Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

OpenNews: К вопросу о DOS атаках через Radmin, opennews (?), 20-Фев-04, (0) [смотреть все] Не могу подтвердить сообщение службы технической поддержки Famatech Предостав, Связавшийся администратор (?), 15:33 , 20-Фев-04, (1) // Во-вторых, мы обсждали этот вопрос с ещё одним сотрудником вашей компании и с ег, Ilia Demenkov (?), 23:21 , 26-Фев-04, (20) отмазки патчик выпускайте или защиту от дурака и дефолтных паролей , Swap (?), 15:44 , 20-Фев-04, (2) Конечно баг в radmine Если при установке пароля штатными средствами прога не да, uncleua (?), 17:24 , 20-Фев-04, (3) // Покажите конкретно - ЧТО патчить Пока этого никто сделать не смог В Радмине НЕТ, Ilia Demenkov (?), 23:24 , 26-Фев-04, (21) Я бы интереснее сказала Насколько я поняла - radmin стал просто манной небесной, stricty (?), 19:30 , 20-Фев-04, (4) Году так в 2000-ом была одна хорошая программа удалённого администрирования Мал, schors (?), 11:32 , 21-Фев-04, (5) // Уточните, что вам не нравится в подходе службы технической поддержки Famatech С , Ilia Demenkov (?), 23:34 , 26-Фев-04, (22) Справедливости говоря, нужно сказать, что, сам по себе, Radmin там не при чём Ч, adsh (?), 16:40 , 21-Фев-04, (6) // Реальность выглядит несколько иначе Данной атаке наравне подвержены и W98, и W2, flicker (?), 17:10 , 21-Фев-04, (7) Совершенно верно Хэш пароля для удалённого доступа к Radmin Server хранится в к, Ilia Demenkov (?), 23:41 , 26-Фев-04, (23) // То есть Это же Microsoft Windows Кормильца нужно узнавать в лицо Отмазывайтесь , Andrey Mitrofanov (?), 11:39 , 18-Мрт-04, (67) Эта реальность ни о чём не говорит Машины могли, как ломать через IPC , так и ч, adsh (?), 19:11 , 21-Фев-04, (8) // Вы прозорливы - именно так и обстоит дело Что на bugtraq, куда Обратившийся адм, Ilia Demenkov (?), 23:47 , 26-Фев-04, (24) Ну что Вы Радмин - это всего лишь утилита удалённого администрирования А манно, Ilia Demenkov (?), 21:20 , 23-Фев-04, (9) // Многоуважаемый, укажите, пожалуйста, Ваши методы оценки минимума и максимума , stricty (?), 21:58 , 23-Фев-04, (10) // Обратившийся администратор сообщил нам, что ему удалось связаться с хозяевами , Ilia Demenkov (?), 23:52 , 26-Фев-04, (25) раз уж сказали A , то говорите и Б , а именно, что было сделано на другой ча, kz (?), 08:57 , 24-Фев-04, (11) // Это к тому, что надо глову на плечах иметь Имеющий голову не ставит РАдмин в ине, Михаил (?), 12:21 , 24-Фев-04, (12) // а кто мешает создателям радмина поумолчанию генерить пароль и не из 8, а из 16-, kz (?), 16:32 , 24-Фев-04, (13) К сожалению, на 1000 пользователей без головы найдется 900 Создатели Радмина не, Good Guy (?), 22:05 , 24-Фев-04, (14) я пользуюсь бесплатной прожкой VNC University of Cambridge , в ней на сколько , kz (?), 06:33 , 25-Фев-04, (15) а Чем алгоритм детектирования неоптимален б Защита от перебора в виде задержки, Ilia Demenkov (?), 00:07 , 27-Фев-04, (27) r_server pass 123 save silentЕщё что расскажете , flicker (?), 08:21 , 27-Фев-04, (28) Во-первых, не r_server pass 123 save silent , а r_server pass 123 silence, Ilia Demenkov (?), 16:31 , 27-Фев-04, (34) Нет Речь шла о самой возможности Это Фил отлично сделал, что на Юниксовый форум, stricty (?), 17:00 , 27-Фев-04, (35) Не стоит горячиться Все настройки, доступные только правкой реестра или из комм, Ilia Demenkov (?), 22:39 , 28-Фев-04, (45) На днях выпустим несколько пресс-релизов на эту тему К попытке подбора пароля по, Ilia Demenkov (?), 23:58 , 26-Фев-04, (26) AVP - будет достаточно подключть доп базу на ftp у них где-то и ага , Аноним (16), 09:28 , 25-Фев-04, (16) Если Вы имеете в виду, что провести атаку через учётные записи с пустым паролем , Ilia Demenkov (?), 23:08 , 26-Фев-04, (17) // В