The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

К вопросу о DOS атаках через Radmin

20.02.2004 14:27

Недавно опубликованная новость про уязвимость Radmin, через которую якобы можно инсталлировать на удаленный компьютер программное обеспечение для DOS атак не совсем соответствует истине.

Администратор одной из сеток, с которых осуществлялась DOS атака, несколько дней назад связался с нами, попросив разобраться в вопросе. Исходя из предоставленных им данных и данных лаборатории Касперского мы пришли к следующему заключению:

Взломанные сети содержали ошибки в настройке системы безопасности, как то:

  • пустой пароль администратора
  • расшаренные диски C возможно - запущенный RAdmin без пароля или с известным паролем.

И были взломаны вполне классическими методами. А уже после взлома злоумышленник установил на всех этих машинах Radmin, дабы обеспечить себе backdoor доступ. Так что наличие Radmin на всех взломанных машинах - это уже следствие, а не причина.

Следует учесть, что любое программное обспечение, предоставляющее удаленный доступ к машине - начиная от администраторского пароля в самой Windows, расшаривания ресурсов и заканчивая программами удаленного администрирования может быть использовано в противозаконных целях. Поэтому, подключая компьютер к интернет и настраивая локальные сети - проверяйте безопасность.

На данный момент в RAdmin реализована одна из самых надежных систем защиты, и при указании сложного пароля взломать Radmin сервер невозможно. Но, открывая свои маштины всем желающим - как с помощью Radmin, так и с помощью средств самой операционной системы - пользователи сами приглашают злоумышленников воспользоваться их машиными для дос атаки.

Мораль: уходя, не забывайте выключить газ и закрыть дверь квартиры. Установив сервер, не забудьте установить пароль администратора и Radmin'а, убрать все шары, установить последний антивирус.

С уважением, Григорий Петров, служба технической поддержки Famatech LLC.

  1. Главная ссылка к новости (http://www.famatech.com...)
  2. OpenNews: DDoS атака на peterhost и masterhost - это только начало.
Автор новости: Служба технической поддержки Famatech
Короткая ссылка: https://opennet.ru/3429-security
Ключевые слова: security, win
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Связавшийся администратор (?), 15:33, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не могу подтвердить сообщение "службы технической поддержки" Famatech. Предоставленные мною данные достаточно чётко указывали на невозможность проведения атаки в общем случае через учётные записи с пустым паролем или через расшаренные диски. Это подтверждается и сообщениями нескольких пользователей взломанных компьютеров.

    Аналитик "Лаборатории Касперского" дал неопределённый ответ, основываясь на неполной информации, которая была предоставлена ему поддержкой Famatech.

    Как можно видеть, служба технической поддержки усиленно пытается "замазать" проблему, не решая её.

     
     
  • 2.20, Ilia Demenkov (?), 23:21, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Как можно видеть, служба технической поддержки
    >усиленно пытается "замазать" проблему, не решая её

    Во-вторых, мы обсждали этот вопрос с ещё одним сотрудником вашей компании и с его слов известно, что от гипотезы о бреши в системе безопастности Радмина Питерхост уже отказался, т.к. получены более точные сведения об атаках.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     

  • 1.2, Swap (?), 15:44, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отмазки. патчик выпускайте или защиту от "дурака" и дефолтных паролей.
     
  • 1.3, uncleua (?), 17:24, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Конечно баг в radmine. Если при установке пароля штатными средствами прога не дает ввести пароль меньше 8-ми символов и в результате считывает с реестра любой в том числе и пустой, то что это?
     
     
  • 2.21, Ilia Demenkov (?), 23:24, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >патчик выпускайте

    Покажите конкретно - ЧТО патчить? Пока этого никто сделать не смог.

