Недавно опубликованная новость про уязвимость Radmin, через которую якобы можно инсталлировать на удаленный компьютер программное обеспечение для DOS атак не совсем соответствует истине.
Администратор одной из сеток, с которых осуществлялась DOS атака, несколько дней назад связался с нами, попросив разобраться в вопросе. Исходя из предоставленных им данных и данных лаборатории Касперского мы пришли к следующему заключению:
Взломанные сети содержали ошибки в настройке системы безопасности, как то:
<ul>
- пустой пароль администратора
- расшаренные диски C
<lo>возможно - запущенный RAdmin без пароля или с известным паролем.
</ul>
И были взломаны вполне классическими методами. А уже после взлома злоумышленник установил на всех этих машинах Radmin, дабы обеспечить себе backdoor доступ. Так что наличие Radmin на всех взломанных машинах - это уже следствие, а не причина.
Следует учесть, что любое программное обспечение, предоставляющее удаленный доступ к машине - начиная от администраторского пароля в самой Windows, расшаривания ресурсов и заканчивая программами удаленного администрирования может быть использовано в противозаконных целях. Поэтому, подключая компьютер к интернет и настраивая локальные сети - проверяйте безопасность.
На данный момент в RAdmin реализована одна из самых надежных систем защиты, и при указании сложного пароля взломать Radmin сервер невозможно. Но, открывая свои маштины всем желающим - как с помощью Radmin, так и с помощью средств самой операционной системы - пользователи сами приглашают злоумышленников воспользоваться их машиными для дос атаки.
Мораль: уходя, не забывайте выключить газ и закрыть дверь квартиры. Установив сервер, не забудьте установить пароль администратора и Radmin'а, убрать все шары, установить последний антивирус.
С уважением, Григорий Петров, служба технической поддержки Famatech LLC.URL: http://www.famatech.com
Новость: http://www.opennet.ru/opennews/art.shtml?num=3429
Не могу подтвердить сообщение "службы технической поддержки" Famatech. Предоставленные мною данные достаточно чётко указывали на невозможность проведения атаки в общем случае через учётные записи с пустым паролем или через расшаренные диски. Это подтверждается и сообщениями нескольких пользователей взломанных компьютеров.Аналитик "Лаборатории Касперского" дал неопределённый ответ, основываясь на неполной информации, которая была предоставлена ему поддержкой Famatech.
Как можно видеть, служба технической поддержки усиленно пытается "замазать" проблему, не решая её.
>Как можно видеть, служба технической поддержки
>усиленно пытается "замазать" проблему, не решая еёВо-вторых, мы обсждали этот вопрос с ещё одним сотрудником вашей компании и с его слов известно, что от гипотезы о бреши в системе безопастности Радмина Питерхост уже отказался, т.к. получены более точные сведения об атаках.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
отмазки. патчик выпускайте или защиту от "дурака" и дефолтных паролей.
Конечно баг в radmine. Если при установке пароля штатными средствами прога не дает ввести пароль меньше 8-ми символов и в результате считывает с реестра любой в том числе и пустой, то что это?
>патчик выпускайтеПокажите конкретно - ЧТО патчить? Пока этого никто сделать не смог.
>или защиту от "дурака" и дефолтных паролей
В Радмине НЕТ дефолтных паролей - при установке программы у пользователя спрашивают, какой пароль установить.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Я бы интереснее сказала. Насколько я поняла - radmin стал просто манной небесной для этого вида атаки? Правим в консерватории?
Году так в 2000-ом была одна хорошая программа удалённого администрирования. Маленькая, с видеозахватом, с алертами, с системой плагинов, OpenSource, почти безглючная, имела виндовый и UNIX'овый клиентский интерфейс. Замечательная программа была. Только тот же DrWeb на неё ругался из-за некоторых её особенностей, в частности из-за easy install и гибкости настроек, ругался "Trojan.BackOrifice...."Возможно, несчастный Remote Administrator в данной ситуации ни при чём. Как уже говорилось - это пока гипотеза. Но при таком планомерном подходе службы технической поддержки Famatech в ответ на достаточно серьёзные подозрения, очень хочется, чтобы и DrWeb, и AVK, и NAV, etc. говорили "Infected with Trojan.Radmin" при нахождении этой программы на компьютере.
>Но при таком планомерном подходе службы технической поддержки Famatech
>в ответ на достаточно серьёзные подозрения, очень хочется, чтобы и
>DrWeb, и AVK, и NAV, etc. говорили "Infected with Trojan.Radmin"
>при нахождении этой программы на компьютереУточните, что вам не нравится в подходе службы технической поддержки Famatech?
С лабораториями Касперского и Данилова у нас хорошие деловые отношения. Они нашу программу знают, знают и то, сколько у неё легальных пользователей (см. хотя бы http://www.famatech.com/about/corporate/clients.php и http://www.famatech.com/ru/about/clients.php), которым эта функция будет мешать. В базах Dr. Web и KAV Радмин отсутствует. Зато они отлично обнаруживают и обезвреживают троянцев на основе Радмина - т.е. троянцев, вся функциональность которых заключается в том, чтобы не имея прав забросить на удалённый компьютер Radmin Server и запустить его.
А вот NAV действительно детектит Radmin, как Вам и желается. Почему? А прочитайте вот этот топик в нас в форуме: http://www.famatech.com/support/forum/read.php?FID=19&TID=5949
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Справедливости говоря, нужно сказать, что, сам по себе, Radmin там не при чём. Чтобы убрать его пароль, нужно удалённо подключиться и отредактировать реестр (затереть пароль Radmin). А можно, это сделать лишь (при настройке ОС по умолчанию) зная пароль администратора локальной ОС.Другое дело, что пароль для локального админа может быть пустой или легко подбираемый.
Подробнее см. http://www.opennet.ru/opennews/art.shtml?num=3429
Вопрос стоит несколько по другому. Систему, со стоящим на ней Radmin проще найти (сканированием порта этого сервиса) и взломать, т. к. нужно, всего лишь, затереть один ключ и мы имеем полный доступ к машине. В случае, если Radmin нет - нужно будет подключать расшаренный диск, кидать туда троян (исполняющий функции Radmin), прописывать его загрузку в реестр и ждать перезагрузки машины...
Реальность выглядит несколько иначе. Данной атаке наравне подвержены и W98, и W2000, и WXP Home Edition. Более того, у многих машин были зафильтрованы порты NetBT/SMB, но порт RA открыт.
>Справедливости говоря, нужно сказать, что, сам по себе, Radmin
>там не при чём. Чтобы убрать его пароль, нужно удалённо подключиться
>и отредактировать реестр (затереть пароль Radmin). А можно,
>это сделать лишь (при настройке ОС по умолчанию) зная пароль
>администратора локальной ОС.Совершенно верно. Хэш пароля для удалённого доступа к Radmin Server хранится в ключе реестра [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter]. Чтобы сделать пароль пустым, достаточно удалить этот ключ. Но что это за система, в которой кто угодно может удалённо отредактировать реестр, не имея на машине никаких прав? Для взлома такой системы не понадобится никакой Радмин с пустым паролем.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
> Но что это за система, в которой кто угодно может удалённо отредактировать реестр, не имея на машине никаких прав? Для взлома такой системы не понадобится никакой Радмин с пустым паролем.То есть!?
Это же Microsoft Windows!
Кормильца нужно узнавать в лицо.
> С уважением,
> Илья Деменков, служба технической поддержки Famatech
Отмазывайтесь тщательнЕе, учите мат.часть.
Эта реальность ни о чём не говорит. Машины могли, как ломать через IPC$, так и через похищение пароля из реестра почтовым трояном.Очень подозрительно то, что, до сих пор, в инете не опубликован способ взлома этого "дырявого" Radmin, через который машины, якобы, ломают...
Лично я Radmin не переношу из-за жуткой загрузки процессора серверной машины - куда ему до стандартного МС ТС или цитрикса. Дело тут принципа - куда легче обвинить некое ПО, чем признать собственную глупость, скажем, при запуске приаттаченного трояна или задания админовского пароля qwerty...
>Очень подозрительно то, что, до сих пор, в инете
>не опубликован способ взлома этого "дырявого"
>Radmin, через который машины, якобы, ломают...Вы прозорливы - именно так и обстоит дело.
Что на bugtraq, куда "Обратившийся администратор" первым делом, ещё 16-ого числа, запостил кляузу на Радмин, что здесь, что на нашем собственном форуме до сих пор есть лишь утверждения навроде "есть основания предполагать, что в системе защиты программы Radmin имеется брешь, которой легко воспользоваться для взлома удалённой системы", и ни одного описания конкретной методики испольщования этой якобы бреши. Словом, пока что одна болтология и ни одного прямого доказательства бага - только косвенные.