конце концов, я тоже могу начать грубить и советовать Вам ознакомиться с буква, flicker (?), 08:29 , 27-Фев-04, (29) Не могу с Вами согласиться ЛК была предоставлена вся имевшаяся на тот момент ин, Ilia Demenkov (?), 23:09 , 26-Фев-04, (18)   // Что же, получите цитату вашего письма Переслали ли вы аналитику Касперского лис, flicker (?), 08:38 , 27-Фев-04, (30)   // Это было невозхможно по той простой причине, что ответ из Kaspersky Lab пришёл е, Ilia Demenkov (?), 22:36 , 28-Фев-04, (44)   // MyDoom A живёт в файле System TASKMON EXE Практически все современные вирусы , flicker (?), 21:44 , 29-Фев-04, (49)   Опять же, не могу с Вами согласиться Во-первых, никто и нигде так и не описал к, Ilia Demenkov (?), 23:10 , 26-Фев-04, (19) // Это тоже ничего не доказывает, но стали появляться в логах попытки TCP коннекта , Rippy (?), 14:53 , 28-Фев-04, (40) // На самом деле по другим портам пытаются вломиться не реже Установив firewall, н, Ilia Demenkov (?), 22:23 , 28-Фев-04, (41) // Установлен и настроен Я к тому, что после Msblast а усиленно стал появляться 13, Rippy (?), 16:32 , 01-Мрт-04, (54) есть возможность получить доступ к машине с радмином в момент выполнения команды, Solo (?), 10:40 , 27-Фев-04, (31) // Пожалуйста, сообщите подробности на адрес radmin radmin com Если подтвердится -, Ilia Demenkov (?), 22:24 , 28-Фев-04, (42) Radmin очень удобная программа как для админов, так и для взломщиков систем С э, Defender (?), 11:34 , 27-Фев-04, (32) Ну у меня подбирали пароль к RAdmin, за сутки 2000 попыток - проба каждые 5 се, BD (?), 14:42 , 27-Фев-04, (33) // слуш а с помошью какой проги подбирали, ты знаешь , Strategist (?), 02:16 , 30-Дек-04, (70) Не слукшайте ни кого, они все ничего не понимают RAdmin самая защищення программ, Артур Бойко (?), 19:36 , 27-Фев-04, (36) // зато ты смог разобраться - ай маладца arturik - , helper (?), 05:18 , 28-Фев-04, (37) // Разобраться Вряд ли Деассемблирование а это дело вообще-то подсудное , а пото, Ilia Demenkov (?), 22:32 , 28-Фев-04, (43) // зря Вы думаете, что ардурик что-то дизассемблировал Скорее всего брал готовое и, Solo (?), 11:07 , 02-Мрт-04, (56) Где же он взял исходники нашей программы , Ilia Demenkov (?), 19:54 , 02-Мрт-04, (58) так приводился же на Вашем форуме адрес какого-то готового клиента под радмин, п, Solo (?), 23:35 , 02-Мрт-04, (59) Это как раз и была Remote Nimda , Ilia Demenkov (?), 14:03 , 03-Мрт-04, (60) Так кто ж спорит Я ж говорю, что не ардурик автор этого всего Или есть другие , Solo (?), 15:56 , 03-Мрт-04, (61) У меня есть другие данные - ваша стратегия тухлая Давить на самолюбие у таких лю, Arturik (?), 09:24 , 04-Мрт-04, (64) что, деньги на пиво у дурика опять появились Такая озабоченность явно выдает бол, Solo (?), 14:27 , 04-Мрт-04, (65) У меня есть предположение что работники Касперского и Данилова имеют отношение к, Артур Бойко (?), 17:43 , 03-Мрт-04, (62) Кстати насчет болезней Видел по телику Е Касперского он вроде тоже больной - оч, Артур Бойко (?), 17:55 , 04-Мрт-04, (66) Кто-то удалил мое вчерашнее сообщение Между прочем, единственно что там было на, Артур Бойко (?), 12:31 , 02-Мрт-04, (57) Ну хорошо В конце концов за Гостём, Артуриком или как его там приедут За w, Аноним (16), 10:53 , 29-Фев-04, (46) // Чисто IMHO Да потому что очень распространенная у нас в постСССР программа, плю, BD (?), 02:35 , 02-Мрт-04, (55) Позновательно и очень заманчиво , Аноним (16), 22:16 , 03-Мрт-04, (63) // RAdmin cool forever В хаке компов виноват администратор Может кто подскажет, к, Rostik (?), 22:44 , 21-Май-04, (68) в принципе если на машине установлен радмин-сервер и авторизация только через па, Аноним (-), 11:37 , 07-Фев-06, (71) 1,2,3,4,5,6,8,9,16,17,18,19,31,32,33,36,46,63,71