    >или защиту от "дурака" и дефолтных паролей

    В Радмине НЕТ дефолтных паролей - при установке программы у пользователя спрашивают, какой пароль установить.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     

  • 1.4, stricty (?), 19:30, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я бы интереснее сказала. Насколько я поняла - radmin стал просто манной небесной для этого вида атаки? Правим в консерватории?
     
  • 1.5, schors (?), 11:32, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Году так в 2000-ом была одна хорошая программа удалённого администрирования. Маленькая, с видеозахватом, с алертами, с системой плагинов, OpenSource, почти безглючная, имела виндовый и UNIX'овый клиентский интерфейс. Замечательная программа была. Только тот же DrWeb на неё ругался из-за некоторых её особенностей, в частности из-за easy install и гибкости настроек, ругался "Trojan.BackOrifice...."

    Возможно, несчастный Remote Administrator в данной ситуации ни при чём. Как уже говорилось - это пока гипотеза. Но при таком планомерном подходе службы технической поддержки Famatech в ответ на достаточно серьёзные подозрения, очень хочется, чтобы и DrWeb, и AVK, и NAV, etc. говорили "Infected with Trojan.Radmin" при нахождении этой программы  на компьютере.

     
     
  • 2.22, Ilia Demenkov (?), 23:34, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Но при таком планомерном подходе службы технической поддержки Famatech
    >в ответ на достаточно серьёзные подозрения, очень хочется, чтобы и
    >DrWeb, и AVK, и NAV, etc. говорили "Infected with Trojan.Radmin"
    >при нахождении этой программы  на компьютере

    Уточните, что вам не нравится в подходе службы технической поддержки Famatech?

    С лабораториями Касперского и Данилова у нас хорошие деловые отношения. Они нашу программу знают, знают и то, сколько у неё легальных пользователей (см. хотя бы http://www.famatech.com/about/corporate/clients.php и http://www.famatech.com/ru/about/clients.php), которым эта функция будет мешать. В базах Dr. Web и KAV Радмин отсутствует. Зато они отлично обнаруживают и обезвреживают троянцев на основе Радмина - т.е. троянцев, вся функциональность которых заключается в том, чтобы не имея прав забросить на удалённый компьютер Radmin Server и запустить его.

    А вот NAV действительно детектит Radmin, как Вам и желается. Почему? А прочитайте вот этот топик в нас в форуме: http://www.famatech.com/support/forum/read.php?FID=19&TID=5949

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     

  • 1.6, adsh (?), 16:40, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Справедливости говоря, нужно сказать, что, сам по себе, Radmin там не при чём. Чтобы убрать его пароль, нужно удалённо подключиться и отредактировать реестр (затереть пароль Radmin). А можно, это сделать лишь (при настройке ОС по умолчанию) зная пароль администратора локальной ОС.

    Другое дело, что пароль для локального админа может быть пустой или легко подбираемый.

    Подробнее см. https://www.opennet.ru/opennews/art.shtml?num=3429

    Вопрос стоит несколько по другому. Систему, со стоящим на ней Radmin проще найти (сканированием порта этого сервиса) и взломать, т. к. нужно, всего лишь, затереть один ключ и мы имеем полный доступ к машине. В случае, если Radmin нет - нужно будет подключать расшаренный диск, кидать туда троян (исполняющий функции Radmin), прописывать его загрузку в реестр и ждать перезагрузки машины...

     
     
  • 2.7, flicker (?), 17:10, 21/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Реальность выглядит несколько иначе. Данной атаке наравне подвержены и W98, и W2000, и WXP Home Edition. Более того, у многих машин были зафильтрованы порты NetBT/SMB, но порт RA открыт.
     
  • 2.23, Ilia Demenkov (?), 23:41, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Справедливости говоря, нужно сказать, что, сам по себе, Radmin
    >там не при чём. Чтобы убрать его пароль, нужно удалённо подключиться
    >и отредактировать реестр (затереть пароль Radmin). А можно,
    >это сделать лишь (при настройке ОС по умолчанию) зная пароль
    >администратора локальной ОС.

    Совершенно верно. Хэш пароля для удалённого доступа к Radmin Server хранится в ключе реестра [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter]. Чтобы сделать пароль пустым, достаточно удалить этот ключ. Но что это за система, в которой кто угодно может удалённо отредактировать реестр, не имея на машине никаких прав? Для взлома такой системы не понадобится никакой Радмин с пустым паролем.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     
     
  • 3.67, Andrey Mitrofanov (?), 11:39, 18/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    > Но что это за система, в которой кто угодно может удалённо отредактировать реестр, не имея на машине никаких прав? Для взлома такой системы не понадобится никакой Радмин с пустым паролем.

    То есть!?

    Это же Microsoft Windows!

    Кормильца нужно узнавать в лицо.

    > С уважением,

    > Илья Деменков, служба технической поддержки Famatech

    Отмазывайтесь тщательнЕе, учите мат.часть.

     

  • 1.8, adsh (?), 19:11, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эта реальность ни о чём не говорит. Машины могли, как ломать через IPC$, так и через похищение пароля из реестра почтовым трояном.

    Очень подозрительно то, что, до сих пор, в инете не опубликован способ взлома этого "дырявого" Radmin, через который машины, якобы, ломают...

    Лично я Radmin не переношу из-за жуткой загрузки процессора серверной машины - куда ему до стандартного МС ТС или цитрикса. Дело тут принципа - куда легче обвинить некое ПО, чем признать собственную глупость, скажем, при запуске приаттаченного трояна или задания админовского пароля qwerty...

     
     
  • 2.24, Ilia Demenkov (?), 23:47, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Очень подозрительно то, что, до сих пор, в инете
    >не опубликован способ взлома этого "дырявого"
    >Radmin, через который машины, якобы, ломают...

    Вы прозорливы - именно так и обстоит дело.

    Что на bugtraq, куда "Обратившийся администратор" первым делом, ещё 16-ого числа, запостил кляузу на Радмин, что здесь, что на нашем собственном форуме до сих пор есть лишь утверждения навроде "есть основания предполагать, что в системе защиты программы Radmin имеется брешь, которой легко воспользоваться для взлома удалённой системы", и ни одного описания конкретной методики испольщования этой якобы бреши. Словом, пока что одна болтология и ни одного прямого доказательства бага - только косвенные.

    >Лично я Radmin не переношу из-за жуткой загрузки
    >процессора серверной машины - куда ему до
    >стандартного МС ТС или цитрикса

    А вот тут Вы в корне неправы. Вы путаете программы удалённого администрирования и терминальные сервера. Это совершенно разные классы программ! У них разные принципы, функциональность, области применения, подходы к реализации, методы работы, - и цена. Если терминальная служба использует только вычислительные ресурсы сервера, то программа удалённого администрирования - ещё и видео-ресурсы.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     

  • 1.9, Ilia Demenkov (?), 21:20, 23/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Я бы интереснее сказала. Насколько я
    >поняла - radmin стал просто манной
    >небесной для этого вида атаки?

    Ну что Вы. Радмин - это всего лишь утилита удалённого администрирования. А манной небесной является беспарольный sharing диска C: или пустой пароль у пользователя Administrator. Что, как выясняется, было сделано как минимум на части взломанных машин.

    >Правим в консерватории?

    Не могли бы в пояснить этот пункт?

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@radmin.com).

     
     
  • 2.10, stricty (?), 21:58, 23/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Многоуважаемый, укажите, пожалуйста, Ваши методы оценки "минимума" и "максимума". Пока что мы видим удобность его использования.

    Чем ваша программа лучше BackOrifice в таком случае? Знаете чем считается BO? Да-да - вредоносной программой.

     
     
  • 3.25, Ilia Demenkov (?), 23:52, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Многоуважаемый, укажите, пожалуйста, Ваши методы оценки
    >"минимума" и "максимума".

    "Обратившийся администратор" сообщил нам, что ему удалось связаться с хозяевами 3-х взломанных машин. На одной из них Радмин до взлома не был установлен - его установил уже сам хакер.

    >Пока что мы видим удобность его использования.

    Действительно, Радмин удобен для задач удалённого администрирования. Программа компактна (серверная часть - всего 2 файла в 324 Кб), быстра, легка в настройке и использовании. То, что хакеры ценят эти качества не меньше админов - не наша вина.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     
  • 2.11, kz (?), 08:57, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Что, как выясняется, было сделано как минимум на части взломанных машин.

    раз уж  сказали "A", то говорите и "Б" , а именно, что было сделано на другой части взломанных машин?

    а то скапливаются логи с радмина, явно указывающие на попытки подбора пароля по словарю, и становится интересно к чему бы это?

     
     
  • 3.12, Михаил (?), 12:21, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Это к тому, что надо глову на плечах иметь.
    Имеющий голову не ставит РАдмин в инет.
    А ставит его ЗА файрволом.
    Между прочим, никто не мешает работать с РАдмином через файрвол.
    Короче - курите маны и правила настройки безопасности.
     
     
  • 4.13, kz (?), 16:32, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Между прочим, никто не мешает работать с РАдмином через файрвол.
    а кто мешает создателям радмина поумолчанию генерить  пароль и не из 8, а из 16-20 символов?
    кто мешаем им  исправить неоптимальный алгоритм детектирования и отсечки перебора ?
    ну и т д

    PS всегда найдется один из 1000 пользователей без головы на плечах...
    о проблемах с радмином его создатели были извещены уже давно!

     
     
  • 5.14, Good Guy (?), 22:05, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению, на 1000 пользователей без головы найдется 900+.
    Создатели Радмина не должны выполнять функции нянек для плохо понимающих принципы защиты компютеров пользователей. Нужен пароль 20 символов - создай себе, а не обвиняй создателей программы в том, что они не заставили тебя это сделать, используй Радмин через VPN и т.д. Машина, оставленная открытой в Интернет, БУДЕТ взломана - это вопрос только времени. И откуда известно о неоптимальности алгоритма противодействия подбору пароля? Изготовитель как раз заявляет о его эффективности.
    Взлом Радмина на данный момент не доказан.
     
     
  • 6.15, kz (?), 06:33, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >К сожалению, на 1000 пользователей без головы найдется 900+.
    >так на кого прожка то рассчитана на 100- или 900+ ?
    >Создатели Радмина не должны выполнять функции нянек для плохо понимающих >бла бла бла...
    я пользуюсь бесплатной прожкой VNC (University of Cambridge ), в ней на сколько я помню пароля пустого нет

    >И откуда известно о неоптимальности алгоритма противодействия подбору >пароля? Изготовитель как раз заявляет о его эффективности.
    а логи радмина с 2000! попытками подбора пароля заявляют прямо противоположенное!

    >Взлом Радмина на данный момент не доказан.
    любая подвиндовая прога  БУДЕТ взломана - это вопрос только времени,
    от себя добавлю: и желания, теперь оно (желание) появилось у многих...

     
  • 5.27, Ilia Demenkov (?), 00:07, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >а кто мешает создателям радмина поумолчанию генерить пароль
    >и не из 8, а из 16-20 символов?

    >кто мешаем им  исправить неоптимальный алгоритм
    >детектирования и отсечки перебора

    а) Чем алгоритм детектирования неоптимален?

    б) Защита от перебора в виде задержки перед приёмом следующего пароля при вводе неверного уже давно написана. Она входит в состав готовящегося сейчас к релизу Radmin Server 3.0. То, что не сделали этого раньше - согласен, недоглядели. Но прямой дырой в безопастности это считать нельзя. Да и пользователям надо голову на плечах иметь и не ставить в качестве пароля словарные слова.

    К тому же, длина пароля Радмина - от 8 до 100 символом. Пароль меньше 8 символов установить невозможно. Не уверен, что пароль из 8 символов можно подобрать по словарю за сутки (через Интернет, т.е. надо учитывать ещё и двойное время PING'а). Так что, скорее всего, на тех взломанных компьютерах, где был провёрнут такой трюк, пароль Радмина был совсем простым - что-то из серии "12345678", "Qwertyui", "zzzzzzzz" или "password".

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     
     
  • 6.28, flicker (?), 08:21, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    > Пароль меньше 8 символов установить невозможно.

    r_server /pass:123 /save /silent

    Ещё что расскажете?

     
     
  • 7.34, Ilia Demenkov (?), 16:31, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >>Пароль меньше 8 символов установить невозможно.
    >r_server /pass:123 /save /silent

    >Ещё что расскажете?

    Во-первых, не "r_server /pass:123 /save /silent", а "r_server /pass:123 /silence". Ключа silent у r_server.exe нет. Поэтому при выполнении комманды "r_server /pass:123 /save /silent" Radmin Server ничего не сохранит.

    Во-вторых, речь шла об установке пароля из GUI Radmin Server.

    А если админ внимательно прочитал документацию и разобрался с ключами коммандной строки, то не нужно мешать ему делать то, что он хочет сделать. С коммандной строкой работают не юзеры-новички, которым нужна нянька, а опытные люди, понимающие суть своих действий.

    У Радмина есть немало настроек, которые вообще не вынесены в GUI, а доступны только правкой реестра или из коммандной строки. Это сделано намеренно, дабы доступ к ним имел только внимательно прочитавший руководство админ, а неопытный пользователь не мог бы по незнанию поменять чего не следует.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     
     
  • 8.35, stricty (?), 17:00, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Речь шла о самой возможности Это Фил отлично сделал, что на Юниксовый фору... текст свёрнут, показать
     
     
  • 9.45, Ilia Demenkov (?), 22:39, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Не стоит горячиться Все настройки, доступные только правкой реестра или из комм... текст свёрнут, показать
     
  • 3.26, Ilia Demenkov (?), 23:58, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >раз уж  сказали "A", то говорите и "Б" , а именно,
    >что было сделано на другой части взломанных машин?

    На днях выпустим несколько пресс-релизов на эту тему.

    >а то скапливаются логи с радмина, явно указывающие на попытки
    >подбора пароля по словарю, и становится интересно к чему бы это?

    К попытке подбора пароля по словарю.

    Если админ оказался настолько умён, что установив себе Radmin Server, задал ему пароль "12345678", "MyPassword", "RadminSecretKey" или вообще пустой, то ему помогут только курсы повышения квалификации.

    Давно известно, что установка словарного пароля - прямой путь сделать свою систему уязвимой.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     

  • 1.16, Аноним (16), 09:28, 25/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > очень хочется, чтобы и DrWeb, и AVK, и NAV,
    > etc. говорили "Infected with Trojan.Radmin" при
    > нахождении этой программы  на компьютере.

    AVP - будет. достаточно подключть доп.базу
    (на ftp у них где-то) и ага.

     
  • 1.17, Ilia Demenkov (?), 23:08, 26/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Предоставленные мною данные достаточно чётко указывали на невозможность
    >проведения атаки в общем случае через учётные записи с пустым паролем
    >или через расшаренные диски.

    Если Вы имеете в виду, что провести атаку через учётные записи с пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться с основами сетевой безопастности.

     
     
  • 2.29, flicker (?), 08:29, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >>Предоставленные мною данные достаточно чётко указывали на невозможность
    >>проведения атаки в общем случае через учётные записи с пустым паролем
    >>или через расшаренные диски.
    >Если Вы имеете в виду, что провести атаку через учётные записи с
    >пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться
    >с основами сетевой безопастности.

