Начало | IRC HELP | IRC ФОРУМ | HTML Chat | Вход

от: dzver (регистриран)

Повод за написването на този материал е случайното ми попадане на уебсайт, който ползва ActiveX, javascript и vbscript, за да създаде script.ini file във вашата mIRC директория. С този script.ini вие започвате да спамвате други потребители на чата, рекламирайки инсталацията на Worm-a. Но по ред на номерата:

WORM (червей) - Worm е досадна програма, която има основна грижа да се саморазпространява, но може да има и някаква допълнителна - примерно да използва ресурсите ви за атака на някакъв сървър, чрез генериране на трафик. Вашият модем е безпомощен - може да създаде 2-3К трафик, но представете си ако имате 2000 заразени компютъра, 10-15 от тях с бързи връзки (министерства, университети). Умножете сами и ще получите разрушителната сила на подобна програмка. Атаки от този вид (с червеи, които се саморазпространяват и после генерират трафик) се наричат DDoS - Distributed Denial of Serve. Други червеи са от тип Trojan.

Trojan (Троянски кон) - това е в общия случай малка програмка, която online измамник (някой сладкодумец в чата) или WORM ви инсталира, с цел да предостави на Някой, някъде, пълен достъп до вашата система. Пълен значи, че могат да ви откраднат паролите за достъп, да ви форматират хард диска и прочие.

Virus - всички знаете за вирусите. Вирусът от моя гледна точка е глупост. Никакъв смисъл няма в разрушаването на чужди системи :) Все едно, в чата разпространението на вируси не е популярно. Преобладават по-комерсиалните "Троянски коне" и популярните Червеи - популярни, защото ходят по "lamerite".

История на червеите и трояните - как се появи тази напаст в IRC

IRC е място, ползвано от много хора. Чат програмите позволяват трансфер на файлове между потребителите - много е полезен за размяна на снимки, текстови документи и прочие. Злонамерен потребител обаче би могъл да ви изпрати изпълним файл, който съдържа някаква evil програма. Тази програма ще съдържа нещо смешно или забавно и докато ви радва ще се настани удобно на компютъра ви
и ще предостави ресурсите му на вашия "приятел" от чата.

По новите версии на mIRC по default забраняват да се изпращат .exe, .vbs, .bat, .pif, .shs и прочие файлове, които обикновено са носители на worms i trojan horses.

Та значи, преди няколко години хакерската група или каквото е там Cult of the Dead cow реализира програмата "Back orifice" - закачена към разни забавни неща, тя биваше разпространявана измежду незнаещите-какво-ги-чака и остави доста хора изненадани, че вече не могат да си ползват паролите за достъп до интернет:) Back orifice се е развивал през годините. Сега има и plugins към него за осъществяване на специфични действия - примерно IRC BOT plugin, чрез който заразените компютри
влизат в IRC и могат да тероризират чат мрежа. Подобни атаки се наричат Drone flood и са доста разпространени. По-долу ще има топик за Drone flood attacks - как да се предпазим.

Успоредно с Trojan horses се появиха и червеи от рода на links.vbs, lifestages.txt.shs, script.ini (заразен), които разни хора разпространяваха в чата с "on join" - т.е. предлагат на всеки, който влиза в канала. Доста неприятно, но разрешено в новите версии mIRC. Важно е и да отбягвате неизпробвани mIRC скриптове. Някои от тях съдържат умишлено изпрограмирани задни вратички (backdoors).

Trojan
Програми, подобни на Back orifice (Trojan-и) има много, много, наистина много - общото е едно - няма да се заразите, ако не приемате файлове (независимо дали получени по интернет или по IRC)
a/ от непознати
b/ с разширения, различни от .jpg, .jpeg, .gif и .png (съвършено безопасни картинкови файлове) - винаги има опасност да се заразите. Абсолютно, ама абсолютно нездравослодно действие - да отворите файл от рода на lesbians.jpg.bat или purefuck.gif.exe - често срещана измама. Разширението се вижда в КРАЯ НА ИМЕТО на файла :-)
c/ не посещавате сайтове, чиито адрес сте поллучил чрез спам - от непознати. Да, можете да се заразите с разглеждане на уеб сайт.

Напоследък сериозно разпространение получи sub7 server - гаден троян, който освен че предоставя пълен достъп до вашата система, има IRC пакет - вграден "бот", който влиза в IRC и може да бъде управляван централно чрез команди в канал - т.е. вашият компютър, заедно с още 100 да му бъдат давани едновременно команди за атака - DDoS през TCP или UDP.

Общо за троянските коне - всички известни ми трояни отварят някакъв порт и слухтят на него. Антивирусните програми пък проверяват компютъра ви за трояни. Значи ако нямате антивирусна програма или и нямате доверие, може да проверите ръчно дали имате необичайни отворени портове. За целта направите следното - пуснете си MS DOS PROMPT и напишете вътре:
netstat -n
netstat -na

нормален резултат от netstat -n (първото е моето IP)

C:WINDOWS>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 213.169.32.197:1548 64.167.180.214:80 CLOSE_WAIT
TCP 213.169.32.197:1550 193.254.29.11:6667 ESTABLISHED
TCP 213.169.32.197:1551 64.167.180.214:80 SYN_SENT

Ненормално би било ако има нещо от рода на
TCP 213.169.32.197:10000 139.92.144.68:31990 ESTABLISHED

Необичаен active connection на странен порт със странен компютър. Понеже съм чатер и имам винаги пуснат mIRC, отварям си го и пиша:

/dns 139.92.144.68

в статуса ми излиза резултат

[N] Resolved 139.92.144.68 to slip139-92-144-68.sof.bg.prserv.net

не е задължително да успея да resolve-на адреса, но в случая успях. Но аз съм пуснал само 1 mIRC, ICQ и 1-2 netscape-a... достатъчна причина да си изтегля последна версия на антивирусна програма и да си проверя хард диска :)

netstat -na показва по-голям списък от connection-и. Отново следете за необичайни. Ето, аз имам едно необичайно:

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
(не, не това, това например ми е локалния web server)
TCP 0.0.0.0:21905 0.0.0.0:0 LISTENING
ето това. Никаква идея нямам какво е, но пък преди да си пусна ICQ-то видях, че го нямаше. Решавам, че е на ICQ и понеже нямам специална програма за управление на връзките като ZoneALARM, зарязвам това за сега. Вие разбира се бихте могли да си изтеглите ZoneAlarm и да и берете ядовете. Доста проблеми създава:)

За да ви е по-ясно кое какво е може да си спестите "n"-a и да пробвате:
netstat -a
ето ви пример за разликата:
TCP nt_vesko:1191 clusterc.icq.com:http TIME_WAIT

Малка добавка - sub7 server отваря локално портове: 6711, 1243, 6776. Можете да установите заразата и като видите netstat -n без пусната никаква друга програма, освен dos prompt - и имате CONNECTED на 6667 remote :-) Ако имах sub7server бих очаквал да видя следното:

netstat -na
TCP 0.0.0.0:1243 0.0.0.0:0 LISTENING
TCP 0.0.0.0:6711 0.0.0.0:0 LISTENING
TCP 0.0.0.0:6776 0.0.0.0:0 LISTENING
TCP 213.169.32.197:1052 193.254.29.11:6667 ESTABLISHED

или нещо подобно :) ако разпознаете някаква прилика - замисляйте се за антивирусен софтуер.

Back Orifice има за default слухтеж на порт 31337, NetBus - на портове 12345 и 6666. Но не мислете, че с това се изчерпват трояните - не, те са стотици и хиляди:) Много от тях могат да бъдат конфигурирани така, че да се крият. So, ако нямате доверие на собствените си умения - доверете се на антивирусен софтуер или personal firewall.

Бихте могли и да ползвате антивирусен пакет като mcafee или norton antivirus. Но забележете - винаги именити и надеждни програми! Никога cleaner-и!!! Cleaner-ите често са инсталация на нов троянски кон! Допълнителна сигурност ви дават personal firewalls като ZoneALARM, но те често са трудни за употреба и изискват много търпение!

WORMS - червеи.

Червеите са много по-разпространени, защото на тях това им е целта - да се саморазпространяват из мрежата. Глупаво звучи, но е факт. Има няколко основни начина за да постигат такъв успех:

1. По e-mail - получавате писмо с или без attachment (damn, пак една обществена заблуда, ако не си отворим attachment-а няма да се заразим. Вярно, няма да се заразим, но само ако НЕ ИЗПОЛЗВАМЕ outlook express. Защо ли си мисля, че вие точно това ползвате?:)
- variant 1: mail-ът съдържа attachment с многообещаващо име - примерно IZBORI2001.XLS.bat (някои версии на outlook еxpress имат bug, който не позволява да се вижда разширението на файла. Т.е. може да видите Izbori2001.xls). Този email вероятно е с неочакван за вас подател - или познат, от който не сте очаквали да ви прати съответния файл (примерно доцент от университета ви праща zoofuck.jpg.pif), друго - обикновено текстът е стандартен. Доста разпространеният WORM "Sircam" праща писмата с текст: "Hi. I send you this file in order of your advice. Thank you", като прикачва произволен файл от my documents към своето копие.

Worms от типа на Sircam са големи (150-200k и повече), понеже съдържат в себе си mail клиент - програма, с която да се саморазпращат. Други червеи обаче съдържат в себе си само инсталация - т.е. инсталират се и сами download-ват останалото, което им е нужно за да извършват злото си дело. (техният размер е 20-40k, но в това няма особена закономерност. Утре може да искочи някой 5к worm).

Solution: Не отваряйте писма с attachments от непознати. И да отворите такова писмо В НИКАКЪВ СЛУЧАЙ НЕ ОТВАРЯЙТЕ ПРИЛОЖЕНИЯ ФАЙЛ!

- variant 2: някои версии на outlook express execute-ват attachment-a при подаване на сбъркан/неочакван от outlook express header. Какво е mail header? Mail header-a е скрита част от писмото, която съдържа полезна служебна информация - примерно пътя през който е минало писмото, истинско IP на подателя, използван encoding (примерно кирилица - windows-1251, koi8-r), тип на съдържанието (text/html, text/plain etc.). Във вашия противен mail обаче няма нищо видимо, само нещо гадно, което ви заразява и ви превръща в разпространител на заразата.

отидете на страницата на microsoft и потърсете patch за outlook express - ако държите да ползвате стара негова версия - като 5.5 примерно.

Подобни червеи, знайни и незнайни, имаше и има доста в нет-а. Понеже някои червеи претърсват history-то на browser-ите ви за съдържащи се в него email адреси (разбира се, че няма да ползват address book-a. Кой ползва адрес буук в днешно време:) и после се разпращат до тези адреси, най-много подобни копия получават webmaster-s на websites. Като мен.

Solution: Ако ползвате outlook не отваряйте писма с големи размери от непознати. Писмото може да е с подвеждащ subject - примерно RE: и вие да си помислите, че е отговор на ваше писмо. Получавал съм worms от този тип с размер към 40k.

Инсталирайте си най-новите версии internet explorer, след като излязат такива! Това намалява риска. Или още по-добре - проверявайте си пощата с netscape messanger, не с explorer. MSIE е вграден в операционната система (силно казано, но до някъде вярно) и освен това е с автор Microsoft. Това го прави много по-рисков за употреба от Netscape Communicator.


2. Чрез посещаване на злонамерен web site
- variant 1: на този сайт има някакъв многообещаващ линк за download - от онези файлове - .exe, .com, .bat, .vbs, .shs и прочие и прочие, може би дори .jpg.exe или нещо друго подвеждащо.
- variant 2: на този сайт има само една картинка или някакъв забавен текст, обикновено на английски, но като дадете view source виждате някакъв кошмар, който разнищтва файловата ви система и ви заразява. Да, това е възможно:)

Не знам какво да ви препоръчам за това, освен да не посещавате сайтове, за чието съществуване сте научили от реклама в IRC или ICQ, получена от непознат. Вероятността да попаднете на такъв адрес от търсачка е по-малка, понеже хостинг провайдърите ги изтриват почти незабавно.

Пример за спам бот. Влизам в гювеч и получавам:
Hi! I am 16 year old and i made my own website - http://suzi16.cjb.net.

Никога няма да посетя подобен сайт.

3. Чрез приемане примерно в IRC на подобен файл и инсталирането му. E, няма да се повтарям - не приемайте файлове от непознати. Не приемайте и излишни файлове от познати. Безопасните разширения са на файлове за картинки - jpg, jpe, jpeg, gif, png, bmp.

Off topic: Drone flood attacks, как да се предпазим
В IRC BULGARIA има вградена защита на потребителите от flood. Обаче тази защита не помага във всички случаи - ако злонамерен тип вкара във вашия канал 100 бота от заразени с worm/trojan и DDoS software, които почнат активно да си сменят nick-a, да влизат, да излизат и да пишат шарении, това може сериозно да разстрои чата и дори някои от посетителите да изпадат от IRC със съобщение:

Sendq exeeded.
Sendq e буфер, в който се съхранява онази информация, която IRC сървъра му предстои да прати към потребителя (user, chatter). Когато се генерира от подобни ботове (drones) твърде много трафик, този буфер sendq достига до позволения лимит и потребителят бива дропнат
*** Quits: dzver (sendq exeeded)

Друг неприятен ефект от flood-a e, че активните ви прозорци може да се препълнят с излишна информация и да спрете да можете да чатите нормално, а трети - че твърде много шарени съобщения може да предизвикат силно забавяне на mIRC - така че да можете да напишете по 1 буква за 2-3 секунди например:) е, това само ако ви е слаб компютъра (какъвто е моя)

Добре, разбрахте какво е DDoS attack и какво е Bot/Drone flood.

Как да се предпазите? Много просто:
Ако floodът е лично срещу вас насочен - отварят ви се много private/notice/ping прозорчета - първо трябва да прецените дали е от 1 user или се касае за drone flood. Drone floodът се познава по големите поражения.

Ако floodut e с ниска интензивност може да ви оправи едно /ignore - примерно
/ignore ivancho
(иванчо си е позволил да ви ping-ne 20 пъти)

Ако floodut е с висока интензивност, отварят ви се десетки и стотици private chat сесии, хиляди съобщения за кратко време, незабавно пишете

/mode vashia_nick +R

това моде позволява само на регистрирани никове да ви говорят! Flood-ът на private ще спре. Не по-малко мощно средство е:

/mode vashia_nick +G

Това е server side ignore all - игнорвате всички, освен онези, на които не позволите да чатят с вас с командата:

/quote accept mojata_lubima

Ако flood-ът е в канал, в който нямате оп - излезте от канала, докато оповете се справят.

Ако flood-ът е в канал, в който имате оп:
/mode vashia_nick +R (за да ви е по-бързо писането)
/mode #kanal +xM

channel mode +x е много гнусно за flooder-а. Изведнъж от негова гледна точка всичко ще стане супер бавно...
channel mode +M модерира канала за нерегистрирани потребители. Floodът ще се забави, вече ще можете да видите от кои хостове ви flood-ят и да ги баннете един по един. Банвайте на хост -
/mode #kanal +b *!*@bgirc-12345.neshtosi.neshtodrugo.com

Други channel modes, които могат да ви помогнат са:
/mode #kanal +l 50 - забранява на повече от 50 души да влязат в канала. Сложете вместо 50 броя обичайни посетители, докато баннете всички drones.
/mode #kanal +i - забранява на нови посетители да влизат в канала - махнете го веднага, след като се справите с flood-a!!!!
/mode #kanal +m - забранява говорене в канала на хора без @, % и + (op, halfop, voice).

Всички тези моде-та са неподходящи за употреба в "мирно време" - ползвайте ги в силно екстрени ситуации - дано да не ви се налага никога:)

След като баннете и изритате всички abusers махнете своите mode +R +G и chanmode
/mode #kanal -mil
/mode #kanal -Mx

а, да, щях да забравя - винаги дръжте канала си с channel mode +n - това моде забранява в него да се пише от хора, които са вън от канала:) Най-добре е да сложите в services lock
/msg chanserv set #channel mlock +n-smilk
m, i, k, l са опасни, защото може неволно да затворите канала за обикновените му посетители.

Дано съм ви бил полезен. Ако съм допуснал неточности, напишете коментар и ще коригирам информацията или допълня текста. Късмет.

dzver

Edited from: dzver; 2001-12-11 01:17

Мнения от посетители (45):
mo_ni95@abv.bg (анонимен)08.06.07 20:00:50
az
molqvi kajete sait osven zamunda za svalqne na filmi pesni igri
i t.n.

milenajj (анонимен)03.03.07 18:47:59
nod32
от къде да изтегля ъбгрейд за нод32 или версия която си има файлове за авто ъбгрейд??
версията която изтеглих е от безплатните пълният пакет естествено се заплаща. или аз налитам само на непълният вареант(ако въобще има такъв) или програмата е така...

over-the-sea (анонимен)26.01.07 18:09:50
kak da sloja ackic na faundera ako az sam vtoriq fa­under?
ima edin koito se misli za Admin,tva e nevazmojno da bade za6toto az go poznavam ;],toi e faunder na kanala mi az sam vtoriq kak moga da napravq taka 4e da stana 1 faunder???molq otgovorete na tova za6toto 6te mi dropne kanala i nqma da go vidq poi4e

[UK]ENGLISH_BOY20.01.06 13:25:16
T0sh
mhm ;-)

T0sh18.01.06 17:38:12
ot tam, che bota runva sus sentinel.tcl - patchnat na N mesta + nastroivan dosta. Plus imeto mu dopada ;)

[UK]ENGLISH_BOY18.01.06 15:01:30
t0sh
T0sh moje li dami kajesh ot kude vze imeto na bot-a "Sentinel" Mn mi e interesno :-)) Sluchaino se sbluskah s neshto v edna tursachka :-))) Dane bi da e sushtoto ;-)))

kristiqn (анонимен)03.01.06 20:14:34
virosi
gadni sa virosite

[UK]ENGLISH_BOY07.12.05 15:09:53
XaXaXa a e hora ... edin tupak mi puska po dcc autorun.exe golem .. tupak 10 puti mi go puska i 10 go ignolirva automatichno ... i posle razbirase trebavshe da bude disconecnat 5-6 puti.. i do sega nese e opitvaL da se prai na hackeR:-) t0sh btw prav si :-) Vie neste v irc dani pazite PC-to ..

CompleteR (анонимен)04.12.05 18:14:04
virusi
samo 6te wi kaja edno mom4eta ako iskate da se oprawqte dobre s virusite trqq da gi poznwate.Ne sa 4ak tolkowa stra6ni samo da znae6 kak da raboti6 s tqh

Ръка (анонимен)22.10.05 02:37:35
До dzver
пиша /mode nicka_mi +R и ми отвръща
* Unknown MODE flag
а ти си написал -
/mode vashia_nick +R
защо не действа?!

DMX` (анонимен)28.05.05 23:28:32
Nqkoi bi li mi kazal imeto na onzi worm koito restartiral pc-to prez dve minuti

t0sh20.05.05 15:20:41
skupa, s virusite ne se "sbluskvash", te si rabotyat bez da gi zabelezhish, tova im e celta ;)

YOUR_ANGEL (анонимен)18.05.05 18:18:53
Edva li ima hubavi virusi!Az ne sam se sblaskvala vse o6te s takava napast.Pojelavam go i na vas!

vili (анонимен)08.05.05 21:08:34
koq antivirusna programa da izpolzvam
Kajete mi koq e nai podhodqshta shreshtu Troqn i Worms Nortun,NOD32 ili Antivir-a ?Trqbva li da se updait-vat vseki pat kato se pusnat da skanirat?Kak se rabopti sus Zone Alarm,zashtoto q imam a neznam kak da q izpolzvam?Hubavo li e da imash pove4ko antivirusni programi ili tova pre4i na pc-to?

Ve-To (анонимен)23.04.05 10:23:29
4erveiq koito vi restartirva sistemata
zna4i kak da se ut1rvete ot nego i az bqh zarazen s nego restartirvashe mi kompiutara i na po malko ot 2 min kak da se ut1rvete :
1) premestete informaciqta si ot harda v d:\ ili kakto vi se pada
2) svalete si harda otidete pri nqkoi aver da vi ka4i informaciqta ot vashiq harda na negoviq
3} format na ceiq hard ne samo na nqkoq az 6 p1ti si formatirah i 6 p1ti si slagah nov windows dokato se ut1rva ot nego mnogo dosaden 4ervei i v kraina s...

още коментари... ->>>

Anonymous comments are temporary disabled

Най-цъкани за 2 дни


RO6AV_3 (70)


beb4eto241 (46)

P_o_l_i_c_E (45)
ilham (43)
dj_loshiq (42)
oneLIVEoneLOVE (42)
Lucki (42)
PunKi4 (41)
superstar (41)
{[-_-]} (41)
unutabilsem (40)
venika73 (40)
zina_vn (40)
Val4aka (40)
ALEXTIGRA (40)
amor28 (39)
manekenkata_ (39)
kamiev (39)
USSRSoldier (38)
go6odob (37)
sweetest_girl (37)
Blondy_igra4ka (37)
igroz (37)
gore6ti_ystni (36)
Kalin_sf_30 (36)
KOX (36)
BiActLulinNow (35)
EMPORIO_SF (35)
^^^^gorkem^^ (35)
SpiJo (35)
Ray (35)
moc (35)
ORNEL (34)
CiiXX (34)
jonadan (34)
EvR (34)
Myxa (34)
raim_polonia (33)
vihar72 (33)
dichkogr (33)
  Copyright: ShakeIT IRC; dev: dzver; des: metala. Read blogs.  
eXTReMe Tracker