>Лично я Radmin не переношу из-за жуткой загрузки
>процессора серверной машины - куда ему до
>стандартного МС ТС или цитриксаА вот тут Вы в корне неправы. Вы путаете программы удалённого администрирования и терминальные сервера. Это совершенно разные классы программ! У них разные принципы, функциональность, области применения, подходы к реализации, методы работы, - и цена. Если терминальная служба использует только вычислительные ресурсы сервера, то программа удалённого администрирования - ещё и видео-ресурсы.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
>Я бы интереснее сказала. Насколько я
>поняла - radmin стал просто манной
>небесной для этого вида атаки?Ну что Вы. Радмин - это всего лишь утилита удалённого администрирования. А манной небесной является беспарольный sharing диска C: или пустой пароль у пользователя Administrator. Что, как выясняется, было сделано как минимум на части взломанных машин.
>Правим в консерватории?
Не могли бы в пояснить этот пункт?
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@radmin.com).
Многоуважаемый, укажите, пожалуйста, Ваши методы оценки "минимума" и "максимума". Пока что мы видим удобность его использования.Чем ваша программа лучше BackOrifice в таком случае? Знаете чем считается BO? Да-да - вредоносной программой.
>Многоуважаемый, укажите, пожалуйста, Ваши методы оценки
>"минимума" и "максимума"."Обратившийся администратор" сообщил нам, что ему удалось связаться с хозяевами 3-х взломанных машин. На одной из них Радмин до взлома не был установлен - его установил уже сам хакер.
>Пока что мы видим удобность его использования.
Действительно, Радмин удобен для задач удалённого администрирования. Программа компактна (серверная часть - всего 2 файла в 324 Кб), быстра, легка в настройке и использовании. То, что хакеры ценят эти качества не меньше админов - не наша вина.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
>Что, как выясняется, было сделано как минимум на части взломанных машин.раз уж сказали "A", то говорите и "Б" , а именно, что было сделано на другой части взломанных машин?
а то скапливаются логи с радмина, явно указывающие на попытки подбора пароля по словарю, и становится интересно к чему бы это?
Это к тому, что надо глову на плечах иметь.
Имеющий голову не ставит РАдмин в инет.
А ставит его ЗА файрволом.
Между прочим, никто не мешает работать с РАдмином через файрвол.
Короче - курите маны и правила настройки безопасности.
>Между прочим, никто не мешает работать с РАдмином через файрвол.
а кто мешает создателям радмина поумолчанию генерить пароль и не из 8, а из 16-20 символов?
кто мешаем им исправить неоптимальный алгоритм детектирования и отсечки перебора ?
ну и т дPS всегда найдется один из 1000 пользователей без головы на плечах...
о проблемах с радмином его создатели были извещены уже давно!
К сожалению, на 1000 пользователей без головы найдется 900+.
Создатели Радмина не должны выполнять функции нянек для плохо понимающих принципы защиты компютеров пользователей. Нужен пароль 20 символов - создай себе, а не обвиняй создателей программы в том, что они не заставили тебя это сделать, используй Радмин через VPN и т.д. Машина, оставленная открытой в Интернет, БУДЕТ взломана - это вопрос только времени. И откуда известно о неоптимальности алгоритма противодействия подбору пароля? Изготовитель как раз заявляет о его эффективности.
Взлом Радмина на данный момент не доказан.
>К сожалению, на 1000 пользователей без головы найдется 900+.
>так на кого прожка то рассчитана на 100- или 900+ ?
>Создатели Радмина не должны выполнять функции нянек для плохо понимающих >бла бла бла...
я пользуюсь бесплатной прожкой VNC (University of Cambridge ), в ней на сколько я помню пароля пустого нет>И откуда известно о неоптимальности алгоритма противодействия подбору >пароля? Изготовитель как раз заявляет о его эффективности.
а логи радмина с 2000! попытками подбора пароля заявляют прямо противоположенное!>Взлом Радмина на данный момент не доказан.
любая подвиндовая прога БУДЕТ взломана - это вопрос только времени,
от себя добавлю: и желания, теперь оно (желание) появилось у многих...
>а кто мешает создателям радмина поумолчанию генерить пароль
>и не из 8, а из 16-20 символов?>кто мешаем им исправить неоптимальный алгоритм
>детектирования и отсечки перебораа) Чем алгоритм детектирования неоптимален?
б) Защита от перебора в виде задержки перед приёмом следующего пароля при вводе неверного уже давно написана. Она входит в состав готовящегося сейчас к релизу Radmin Server 3.0. То, что не сделали этого раньше - согласен, недоглядели. Но прямой дырой в безопастности это считать нельзя. Да и пользователям надо голову на плечах иметь и не ставить в качестве пароля словарные слова.
К тому же, длина пароля Радмина - от 8 до 100 символом. Пароль меньше 8 символов установить невозможно. Не уверен, что пароль из 8 символов можно подобрать по словарю за сутки (через Интернет, т.е. надо учитывать ещё и двойное время PING`а). Так что, скорее всего, на тех взломанных компьютерах, где был провёрнут такой трюк, пароль Радмина был совсем простым - что-то из серии "12345678", "Qwertyui", "zzzzzzzz" или "password".
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
> Пароль меньше 8 символов установить невозможно.r_server /pass:123 /save /silent
Ещё что расскажете?
>>Пароль меньше 8 символов установить невозможно.
>r_server /pass:123 /save /silent>Ещё что расскажете?
Во-первых, не "r_server /pass:123 /save /silent", а "r_server /pass:123 /silence". Ключа silent у r_server.exe нет. Поэтому при выполнении комманды "r_server /pass:123 /save /silent" Radmin Server ничего не сохранит.
Во-вторых, речь шла об установке пароля из GUI Radmin Server.
А если админ внимательно прочитал документацию и разобрался с ключами коммандной строки, то не нужно мешать ему делать то, что он хочет сделать. С коммандной строкой работают не юзеры-новички, которым нужна нянька, а опытные люди, понимающие суть своих действий.
У Радмина есть немало настроек, которые вообще не вынесены в GUI, а доступны только правкой реестра или из коммандной строки. Это сделано намеренно, дабы доступ к ним имел только внимательно прочитавший руководство админ, а неопытный пользователь не мог бы по незнанию поменять чего не следует.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
>Во-вторых, речь шла об установке пароля из GUI Radmin Server.Нет. Речь шла о самой возможности.
>А если админ внимательно прочитал документацию и разобрался с ключами коммандной строки,
Это Фил отлично сделал, что на Юниксовый форум запостил :) Тут Вы за нос народ не поводите. Если бы да кабы, да был бы BackOrifice Вам конкурентом.
>то не нужно мешать ему делать то, что он хочет сделать.
>С коммандной строкой работают не юзеры-новички, которым нужна нянька, а опытные
>люди, понимающие суть своих действий.Т.е. по Вашей логике выходит, что программа написана для "idots", но как мы тут уже отмечали от этого идиота не защищена. Забавно, правда?
>У Радмина есть немало настроек, которые вообще не вынесены в GUI, а
>доступны только правкой реестра или из коммандной строки. Это сделано намеренно,
>дабы доступ к ним имел только внимательно прочитавший руководство админ, а
>неопытный пользователь не мог бы по незнанию поменять чего не следует.Уууу... Shadow Engeene... Да Вам место в вирусной базе...
>>У Радмина есть немало настроек, которые вообще не вынесены в GUI,
>>а доступны только правкой реестра или из коммандной строки.
>>Это сделано намеренно, дабы доступ к ним имел только внимательно
>>прочитавший руководство админ, а неопытный пользователь не мог
>>бы по незнанию поменять чего не следует.>Уууу... Shadow Engeene... Да Вам место в вирусной базе...
Не стоит горячиться. Все настройки, доступные только правкой реестра или из коммандной строки, описаны в документации программы!
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
>раз уж сказали "A", то говорите и "Б" , а именно,
>что было сделано на другой части взломанных машин?На днях выпустим несколько пресс-релизов на эту тему.
>а то скапливаются логи с радмина, явно указывающие на попытки
>подбора пароля по словарю, и становится интересно к чему бы это?К попытке подбора пароля по словарю.
Если админ оказался настолько умён, что установив себе Radmin Server, задал ему пароль "12345678", "MyPassword", "RadminSecretKey" или вообще пустой, то ему помогут только курсы повышения квалификации.
Давно известно, что установка словарного пароля - прямой путь сделать свою систему уязвимой.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
> очень хочется, чтобы и DrWeb, и AVK, и NAV,
> etc. говорили "Infected with Trojan.Radmin" при
> нахождении этой программы на компьютере.AVP - будет. достаточно подключть доп.базу
(на ftp у них где-то) и ага.
>Предоставленные мною данные достаточно чётко указывали на невозможность
>проведения атаки в общем случае через учётные записи с пустым паролем
>или через расшаренные диски.Если Вы имеете в виду, что провести атаку через учётные записи с пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться с основами сетевой безопастности.
>>Предоставленные мною данные достаточно чётко указывали на невозможность
>>проведения атаки в общем случае через учётные записи с пустым паролем
>>или через расшаренные диски.
>Если Вы имеете в виду, что провести атаку через учётные записи с
>пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться
>с основами сетевой безопастности.В конце концов, я тоже могу начать грубить и советовать Вам ознакомиться с букварём, чтобы в дальнейшем внимательно читать мои письма. Компьютеров с пустыми паролями и беспарольными расшаренными дисками среди взломанных в этот раз -- порядка 3%.
Очень хорошо, что вы решили, наконец, заняться "связями с общественностью".
>Аналитик "Лаборатории Касперского" дал неопределённый ответ,
>основываясь на неполной информации, которая была предоставлена
>ему поддержкой Famatech.Не могу с Вами согласиться. ЛК была предоставлена вся имевшаяся на тот момент информация. Как Вы могли видеть, вся предыдущая переписка с Вами была напрямую отфорваржена в ЛК. Ответ был вполне определённым: прежде, чем вредоносные программы (одна из которых меняет пароль Radmin Server и отключает защиту нашей программы, изменяя записи в реестре, а остальные начинают DDoS-атаку) эти программы должны были как-то попасть на взломанный компьютер и ничто не указывает на то, что попадали они туда через Радмин.
Что же, получите цитату вашего письма. Переслали ли вы аналитику Касперского листинги файловых систем со взломанных машин? Или аналитик умудрился не заметить, что эти машины вовсе не заражены упомянутым вирусом?=== цитата
From: Famatech Support
==============
Предлагаю Вам ознакомиться с ответом Лаборатории Касперского (ниже). Вывод:
диск взломанной машины не был защищён, благодаря чему злоумышленник
скопировал (не через Радмин) на него исполняемый файл, который сменил
настройки Радмина и открыл к нему доступ. А также начал DDoS-атаку -
запустив уже другие файлы.
Как KAV, так и Dr. Web детектят rich.exe и tzpy.exe как троянцев.
======================================================
* From: <newvirus@kaspersky.com>?=
* Date: 19 Feb 2004 02:32:48 +0300
* To: <support@famatech.com>
* Subj: RE: Fwd: remote hole in radmin [KLAB-142633]
======================================================
Здравствуйте,
rich.exe && tzpy.exe - маленькие эксплоиты, осуществляющие аттаку на
www.wasm.ru и www.peterhost.ru, соответственно.
С fich.exe ситуация более интересная. Создает в реестре ключ со
значениями:
[HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:62,87,9e,a8,94,d9,76,ac,07,c5,44,e2,a1,ad,de,2b
"EnableLogFile"=hex:00,00,00,00
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
Не зная подробностей работы RAdmin, можно предположить, что данная
настройка расшаривает имеющийся RA server, превращая его в бэкдор. Но
ведь сам по себе файл fich.exe должен был как-то попасть на машину еще до
вредной модификации реестра. Каким именно образом это произошло - по
присланным файлам сказать невозможно. Возможно, для загрузки троянов
использовались зараженные I-Worm.Mydoom.a машины (есть эксплоит,
позволяющий загрузить И выполнить на зараженной машине небольшой файл.
Ситуация очень похожая).
pS/ будут детектиться: DDoS.Win32.Dword, Trojan.Win32.Rashar
--
С уважением, Шевченко Алиса
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Тел.:: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com http://www.viruslist.comFrom: Famatech Support
>> Attachment: exe.rar
Уважаемые господа!
В аттаче (exe.rar) запакованы при файла, которые пользователь прислал
(см.
цитату ниже) с комментариями, что это троянцы, копируемые на
взломанные
компьютеры посредством выпускаемой нашей компанией программы
удалённого
администрирования (www.radmin.com). Передаю на ваш анализ файлы,
заподозренные в их троянской сущности.