    В конце концов, я тоже могу начать грубить и советовать Вам ознакомиться с букварём, чтобы в дальнейшем внимательно читать мои письма. Компьютеров с пустыми паролями и беспарольными расшаренными дисками среди взломанных в этот раз -- порядка 30D

    Очень хорошо, что вы решили, наконец, заняться "связями с общественностью".

     

  • 1.18, Ilia Demenkov (?), 23:09, 26/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Аналитик "Лаборатории Касперского" дал неопределённый ответ,
    >основываясь на неполной информации, которая была предоставлена
    >ему поддержкой Famatech.

    Не могу с Вами согласиться. ЛК была предоставлена вся имевшаяся на тот момент информация. Как Вы могли видеть, вся предыдущая переписка с Вами была напрямую отфорваржена в ЛК. Ответ был вполне определённым: прежде, чем вредоносные программы (одна из которых меняет пароль Radmin Server и отключает защиту нашей программы, изменяя записи в реестре, а остальные начинают DDoS-атаку) эти программы должны были как-то попасть на взломанный компьютер и ничто не указывает на то, что попадали они туда через Радмин.

     
     
  • 2.30, flicker (?), 08:38, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Что же, получите цитату вашего письма Переслали ли вы аналитику Касперского лис... большой текст свёрнут, показать
     
     
  • 3.44, Ilia Demenkov (?), 22:36, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Переслали ли вы аналитику Касперского листинги
    >файловых систем со взломанных машин?

    Это было невозхможно по той простой причине, что ответ из Kaspersky Lab пришёл ещё до того, как Вы прислали листинги файловых систем со взломанных машин. Если Вы считаете это необходимым - перешлите им листинги. Разумеется, ответ Kaspersky Lab будет интересен и нам. Хотя должен заметить, что в листингах был учтён только один раздел HDD, а на взломанных машинах их вполне могло быть и больше. Откуда известно, что MyDoom.A не жил на диске D?

     
     
  • 4.49, flicker (?), 21:44, 29/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    MyDoom.A живёт в файле stemASKMON.EXE. Практически все современные вирусы тоже предпичитают системные каталоги.
     

  • 1.19, Ilia Demenkov (?), 23:10, 26/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Как можно видеть, служба технической поддержки
    >усиленно пытается "замазать" проблему, не решая
    Опять же, не могу с Вами согласиться. Во-первых, никто и нигде так и не описал конкретную методику взлома Радмина. Всё сводится к "есть основания предполагать, что в системе защиты программы Radmin имеется брешь, которой легко воспользоваться для взлома удалённой системы" - и никакой конкретики. Вы покажите пальцем на ту якобы багу, которую нам надо фиксить - будет что обсуждать.
     
     
  • 2.40, Rippy (?), 14:53, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Это тоже ничего не доказывает, но стали появляться в логах попытки TCP коннекта на 4899 порт. К чему бы это? (ОС не Windows-based)
     
     
  • 3.41, Ilia Demenkov (?), 22:23, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Это тоже ничего не доказывает, но стали появляться в
    >логах попытки TCP коннекта на 4899 порт.

    На самом деле по другим портам пытаются вломиться не реже. Установив firewall, настроив его, а затем подождав недельку-другую и заглянув в его логи, Вы, скорее всего, увидите сотни попыток незаконно проникнуть в вашу систему.

    >К чему бы это? (ОС не Windows-based)

    К тому, что горе-взломщики не в курсе, что r_server.exe - исключительно Win-приложение? Мне такое предположение кажется вполне естественным.

    Мне не известен какой-либо другой софт, работающий по этому порту. А если и работает - это уже не к нам... Вообще-то этот порт "зарегистрирован" на автора Радмина.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     
     
  • 4.54, Rippy (?), 16:32, 01/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >На самом деле по другим портам пытаются вломиться не реже. Установив firewall, настроив его, а затем подождав недельку-другую и заглянув в его логи, Вы, скорее всего, увидите сотни попыток незаконно проникнуть в вашу систему.