Сообщения

[Сортировка по времени | RSS]

18. "К вопросу о DOS атаках через Radmin"	+/–
Сообщение от Ilia Demenkov (?), 26-Фев-04, 23:09
>Аналитик "Лаборатории Касперского" дал неопределённый ответ, >основываясь на неполной информации, которая была предоставлена >ему поддержкой Famatech. Не могу с Вами согласиться. ЛК была предоставлена вся имевшаяся на тот момент информация. Как Вы могли видеть, вся предыдущая переписка с Вами была напрямую отфорваржена в ЛК. Ответ был вполне определённым: прежде, чем вредоносные программы (одна из которых меняет пароль Radmin Server и отключает защиту нашей программы, изменяя записи в реестре, а остальные начинают DDoS-атаку) эти программы должны были как-то попасть на взломанный компьютер и ничто не указывает на то, что попадали они туда через Радмин.
Ответить | Правка | Наверх | Cообщить модератору

	30. "К вопросу о DOS атаках через Radmin"	+/–
	Сообщение от flicker (?), 27-Фев-04, 08:38
	Что же, получите цитату вашего письма. Переслали ли вы аналитику Касперского листинги файловых систем со взломанных машин? Или аналитик умудрился не заметить, что эти машины вовсе не заражены упомянутым вирусом? === цитата From: Famatech Support ============== Предлагаю Вам ознакомиться с ответом Лаборатории Касперского (ниже). Вывод: диск взломанной машины не был защищён, благодаря чему злоумышленник скопировал (не через Радмин) на него исполняемый файл, который сменил настройки Радмина и открыл к нему доступ. А также начал DDoS-атаку - запустив уже другие файлы. Как KAV, так и Dr. Web детектят rich.exe и tzpy.exe как троянцев. ====================================================== * From: <newvirus@kaspersky.com>?= * Date: 19 Feb 2004 02:32:48 +0300 * To: <support@famatech.com> * Subj: RE: Fwd: remote hole in radmin [KLAB-142633] ====================================================== Здравствуйте, rich.exe && tzpy.exe - маленькие эксплоиты, осуществляющие аттаку на www.wasm.ru и www.peterhost.ru, соответственно. С fich.exe ситуация более интересная. Создает в реестре ключ со значениями: [HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters] "NTAuthEnabled"=hex:00,00,00,00 "Parameter"=hex:62,87,9e,a8,94,d9,76,ac,07,c5,44,e2,a1,ad,de,2b "EnableLogFile"=hex:00,00,00,00 "FilterIp"=hex:00,00,00,00 "DisableTrayIcon"=hex:01,00,00,00 "AskUser"=hex:00,00,00,00 "EnableEventLog"=hex:00,00,00,00 Не зная подробностей работы RAdmin, можно предположить, что данная настройка  расшаривает имеющийся RA server, превращая его в бэкдор. Но ведь сам по себе файл fich.exe должен был как-то попасть на машину еще до вредной модификации реестра. Каким именно образом это произошло - по присланным файлам сказать невозможно. Возможно, для загрузки троянов использовались зараженные I-Worm.Mydoom.a машины (есть эксплоит, позволяющий загрузить И выполнить на зараженной машине небольшой файл. Ситуация очень похожая). pS/ будут детектиться: DDoS.Win32.Dword, Trojan.Win32.Rashar -- С уважением, Шевченко Алиса Вирусный аналитик ЗАО "Лаборатория Касперского" Тел.:: +7 (095) 797-8700 E-mail: newvirus@kaspersky.com http://www.kaspersky.com   http://www.viruslist.com From: Famatech Support >>  Attachment: exe.rar Уважаемые господа! В аттаче (exe.rar) запакованы при файла, которые пользователь прислал (см. цитату ниже) с комментариями, что это троянцы, копируемые на взломанные компьютеры посредством выпускаемой нашей компанией программы удалённого администрирования (www.radmin.com). Передаю на ваш анализ файлы, заподозренные в их троянской сущности. Прошу заметить, что в различных онлайновых форумах действительно уже появились жалобы от пользователей на появление файлов "tzpy.exe", "tzpf.exe", "ric1.exe", "rich.exe". ===конец цитаты
	Ответить | Правка | Наверх | Cообщить модератору

	44. "К вопросу о DOS атаках через Radmin"	+/–
	Сообщение от Ilia Demenkov (?), 28-Фев-04, 22:36
	>Переслали ли вы аналитику Касперского листинги >файловых систем со взломанных машин? Это было невозхможно по той простой причине, что ответ из Kaspersky Lab пришёл ещё до того, как Вы прислали листинги файловых систем со взломанных машин. Если Вы считаете это необходимым - перешлите им листинги. Разумеется, ответ Kaspersky Lab будет интересен и нам. Хотя должен заметить, что в листингах был учтён только один раздел HDD, а на взломанных машинах их вполне могло быть и больше. Откуда известно, что MyDoom.A не жил на диске D?
	Ответить | Правка | Наверх | Cообщить модератору

	49. "К вопросу о DOS атаках через Radmin"	+/–
	Сообщение от flicker (?), 29-Фев-04, 21:44
	MyDoom.A живёт в файле %System%\TASKMON.EXE. Практически все современные вирусы тоже предпичитают системные каталоги.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема