Badge Δημοσ. 23 Νοεμβρίου 2003 Δημοσ. 23 Νοεμβρίου 2003 Να ξεκινήσω λέγοντας ότι ήμουνα αυτός που άρχισε να μιλάει για exploits του RPC εδώ μέσα, και το έκανα περίπου 15 ημέρες πριν σκάσει μύτη ο Blaster Worm. Και σιχαίνομαι να γίνομαι μάντης κακών, αλλά δε γίνεται διαφορετικά. Προχωρώ στο παρασύνθημα : Εδώ και καμμιά βδομάδα διοαπίστωσα ανεξήγητα disconnects από το δίκτυο. WinXP λειτουργικό, ΟΛΑ τα patches on, ΚΑΙ πίσω από τον XP Firewall. ISDN με NetMOD. Συνήθως έκανα browsing με IE και downloading με τον edonkey2000. Χτες το βράδυ, έχοντας στήσει 2 φορές τα XP και πειραματιζόμενος με το Event Log κλπ κλπ. έφτασα στο εξής επικίνδυνο συμπέρασμα. Κάτι τρέχει και είναι ΠΟΛΥ κακό στο δίκτυο του Overnet (εκεί όπου συνδέονται οι P2P clients του θέματος). Αυτό το "κάτι" λοιπόν στέλνει ένα request στο DCOM για UPNP.... και ρίχνει τη σύνδεση ή φέρνει το μηχάνημα στα γόνατα. Μιλάμε για κανονικό disconnect του NetMOD από το δίκτυο. Το φαινόμενο συμβαίνει με eDonkey 0.52, 0.51, 0.48.1 και eMule 0.31. Αρκούν 15 λεπτά χρήσης κάποιου από αυτούς τους clients για να συμβεί το κακό. Σε συζητήσεις με φίλους (3 περιστατικά αντίστοιχα με το δικό μου) ανακάλυψα ότι αυτό ΙΣΩΣ (και λέω ίσως γιατί δεν το έχω επιβεβαιώσει) οφείλεται σε έναν νέο ιό ονόματι BlaRul.A ο οποίος προσβάλει το executable του client, όποιος από τους τρεις κι αν είναι, και ανοίγει backdoor. Είτε αυτό, είτε καρφώνει ολόκληρο το μηχάνημα. Οι δοκιμές που κάνω συνεχίζονται. Μέχρι στιγμής, ο μόνος client που δεν έχει προσβληθεί και συνεχίζει να συνδέεται είναι ο MLDonkey (http://www.mldonkey.net) ο οποίος τρέχει σε περιβάλλον Linux (δηλαδή σε connection sharing κατάσταση με το XP να δίνει τη σύνδεση στο Linux, δεν πέφτει η σύνδεση). Υπόψιν ότι το disconnect γίνεται ΚΑΙ με το firewall των XP on (φαντάζομαι και με κάθε γνωστό firewall, παρακαλώ δοκιμάστε και διορθώστε με). Εκτός από το port 4662, όλα τα άλλα είναι θεόκλειστα. Το DCOM/RPC/UPnP request ΔΕΝ γίνεται στην port 135. Να τελειώσω λέγοντας ότι έχω χρησιμοποιήσει και το UnPnP και το DCOMBobulator από το GRC.COM Αυτά και με τις υγείες σας, οι P2P maniacs like me....
cig4 Δημοσ. 23 Νοεμβρίου 2003 Δημοσ. 23 Νοεμβρίου 2003 Των φρονιμων τα παιδια πριν πεινασουν.... για ριχτε και μια ματια εδω για τον dcom http://www.grc.com/default.htm
HexStatic Δημοσ. 23 Νοεμβρίου 2003 Δημοσ. 23 Νοεμβρίου 2003 Egw pantos eimai 24/7 (adsl) me overnet se 4663 port NIS2004 plus to NAT tou router kai to pc fisaei.
pantelisgeor Δημοσ. 23 Νοεμβρίου 2003 Δημοσ. 23 Νοεμβρίου 2003 epeidi den exo polikatalavei gia backdoor kai pragmata kai ego exo adsl kai eimai 24/7 me edonkey na katevazei (ver. 0.52) ti akrivos kanei autos o ios?
Badge Δημοσ. 24 Νοεμβρίου 2003 Μέλος Δημοσ. 24 Νοεμβρίου 2003 Λοιπόν, ακόμα είμαι στη φάση που συγκεντρώνω πληροφορίες, ενώ σε φίλο μου έσκασε το τέταρτο περιστατικό. Για τον συγκεκριμένο ιό/backdoor δεν υπάρχουν ακόμα πολλά στοιχεία. Για το τι "μάλλον" κάνει είναι προφανές. Μολύνει το edonkey32.exe, ώστε αυτό να κάνει share ολόκληρο το δίσκο του PC, αντί τα directories που έχουμε εμείς ορίσει. Προς το παρόν οι αναφορές λένε ότι τον συλλαμβάνουν επιτυχώς το F-Secure και to AVG. Εγώ θα συνιστούσα, και επειδή η κατάσταση είναι ακόμα ρευστή, να κάνετε uninstall την παρούσα εγκατάσταση, κατέβασμα του client ΜΟΝΟ από το επίσημο website (ΠΡΟΣ ΘΕΟΥ, ΟΧΙ από το P2P network) και ξαναεγκατάσταση. Προτού δε το εκτελέσετε, σημειώστε το μέγεθος του edonkey.exe κάπου. Καλού κακού κάντε το read-only (αμφιβάλλω αν θα βοηθήσει αυτό) και ελέγχετε το μέγεθός του τακτικότατα. Ξέρω... ίσως είμαι παρανοϊκός. Και με τον Blaster όμως, πολλοί ήταν αυτοί που όταν διάβασαν για το bug είπαν "σιγά τα λάχανα", και μετά έτρεχαν και δεν έφταναν. And as I always say, better be safe than sorry....
Stuff Δημοσ. 24 Νοεμβρίου 2003 Δημοσ. 24 Νοεμβρίου 2003 Kai ego xrisimopoio EMule kai Overnet 24ora dio vdomades tora, xoris na kleisei katholou o ipologistis alla mexri stigmis den mou exei tixei tipota!
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.