    Установлен и настроен. Я к тому, что после Msblast'а усиленно стал появляться 135, после Mydoom - 3127. Щас стал проскакивать 4899. Я в курсе, что порт зарегистрирован на RAdmin. Просто раз идет скан, значит это кому-то нужно? А у кого-нибудь еще есть в логах 4899 порт?

     

  • 1.31, Solo (?), 10:40, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Вы покажите пальцем на ту якобы багу, которую нам надо фиксить - будет что обсуждать.

    есть возможность получить доступ к машине с радмином в момент выполнения команды "завершение работы"...

     
     
  • 2.42, Ilia Demenkov (?), 22:24, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >есть возможность получить доступ к машине с радмином в
    >момент выполнения команды "завершение работы"...

    Пожалуйста, сообщите подробности на адрес radmin@radmin.com. Если подтвердится - будем фиксить.

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     

  • 1.32, Defender (?), 11:34, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Radmin очень удобная программа как для админов, так и для взломщиков систем. С этим спорить трудно - функции работы тех и других категорий людей очень схожи. Но убедительных доказательств наличия дыры именно в модулях Radmin'a я не вижу. Использую его уже очень давно, практически с первых версий и при прямых руках проблем с ним нет. За что огромное спасибо разработчикам.

    С ув. Владимир.

     
  • 1.33, BD (?), 14:42, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну у меня подбирали пароль к RAdmin, за сутки ~2000 попыток - проба каждые ~5 сек - и не подобрали.
    Вообще конечно странно, что настолько потенциально опасная программа не имеет защиты от перебора пароля, которую имеет скажем не самый навороченный FTP сервер (с задержкои и баном долбящегося IP)
     
     
  • 2.70, Strategist (?), 02:16, 30/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну у меня подбирали пароль к RAdmin, за сутки ~2000 попыток -
    >проба каждые ~5 сек - и не подобрали.
    >Вообще конечно странно, что настолько потенциально опасная программа не имеет защиты от
    >перебора пароля, которую имеет скажем не самый навороченный FTP сервер (с
    >задержкои и баном долбящегося IP)


    слуш а с помошью какой проги подбирали, ты знаешь???

     

  • 1.36, Артур Бойко (?), 19:36, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не слукшайте ни кого, они все ничего не понимают.
    RAdmin самая защищення программаю Аргусенты : люди работающие в  фирмах Касперского и Данилова уже 4 дня не могут понять принцеп его работы ПОЗОР !!!! ЭТИ ОБМАНЩИКИ ПЫТАЮТСЯ ЗАЩИЩАТЬ ВАС ОТ .......??????????????????
     
     
  • 2.37, helper (?), 05:18, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    .....зато ты смог разобраться. ;-) ай маладца arturik!!!


     
     
  • 3.43, Ilia Demenkov (?), 22:32, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Разобраться? Вряд ли. Деассемблирование (а это дело вообще-то подсудное), а потом - copy&paste. И модификации GUI.

    Это, конечно, только предположение и вообще IMHO. Но на данный момент подозреваем именно такую методику создания RNimda.

    Конечно, код у нас защищён, а протокол - с шифрованием, но вполне можно было найти старые версии Радмина, в которых шифрование было отключаемым, а защита кода - в начальной стадии, и работать с ними. Разумеется, мы старые версии Радмина не распространяем и рекомендуем пользоаться только последней...

     
     
  • 4.56, Solo (?), 11:07, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    зря Вы думаете, что ардурик что-то дизассемблировал. Скорее всего брал готовое и слепливал вместе...
     
     
  • 5.58, Ilia Demenkov (?), 19:54, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >зря Вы думаете, что ардурик что-то дизассемблировал.
    >Скорее всего брал готовое и слепливал вместе...

    Где же он взял исходники нашей программы?

