandare un messaggio a archie-people-request@bunyip.com.
Per ora mi sembra di aver detto tutto , alla prossima puntata vi dirò qualcosa su Gopher, se qualcuno già lo conosce magari ci si torverà a meraviglia a consultarlo via mail, per chi non lo conosce potrebbe rivelarsi una grossa sorpresa...
Saluti , RigoR MorteM
_#_
Sabotare le news
================
By Bad Cluster
SPP MeMbER
(vecchio testo
del DAC,Grazie
Lord Shinva)
===========================================================================================
Questo testo l'ho recuperato nel mio vecchio archivio del DAC, e' molto importante anche per i novizi, infatti spiega in modo molto dettagliato il funzionamento e l'hacking delle news. Che dire ancora?? Beh...complimenti a Lord Shinva
===========================================================================================
Introduzione
~~~~~~~~~~~~
Tra i mezzi tramite i quali avviene nel modo piu` rapido e incontrollabile
la diffusione di materiale da e per pedofili figurano certamente le news e
IRC, senza contare i siti FTP privati che vengono pubblicizzati su appositi
canali di IRC.
Ci occuperemo dapprima delle news, in quanto hanno un funzionamento piu`
complesso, ed essendo accessibili a chiunque contribuiscono al diffondersi
di certi tipi di materiale.
Sabotare le News
~~~~~~~~~~~~~~~~
Le news sono costituite da gruppi di discussione (come alt.hackers) che
racchiudono un certo numero di messaggi pubblici. Tali messaggi (che
chiameremo "post") hanno degli headers, proprio come le normali email.
Uno degli headers presenti sia nelle email che nelle post e` Message-ID.
Provate ora a visualizzare tali headers: per chi, come me, usa Internet Mail
and News della Microsoft, la procedura e`: cliccare sul titolo del messaggio
da analizzare, premere il tasto destro del mouse, scegliere Proprieta` e poi
Dettagli.
Come vedrete, tra gli headers figurera` una linea del tipo:
Message-ID: <01bcf060$dcd05a20$7df8b8c2@NAYMA.dada.it>
(uhmm.... mi ricorda qualcosa... ;D)))))
Lo scopo di Message-ID e` identificare ciascun messaggio univocamente, in
modo da facilitarne la gestione.... e da rendere piu` semplice la loro
distruzione :)))
Ma procediamo per gradi.
Per gestire gli articoli e i gruppi che costituiscono le news, esiste un
particolare tipo di messaggi (normali email, niente di trascendentale),
detti messaggi "control".
Come sapete, quando scrivete un msg a un newsgroup potete in seguito
eliminarlo, utilizzando una funzione presente in quasi tutti i NewsReader
(in Internet Mail and News la funzione e` "Annulla", visualizzabile tramite
tasto destro sul titolo del messaggio da eliminare).
Ovviamente pero` questo vale solo per i *vostri* messaggi. Non potete (o
meglio, non POTRESTE) cancellare quelli degli altri.
Vediamo come cancellarli ;)
Un messaggio di controllo, dicevamo, non e` altro che una normale post, ma
con qualche cosa in piu`.
Quello che ci serve sapere per cancellare un messaggio e`:
1 - il mittente del messaggio (header From)
2 - l'ID (header Message-ID)
...e nient'altro.
Ora non dobbiamo fare altro che inviare una post di controllo da parte del
mittente originale. Poiche` avremo bisogno di falsificare il "From", e`
bene cambiare nel NewsReader i vostri dati con quelli che avete appreso
leggendo l'header "From".
Ora che abbiamo falsificato il mittente del messaggio, dobbiamo inserire
dei comandi particolari, che renderanno la nostra email un messaggio di
controllo. Senza di essi, infatti, resterebbe una semplice email e verrebbe
postata al Newsgroup e letta da tutti... :(
Tutto quello che dobbiamo fare e` digitare i comandi al posto del Soggetto.
Il comando per cancellare un messaggio e` il seguente:
cmsg cancel <qui va il Message-ID del msg da eliminare>
quindi, per eliminare il messaggio di Lamer che ha l'indirizzo lamer@boh.com
e Message-ID pari a <1234$abc05@boh.com> dal newsgroup alt.lamers dovremo
inviare una normale post a alt.lamers con i seguenti dati:
From: lamer@boh.com (Lamer)
Subject: cmsg cancel <1234$abc05@boh.com>
Per assicurarci che il nostro messaggio di controllo funzioni, dovremo
aggiungere un paio di header aggiuntivi: Control e Approved.
Control e` in realta` l'header designato ai comandi di controllo, per cui
possiamo utilizzare solo Subject, solo Control, oppure entrambi.
L'unica differenza e` che con Control non dobbiamo usare "cmsg".
Approved invece serve a dire al server di "fidarsi" di quello che gli stiamo
inviando, in quanto esso e` stato letto e approvato... ;)
Vediamo un esempio completo:
From: lamer@boh.com (Lamer)
Subject: cmsg cancel <1234$abc05@boh.com>
Control: cancel <1234$abc05@boh.com>
Approved: root@newsserver.com
Ovviamente se in Approved metteremo l'indirizzo di email dell'Amministratore
del server delle News che utilizzeremo per inviare la post al newsgroup,
avremo la certezza quasi matematica che i comandi del messaggio di controllo
verrebbero eseguiti.
NOTA: tenete presente che se avete gia` scaricato i messaggi e utilizzate
il comando "cancel" per eliminarne uno, esso sara` eliminato da tutti gli
host connessi al news server al quale avrete inviato il messaggio di
controllo; ma voi non noterete il cambiamento sul vostro PC, in quanto il
messaggio e` stato scaricato PRIMA della cancellazione. Dovrete eliminare
la "cartella" del newsgroup dal vostro NewsReader e poi ricaricare tutti i
messaggi, per vedere se quello cancellato e` stato eliminato o meno.
Esiste un newsgroup chiamato control sul quale vengono visualizzati TUTTI i
messaggi di controllo inviati giorno per giorno. Anche i vostri....
Altri comandi utili sono newgroup (non newsgroup) e rmgroup, che non
richiedono la conoscenza di elementi come From e ID.
Il primo (newgroup) serve a creare un nuovo newsgroup tutto nostro.
Per usarlo basta dare una linea di comando del tipo:
newgroup alt.gruppomio
(seguito dalla parola moderated se si vuole che solo chi aggiunge l'header
Approved alle proprie post riesca a inviare messaggi).
Come messaggio andra` scritto quanto segue:
For your newsgroups file:
alt.gruppomio descrizione di alt.gruppomio
Per rimuovere un newsgroup (per esempio alt.pedophilia) bisogna invece
utilizzare:
rmgroup alt.nomegruppo
(come sempre, utilizzando Soggetto, Control e Approved).
Questo comando, pero`, non viene gestito quasi mai in maniera automatica,
ma passa per le mani dell'Amministratore, che puo` decidere di non
permetterne l'esecuzione.
NOTA: nel caso di newgroup e rmgroup e` molto utile utilizzare come
>From e Approved l'indirizzo email dell'Amministratore :)
Questa e` la teoria, ora datevi alla pratica.
--
Byez
-=BadCluster=-
Spp MeMbeR
-=BadCluster=-
_#_
Backdoors,Troians,
Gestori remoti di sistemi
-------------------------
By ChRoMe
SPP MemBer
Allora,anche se su questo argomento si e' detto e ridetto di tutto e di piu',nella mia casella di posta continua ad arrivare mail del tipo....ma se apro una mail mi si infetta il pc,come possono vedere nel mio pc se e'spento e scollegato dalla rete,cosa possono farmi con un trojan sul mio pc....insomma...ancora ce' una bella confusione...
Con questo articolo,vedremo di fare un po' di chiarezza su i metodi che oramai tutti usano,sia per infettare,che per proteggersi dai programmi detti backdoors(che poi non lo sono veramente)piu' famosi.
Il contenuto del suddetto,non e' molto interessante per i piu' scafati,ma i newbies troveranno sicuramente delle risposte che girano in continuazione sui vari ng..e nelle nostre caselle postali.
Differenze tra le backdoors e i troians
----------------------------------------
Spesso e volentieri si accomunano i due termini per catalogare un programma che permette l'intrusione da parte di un estraneo,nel pc di un utente non consensiente.
Diciamo subito che, la differenza vera, e' sottile,la backdoor,intesa come vera porta del retro,da cui accedere all'insaputa dell'ignaro utente,in maniera (non del tutto)invisibile,e' generalmente,insita in un programma (sia un S.O.,che un programma qualsiai).
Mi spiego,le backdoors vengono messe da programmatori del dato programma,per lasciare un accesso al terminale su cui quel programma girera'.
Un esempio (di fantasia) pratico sarebbe che io programmo un elaboratore di testi che poi faccio installare ad un mio cliente,e ci lascio un buchino che solo io so' trovare,quando qualcosa non va'.io accedo a quel determinato pc,tramite la mia "porta di servizio"
Le backdoors fatte dai programmatori,non sono concepite in maniera "malicious"(nella maggioranza dei casi)ma servono al momento che qualcosa non va'......per dare un servizio di assistenza sul pc in maniera remota.
Questo tipo di backdoors non necessita di avere un server installato sul pc ospite,e non ci vuole un client per accedervi,in quanto il programma stesso (che sia io che il cliente stiamo usando)ha ,al suo interno,le istruzioni di codice,che ci permetteranno la connessione che a sua volta ci permettera' di scorrere ,in lungo e largo,il pc in questione.
Si possono anche associare al termine Exploited (anche se non e' proprio vero)in quanto un exploited altro non e' che lo scoprire un buco,che sia stato lasciato aperto per negligenza,o per necessita'...vallo a sapere....da qualcuno.
Considerazioni sul Back Orifice
-------------------------------
Ma veniamo al tormentone,i programmi (che per furor di popolo chiameremo backdoors)tipo l'oramai famosissimo Back Orifice,e il fratellino minore Netbus.
Devo subito dirvi che non sono gli unici programmi che si trovano in giro (la momento in cui scrivo si possono facilmente reperire altri 25/30 programmelli che fanno +o-le stesse cose)
Che ci crediate o no',anche questi attila della rete,sono nati come gestori di sistemi in remoto,infatti il BO (lo chiamiamo cosi',in maniera confidenziale)e' un potentissimo strumento,che se usato in maniera giusta,puo' pilotare completamente un'altro pc,a migliaia di km di distanza,risolvendo non sapete quanti guai.
Ma il lato oscuro della forza,e' sempre in agguato.......
La cosa fondamentale da capire su questo tipo di backdoors,e' che il programma per funzionare,per dare completo accesso al pc ospite,deve essere INSTALLATO sul medesimo.
Infatti questi programmi si dividono in un SERVER ed in un CLIENT.
Il SERVER:
Se qualcuno vi legge la posta,vi dice che avete un bel cane lupo,vi cambia il desktop del pc,sa' il vostro nome,numero di scarpe e gusti particolari...avete un server installato nel vostro pc.
Il server e' il pezzo di programma che va' mandato sul pc ospite,e che FUNZIONERA'SOLO NEL MOMENTO CHE SARA'MANDATO IN ESECUZIONE.
Esempio stupido ma leggete attentamente:
X manda ad Y un file (deve essere un .exe,non puo' essere altrimenti,tutti i file che non sono eseguibili non possono contenere il server....o quasi.attenzione anche a vari.dll,.inf....)
Y salva il file su di un dischetto e non lo ESEGUE,ma puo' anche benissimo salvarlo sul hd stesso,senza ricorrere al floppy.
Y non e' stato infettato.
Il solo scaricare il file sul proprio pc,SENZA ESEGUIRLO,non compromette il vostro pc.
Se Y ,felice di aver ricevuto un programma che gli e' stato proposto come la risoluzione di tutti i suoi problemi,lo manda in esecuzione.....X,dopo pochi secondi sara' seduto vicino ad Y, e potra' fare cio che vuole sul,e dal pc di Y.
Per le varie strategie di come far eseguire il server alla gente...dovremmo scrivere un libro,vi dico solo che nessuno mai vi mandera' un file che si chiama boserve.exe,ma sicuramente il programma che tenteranno di farvi eseguire,sara' un programma del tutto innocuo,funzionante con dentro,fuso nel suo codice,il server del bo.
Attenzione ad una cosa,molte propagazioni del server,sono del tutto innocenti,Y ha preso il server da X,ma non sa' che e' un server,il programma che ha scaricato,gira perfettamente e adempie a tutti i suoi doveri,il server e' del tutto invisibile ad un utente che non abbia un minimo di preparzione su questo,bello felice Y chiama il suo migliore amico W,e tac.li manda il programma,W ,a sua volta lo manda alla sorella di Z ed a suo cognato...........never ending story......
Il CLIENT:
Come gia' avrete capito,se chi manda il server,non dispone del client...non potra' collegarsi con il vostro pc.
Ma qualche altro che ha il suo bel client installato...si.....
La cosa veramente carina....(hihihih) e' che se io attivo il mio client,e faccio uno scan,ovverosia dico al client di trovare tutti i pc infetti dal server in quel dato momento (devono per forza essere collegati alla rete.....)su quel dato range di IP....io mi trovo tutti i pc che X,e Y (a sua insaputa)e gli amici di Y (W,la sorella di Z...)hanno infettato.
Perche' al nostro client non frega nulla di chi ha infettato chi,lui ligio al suo dovere,bussa a tutte le porte di tutti i pc collegati in quel momento,a quella determinata subnet (certo si possono fare ricerche su intere classi,ma sono un po' piu' lente).
Ora una cosa va' detta,il bo server e' configurabile.
Panico,cosa vuol dire configurabile.
Io posso decidere di "boservizzare" (termine che se andiamo avanti di questo passo,troveremo presto sul dizionario)un mio amico,che si presta,fidandosi,ed essendo stato avvertito da me' prima,a farmi sperimentare le innumerevoli potenzialita' del bo.
Ma come faccio ad entrare solo io,e se qualcuno,in uno scanning selvaggio sulla rete becca l'ip del mio amico,gli entra dentro e li formatta il C: di botto?
Io posso (tutti possiamo)configurare il server di bo,immettendo una password di accesso e cambiando la porta su cui mettere in ascolto il server.
Molti fruitori del bo....sono dei lamers,questo e' indubbio,e non pensano minimamente ad una
possibile configurazione del server,si evince che non difficile trovare migliaia di server belli in mostra e senza nessun tipo di "barriera"
Spero che non ce ne sia bisogno,ma ve lo dico lo stesso,il boserve si mette in ascolto (per default) sulla porta 31337.
Mmmmmmmhhhh.....piu' vado avanti con questo articolo,piu' non vedo la fine.
Capisco solo che mi sono messo in un brutto ginepraio,abbiate pieta' di me'...non cominciate a bombardardarmi di mail...su "questo non l'ho capito".....per pieta'.....
I TROJANS
---------
I trojans,o cavalli di troia,(per dirlo alla nostra maniera)sono spesso confusi con le backdoors di cui parlavamo sopra.
Chiamo impropriamente backdoors il BO ed il Netbus,ma oramai tutti le chiamano cosi'....
Ma se ragionando,ci ricolleghiamo alla storia,il cavallo,Ulisse,Troia.....un trojans altro non e' che il programma che permette ad un server di intrufolarsi nel vostro pc.
Se io vi mando il file....Winamp.exe (nome a caso hihihihihihi) a cui ho inoculato, tramite un'utility che permette di fondere due eseguibili in uno,mantenendo inalterate le caratteristiche di entrambe(fate riferimento a skillRope,nell'articolo di Buttha su questo numero..per farvi un'idea),a questo punto il cavallo di troia sara' il Winamp.
So' che questo portera' ad inevitabili scontri con varie scuola di pensiero,ma queste sono mie considerazioni,non e' la "verita'" fatta parola.
Il NETBUS
---------
Per finire ,mi sono stancato,ed e' tardi,e vi assicuro che scrivere queste cose fritte e rifritte non e' nemmeno tanto divertente,ma sono un buono,che ci volete fare,vi parlero' un pochino di un'altra "backdoor" molto in voga tra i piu'.
Il netbus.
Fratello minore del BO,nasce (subito dopo il BO) come gestore di sistemi remoti,molto piu' di facile utilizzo,ma anche molto meno potente del fratellino maggiore.
Se il vostro lettore cd,si apre d'incanto,se vi appare una bella finestrella sullo schermo con un messaggetto deficente,questo e' Netbus.
Stessa storia di BO, SERVER E CLIENT,se non lo eseguite non vi infetta,se siete infettati basta uno scan..e chiunque vi trova,stesse indicazioni,password e porta.ma facilmente aggirabili.
Diciamo che adesso,che siamo arrivati alla versione 2.0 (anche se sempre in beta release)
il prodotto ha raggiunto un buon standard,addirittura,molti lo preferiscono al BO,per la sua gradevole GUI (interfaccia grafica),per la possibilita' di usarlo nascondendosi dietro ad un proxy sock 4/5,per la possibilita' di settare una porta a piacere (prima non si poteva fare,le porte su cui ascoltava erano standard),insomma e' diventato un prodotto di pari livello del BO...e non soffre piu'di quella nomea di "giochetto"che si era guadagnato con le prime versioni.
Adesso la faccio finita veramente.
Questa tediosa storia vuole essere un 'infarinatura per farvi conoscere,almeno superficialmente,
la storia delle fantomatiche intrusioni da parte di terzi nel vostro pc.
Che poi il Bo agisca su porte UDP,ma anche sulle porte TCP ,per il trasferimento files,unito al NetCat,come vi spieghero' in seguito.per ora non ha molta importanza.
Delle innumerevoli potenzialita' dei programmi in questione,ve ne parlero' poi,forse,ma lasciatevi dire che se pensate che qualcuno che sa' cosa ha tra le mani (BO,o simili)
voglia fare una cosa sul vostro pc.....lo puo' fare...lasciate correre la fantasia,ecco...quello che avete pensato,qualunque cosa,si puo' fare,e senz'altro non avete pensato a tutto.
Per come difendervi,vedere se avete un server sul vostro pc,toglierlo manualmente,usare programmi che vi cercano i server delle varie backdoors in memoria,divertirvi a vedere cosa fa' un lamer che tenta di entrare nel vostro pc,vi prometto che appena mi riprendero' da questo articolo fiume....ve ne raccontero' delle belle.
Con questo e' tutto..per ora
Stay tuned
Notte
ChRoMe
_#_
NetRunners numero DuE by SpiPPoLaToRi
FiNe
****