Прошу заметить, что в различных онлайновых форумах действительно уже
появились жалобы от пользователей на появление файлов "tzpy.exe",
"tzpf.exe", "ric1.exe", "rich.exe".===конец цитаты
>Переслали ли вы аналитику Касперского листинги
>файловых систем со взломанных машин?Это было невозхможно по той простой причине, что ответ из Kaspersky Lab пришёл ещё до того, как Вы прислали листинги файловых систем со взломанных машин. Если Вы считаете это необходимым - перешлите им листинги. Разумеется, ответ Kaspersky Lab будет интересен и нам. Хотя должен заметить, что в листингах был учтён только один раздел HDD, а на взломанных машинах их вполне могло быть и больше. Откуда известно, что MyDoom.A не жил на диске D?
MyDoom.A живёт в файле %System%\TASKMON.EXE. Практически все современные вирусы тоже предпичитают системные каталоги.
>Как можно видеть, служба технической поддержки
>усиленно пытается "замазать" проблему, не решая
Опять же, не могу с Вами согласиться. Во-первых, никто и нигде так и не описал конкретную методику взлома Радмина. Всё сводится к "есть основания предполагать, что в системе защиты программы Radmin имеется брешь, которой легко воспользоваться для взлома удалённой системы" - и никакой конкретики. Вы покажите пальцем на ту якобы багу, которую нам надо фиксить - будет что обсуждать.
Это тоже ничего не доказывает, но стали появляться в логах попытки TCP коннекта на 4899 порт. К чему бы это? (ОС не Windows-based)
>Это тоже ничего не доказывает, но стали появляться в
>логах попытки TCP коннекта на 4899 порт.На самом деле по другим портам пытаются вломиться не реже. Установив firewall, настроив его, а затем подождав недельку-другую и заглянув в его логи, Вы, скорее всего, увидите сотни попыток незаконно проникнуть в вашу систему.
>К чему бы это? (ОС не Windows-based)
К тому, что горе-взломщики не в курсе, что r_server.exe - исключительно Win-приложение? Мне такое предположение кажется вполне естественным.
Мне не известен какой-либо другой софт, работающий по этому порту. А если и работает - это уже не к нам... Вообще-то этот порт "зарегистрирован" на автора Радмина.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
>На самом деле по другим портам пытаются вломиться не реже. Установив firewall, настроив его, а затем подождав недельку-другую и заглянув в его логи, Вы, скорее всего, увидите сотни попыток незаконно проникнуть в вашу систему.Установлен и настроен. Я к тому, что после Msblast'а усиленно стал появляться 135, после Mydoom - 3127. Щас стал проскакивать 4899. Я в курсе, что порт зарегистрирован на RAdmin. Просто раз идет скан, значит это кому-то нужно? А у кого-нибудь еще есть в логах 4899 порт?
> Вы покажите пальцем на ту якобы багу, которую нам надо фиксить - будет что обсуждать.есть возможность получить доступ к машине с радмином в момент выполнения команды "завершение работы"...
>есть возможность получить доступ к машине с радмином в
>момент выполнения команды "завершение работы"...Пожалуйста, сообщите подробности на адрес radmin@radmin.com. Если подтвердится - будем фиксить.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Radmin очень удобная программа как для админов, так и для взломщиков систем. С этим спорить трудно - функции работы тех и других категорий людей очень схожи. Но убедительных доказательств наличия дыры именно в модулях Radmin'a я не вижу. Использую его уже очень давно, практически с первых версий и при прямых руках проблем с ним нет. За что огромное спасибо разработчикам.С ув. Владимир.
Ну у меня подбирали пароль к RAdmin, за сутки ~2000 попыток - проба каждые ~5 сек - и не подобрали.
Вообще конечно странно, что настолько потенциально опасная программа не имеет защиты от перебора пароля, которую имеет скажем не самый навороченный FTP сервер (с задержкои и баном долбящегося IP)
>Ну у меня подбирали пароль к RAdmin, за сутки ~2000 попыток -
>проба каждые ~5 сек - и не подобрали.
>Вообще конечно странно, что настолько потенциально опасная программа не имеет защиты от
>перебора пароля, которую имеет скажем не самый навороченный FTP сервер (с
>задержкои и баном долбящегося IP)
слуш а с помошью какой проги подбирали, ты знаешь???
Не слукшайте ни кого, они все ничего не понимают.
RAdmin самая защищення программаю Аргусенты : люди работающие в фирмах Касперского и Данилова уже 4 дня не могут понять принцеп его работы ПОЗОР !!!! ЭТИ ОБМАНЩИКИ ПЫТАЮТСЯ ЗАЩИЩАТЬ ВАС ОТ .......??????????????????
.....зато ты смог разобраться. ;-) ай маладца arturik!!! %-)
Разобраться? Вряд ли. Деассемблирование (а это дело вообще-то подсудное), а потом - copy&paste. И модификации GUI.Это, конечно, только предположение и вообще IMHO. Но на данный момент подозреваем именно такую методику создания RNimda.
Конечно, код у нас защищён, а протокол - с шифрованием, но вполне можно было найти старые версии Радмина, в которых шифрование было отключаемым, а защита кода - в начальной стадии, и работать с ними. Разумеется, мы старые версии Радмина не распространяем и рекомендуем пользоаться только последней...
зря Вы думаете, что ардурик что-то дизассемблировал. Скорее всего брал готовое и слепливал вместе...
>зря Вы думаете, что ардурик что-то дизассемблировал.
>Скорее всего брал готовое и слепливал вместе...Где же он взял исходники нашей программы?
так приводился же на Вашем форуме адрес какого-то готового клиента под радмин, писанного посторонним человеком... Наверняка и исходники его существуют в досягаемости...
>так приводился же на Вашем форуме адрес какого-то готового клиента
>под радмин, писанного посторонним человеком...Это как раз и была Remote Nimda!
> Это как раз и была Remote Nimda!Так кто ж спорит?
Я ж говорю, что не ардурик автор этого всего. Или есть другие данные?
У меня есть другие данные - ваша стратегия тухлая.
Давить на самолюбие у таких людей бесполезно.
Судя по стилю твоего письма вы с анестом под одеялом частенько в ... играете. Этот инструмент мне надоел - ждите следующего прихода :))))))
> Этот инструмент мне надоел - ждите следующего приходачто, деньги на пиво у дурика опять появились?
> ...под одеялом частенько...
Такая озабоченность явно выдает больного человека...
У меня есть предположение что работники Касперского и Данилова имеют отношение к созданию I-Worm.Mydoom. А Arturik им помогает.
Кстати насчет болезней. Видел по телику Е Касперского он вроде тоже больной - очень харктерная прическа у него. Все кто имеет дело с вирусами - больные ха-ха-ха.
Кто-то удалил мое вчерашнее сообщение. Между прочем, единственно что там было написано это то что у Касперского и Данилова работают слабаки. Так ведь это правда вроде бы уже неделя прошла, а воз и ныне там.
П О З О Р И Щ Е ! ! !
Ну хорошо... В конце концов за Гостём, Артуриком или как его там приедут... За wasm, reversing, Взор я бы ему сам я..ца на уши одел бы...Но почему он хочет дискредитировать именно RAdmin?
Это официальный вопрос к famatech. Только не говорите, что не знаете. Если инфа закрытая - так и скажите плз.
Чисто IMHO.
Да потому что очень распространенная у нас в постСССР программа, плюс ставят её многие без инсталятора, через r_server /setup - и дистрибутив иметь не надо - только 3 файла, сам честно говоря так делал не раз, только при таких раскладах пароль нужно менять тут-же т.к. он пустой. Плюс маленький он, да и ставится как я уже сказал на раз, если есть возможность получить доступ к машине иными способами проще всего внедрить туда именно RAdmin.
Позновательно и очень заманчиво !!!!
RAdmin cool forever:))
В хаке компов виноват администратор.
Может кто подскажет, как дешыфровать пароль RAdmina, в
HKEY_LOCAL_MACHINE\SYSTEM\ RAdmin\v2.0\Server\Parameters="Parameter"?
в принципе если на машине установлен радмин-сервер и авторизация только через пароль(не через NT security), то в режиме доступа к файлам он плевать хотел на ограничения доступа к файлам/папкам по аккаунту.
если кто не понял - поясню!
на машине юзер vasya создал себе папочку и сказал что All user ничего не могут с ней делать, а себе выставил Full control
если юзер petya заходит на машину под своим логином, он не может ничего сделать в васиной папке, а если он зайдет с помощью радмина-в-режиме-работа-с-файлами, то пожалуйста!!!ИМХО и вообще это ограничение в виндах было всегда слабым... например вы когда нибуть слышали про Win XPX Live CD ? )))))))