     
     
  • 6.59, Solo (?), 23:35, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    так приводился же на Вашем форуме адрес какого-то готового клиента под радмин, писанного посторонним человеком... Наверняка и исходники его существуют в досягаемости...
     
     
  • 7.60, Ilia Demenkov (?), 14:03, 03/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >так приводился же на Вашем форуме адрес какого-то готового клиента
    >под радмин, писанного посторонним человеком...

    Это как раз и была Remote Nimda!

     
     
  • 8.61, Solo (?), 15:56, 03/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Так кто ж спорит Я ж говорю, что не ардурик автор этого всего Или есть другие... текст свёрнут, показать
     
     
  • 9.64, Arturik (?), 09:24, 04/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    У меня есть другие данные - ваша стратегия тухлая Давить на самолюбие у таких л... текст свёрнут, показать
     
     
  • 10.65, Solo (?), 14:27, 04/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    что, деньги на пиво у дурика опять появились Такая озабоченность явно выдает бо... текст свёрнут, показать
     
  • 7.62, Артур Бойко (?), 17:43, 03/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    У меня есть предположение что работники Касперского и Данилова имеют отношение к созданию I-Worm.Mydoom. А Arturik им помогает.
     
     
  • 8.66, Артур Бойко (?), 17:55, 04/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати насчет болезней Видел по телику Е Касперского он вроде тоже больной - оч... текст свёрнут, показать
     
  • 4.57, Артур Бойко (?), 12:31, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то удалил мое вчерашнее сообщение. Между прочем, единственно что там было написано это то что у Касперского и Данилова работают слабаки. Так ведь это правда вроде бы уже неделя прошла, а воз и ныне там.
    П О З О Р И Щ Е ! ! !  
     

  • 1.46, Аноним (16), 10:53, 29/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну хорошо... В конце концов за Гостём, Артуриком или как его там приедут... За wasm, reversing, Взор я бы ему сам я..ца на уши одел бы...

    Но почему он хочет дискредитировать именно RAdmin?
    Это официальный вопрос к famatech. Только не говорите, что не знаете. Если инфа закрытая - так и скажите плз.

     
     
  • 2.55, BD (?), 02:35, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Чисто IMHO.
    Да потому что очень распространенная у нас в постСССР программа, плюс ставят её многие без инсталятора, через r_server /setup - и дистрибутив иметь не надо - только 3 файла, сам честно говоря так делал не раз, только при таких раскладах пароль нужно менять тут-же т.к. он пустой. Плюс маленький он, да и ставится как я уже сказал на раз, если есть возможность получить доступ к машине иными способами проще всего внедрить туда именно RAdmin.
     

  • 1.63, Аноним (16), 22:16, 03/03/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Позновательно и очень заманчиво !!!!
     
     
  • 2.68, Rostik (?), 22:44, 21/05/2004 [^] [^^] [^^^] [ответить]  
  • +/
    RAdmin cool forever:))
    В хаке компов виноват администратор.
    Может кто подскажет, как дешыфровать пароль RAdmina, в
    HKEY_LOCAL_MACHINE\SYSTEM\ RAdmin\v2.0\Server\Parameters="Parameter"?
     

  • 1.71, Аноним (-), 11:37, 07/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в принципе если на машине установлен радмин-сервер и авторизация только через пароль(не через NT security), то в режиме доступа к файлам он плевать хотел на ограничения доступа к файлам/папкам по аккаунту.
    если кто не понял - поясню!
    на машине юзер vasya создал себе папочку и сказал что All user ничего не могут с ней делать, а себе выставил Full control
    если юзер petya заходит на машину под своим логином, он не может ничего сделать в васиной папке, а если он зайдет с помощью радмина-в-режиме-работа-с-файлами, то пожалуйста!!!

    ИМХО и вообще это ограничение в виндах было всегда слабым... например вы когда нибуть слышали про Win XPX Live CD ? )))))))

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру