The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: К вопросу о DOS атаках через Radmin"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: К вопросу о DOS атаках через Radmin"
Сообщение от opennews on 20-Фев-04, 15:33 

Недавно опубликованная новость про уязвимость Radmin, через которую якобы можно инсталлировать на удаленный компьютер программное обеспечение для DOS атак не совсем соответствует истине.


Администратор одной из сеток, с которых осуществлялась DOS атака, несколько дней назад связался с нами, попросив разобраться в вопросе. Исходя из предоставленных им данных и данных лаборатории Касперского мы пришли к следующему заключению:


Взломанные сети содержали ошибки в настройке системы безопасности, как то:
<ul>
- пустой пароль администратора
- расшаренные диски C
<lo>возможно - запущенный RAdmin без пароля или с известным паролем.
</ul>


И были взломаны вполне классическими методами. А уже после взлома злоумышленник установил на всех этих машинах Radmin, дабы обеспечить себе backdoor доступ. Так что наличие Radmin на всех взломанных машинах - это уже следствие, а не причина.


Следует учесть, что любое программное обспечение, предоставляющее удаленный доступ к машине - начиная от администраторского пароля в самой Windows, расшаривания ресурсов и заканчивая программами удаленного администрирования может быть использовано в противозаконных целях. Поэтому, подключая компьютер к интернет и настраивая локальные сети - проверяйте безопасность.


На данный момент в RAdmin реализована одна из самых надежных систем защиты, и при указании сложного пароля взломать Radmin сервер невозможно. Но, открывая свои маштины всем желающим - как с помощью Radmin, так и с помощью средств самой операционной системы - пользователи сами приглашают злоумышленников воспользоваться их машиными для дос атаки.


Мораль: уходя, не забывайте выключить газ и закрыть дверь квартиры. Установив сервер, не забудьте установить пароль администратора и Radmin'а, убрать все шары, установить последний антивирус.


С уважением, Григорий Петров, служба технической поддержки Famatech LLC.

URL: http://www.famatech.com
Новость: http://www.opennet.me/opennews/art.shtml?num=3429

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "К вопросу о DOS атаках через Radmin"
Сообщение от Связавшийся администратор on 20-Фев-04, 15:33 
Не могу подтвердить сообщение "службы технической поддержки" Famatech. Предоставленные мною данные достаточно чётко указывали на невозможность проведения атаки в общем случае через учётные записи с пустым паролем или через расшаренные диски. Это подтверждается и сообщениями нескольких пользователей взломанных компьютеров.

Аналитик "Лаборатории Касперского" дал неопределённый ответ, основываясь на неполной информации, которая была предоставлена ему поддержкой Famatech.

Как можно видеть, служба технической поддержки усиленно пытается "замазать" проблему, не решая её.

Cообщить модератору | Наверх | ^

20. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:21 
>Как можно видеть, служба технической поддержки
>усиленно пытается "замазать" проблему, не решая её

Во-вторых, мы обсждали этот вопрос с ещё одним сотрудником вашей компании и с его слов известно, что от гипотезы о бреши в системе безопастности Радмина Питерхост уже отказался, т.к. получены более точные сведения об атаках.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

2. "К вопросу о DOS атаках через Radmin"
Сообщение от Swap on 20-Фев-04, 15:44 
отмазки. патчик выпускайте или защиту от "дурака" и дефолтных паролей.
Cообщить модератору | Наверх | ^

3. "К вопросу о DOS атаках через Radmin"
Сообщение от uncleua email on 20-Фев-04, 17:24 
Конечно баг в radmine. Если при установке пароля штатными средствами прога не дает ввести пароль меньше 8-ми символов и в результате считывает с реестра любой в том числе и пустой, то что это?
Cообщить модератору | Наверх | ^

21. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:24 
>патчик выпускайте

Покажите конкретно - ЧТО патчить? Пока этого никто сделать не смог.

>или защиту от "дурака" и дефолтных паролей

В Радмине НЕТ дефолтных паролей - при установке программы у пользователя спрашивают, какой пароль установить.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

4. "К вопросу о DOS атаках через Radmin"
Сообщение от stricty email on 20-Фев-04, 19:30 
Я бы интереснее сказала. Насколько я поняла - radmin стал просто манной небесной для этого вида атаки? Правим в консерватории?
Cообщить модератору | Наверх | ^

5. "К вопросу о DOS атаках через Radmin"
Сообщение от schors email on 21-Фев-04, 11:32 
Году так в 2000-ом была одна хорошая программа удалённого администрирования. Маленькая, с видеозахватом, с алертами, с системой плагинов, OpenSource, почти безглючная, имела виндовый и UNIX'овый клиентский интерфейс. Замечательная программа была. Только тот же DrWeb на неё ругался из-за некоторых её особенностей, в частности из-за easy install и гибкости настроек, ругался "Trojan.BackOrifice...."

Возможно, несчастный Remote Administrator в данной ситуации ни при чём. Как уже говорилось - это пока гипотеза. Но при таком планомерном подходе службы технической поддержки Famatech в ответ на достаточно серьёзные подозрения, очень хочется, чтобы и DrWeb, и AVK, и NAV, etc. говорили "Infected with Trojan.Radmin" при нахождении этой программы  на компьютере.

Cообщить модератору | Наверх | ^

22. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:34 
>Но при таком планомерном подходе службы технической поддержки Famatech
>в ответ на достаточно серьёзные подозрения, очень хочется, чтобы и
>DrWeb, и AVK, и NAV, etc. говорили "Infected with Trojan.Radmin"
>при нахождении этой программы  на компьютере

Уточните, что вам не нравится в подходе службы технической поддержки Famatech?

С лабораториями Касперского и Данилова у нас хорошие деловые отношения. Они нашу программу знают, знают и то, сколько у неё легальных пользователей (см. хотя бы http://www.famatech.com/about/corporate/clients.php и http://www.famatech.com/ru/about/clients.php), которым эта функция будет мешать. В базах Dr. Web и KAV Радмин отсутствует. Зато они отлично обнаруживают и обезвреживают троянцев на основе Радмина - т.е. троянцев, вся функциональность которых заключается в том, чтобы не имея прав забросить на удалённый компьютер Radmin Server и запустить его.

А вот NAV действительно детектит Radmin, как Вам и желается. Почему? А прочитайте вот этот топик в нас в форуме: http://www.famatech.com/support/forum/read.php?FID=19&TID=5949

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

6. "К вопросу о DOS атаках через Radmin"
Сообщение от adsh email on 21-Фев-04, 16:40 
Справедливости говоря, нужно сказать, что, сам по себе, Radmin там не при чём. Чтобы убрать его пароль, нужно удалённо подключиться и отредактировать реестр (затереть пароль Radmin). А можно, это сделать лишь (при настройке ОС по умолчанию) зная пароль администратора локальной ОС.

Другое дело, что пароль для локального админа может быть пустой или легко подбираемый.

Подробнее см. http://www.opennet.me/opennews/art.shtml?num=3429

Вопрос стоит несколько по другому. Систему, со стоящим на ней Radmin проще найти (сканированием порта этого сервиса) и взломать, т. к. нужно, всего лишь, затереть один ключ и мы имеем полный доступ к машине. В случае, если Radmin нет - нужно будет подключать расшаренный диск, кидать туда троян (исполняющий функции Radmin), прописывать его загрузку в реестр и ждать перезагрузки машины...

Cообщить модератору | Наверх | ^

7. "К вопросу о DOS атаках через Radmin"
Сообщение от flicker on 21-Фев-04, 17:10 
Реальность выглядит несколько иначе. Данной атаке наравне подвержены и W98, и W2000, и WXP Home Edition. Более того, у многих машин были зафильтрованы порты NetBT/SMB, но порт RA открыт.
Cообщить модератору | Наверх | ^

23. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:41 
>Справедливости говоря, нужно сказать, что, сам по себе, Radmin
>там не при чём. Чтобы убрать его пароль, нужно удалённо подключиться
>и отредактировать реестр (затереть пароль Radmin). А можно,
>это сделать лишь (при настройке ОС по умолчанию) зная пароль
>администратора локальной ОС.

Совершенно верно. Хэш пароля для удалённого доступа к Radmin Server хранится в ключе реестра [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter]. Чтобы сделать пароль пустым, достаточно удалить этот ключ. Но что это за система, в которой кто угодно может удалённо отредактировать реестр, не имея на машине никаких прав? Для взлома такой системы не понадобится никакой Радмин с пустым паролем.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

67. "К вопросу о..."
Сообщение от Andrey Mitrofanov email on 18-Мрт-04, 11:39 
> Но что это за система, в которой кто угодно может удалённо отредактировать реестр, не имея на машине никаких прав? Для взлома такой системы не понадобится никакой Радмин с пустым паролем.

То есть!?

Это же Microsoft Windows!

Кормильца нужно узнавать в лицо.

> С уважением,

> Илья Деменков, служба технической поддержки Famatech

Отмазывайтесь тщательнЕе, учите мат.часть.

Cообщить модератору | Наверх | ^

8. "К вопросу о DOS атаках через Radmin"
Сообщение от adsh email on 21-Фев-04, 19:11 
Эта реальность ни о чём не говорит. Машины могли, как ломать через IPC$, так и через похищение пароля из реестра почтовым трояном.

Очень подозрительно то, что, до сих пор, в инете не опубликован способ взлома этого "дырявого" Radmin, через который машины, якобы, ломают...

Лично я Radmin не переношу из-за жуткой загрузки процессора серверной машины - куда ему до стандартного МС ТС или цитрикса. Дело тут принципа - куда легче обвинить некое ПО, чем признать собственную глупость, скажем, при запуске приаттаченного трояна или задания админовского пароля qwerty...

Cообщить модератору | Наверх | ^

24. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:47 
>Очень подозрительно то, что, до сих пор, в инете
>не опубликован способ взлома этого "дырявого"
>Radmin, через который машины, якобы, ломают...

Вы прозорливы - именно так и обстоит дело.

Что на bugtraq, куда "Обратившийся администратор" первым делом, ещё 16-ого числа, запостил кляузу на Радмин, что здесь, что на нашем собственном форуме до сих пор есть лишь утверждения навроде "есть основания предполагать, что в системе защиты программы Radmin имеется брешь, которой легко воспользоваться для взлома удалённой системы", и ни одного описания конкретной методики испольщования этой якобы бреши. Словом, пока что одна болтология и ни одного прямого доказательства бага - только косвенные.

>Лично я Radmin не переношу из-за жуткой загрузки
>процессора серверной машины - куда ему до
>стандартного МС ТС или цитрикса

А вот тут Вы в корне неправы. Вы путаете программы удалённого администрирования и терминальные сервера. Это совершенно разные классы программ! У них разные принципы, функциональность, области применения, подходы к реализации, методы работы, - и цена. Если терминальная служба использует только вычислительные ресурсы сервера, то программа удалённого администрирования - ещё и видео-ресурсы.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

9. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 23-Фев-04, 21:20 
>Я бы интереснее сказала. Насколько я
>поняла - radmin стал просто манной
>небесной для этого вида атаки?

Ну что Вы. Радмин - это всего лишь утилита удалённого администрирования. А манной небесной является беспарольный sharing диска C: или пустой пароль у пользователя Administrator. Что, как выясняется, было сделано как минимум на части взломанных машин.

>Правим в консерватории?

Не могли бы в пояснить этот пункт?

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@radmin.com).

Cообщить модератору | Наверх | ^

10. "К вопросу о DOS атаках через Radmin"
Сообщение от stricty email on 23-Фев-04, 21:58 
Многоуважаемый, укажите, пожалуйста, Ваши методы оценки "минимума" и "максимума". Пока что мы видим удобность его использования.

Чем ваша программа лучше BackOrifice в таком случае? Знаете чем считается BO? Да-да - вредоносной программой.

Cообщить модератору | Наверх | ^

25. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:52 
>Многоуважаемый, укажите, пожалуйста, Ваши методы оценки
>"минимума" и "максимума".

"Обратившийся администратор" сообщил нам, что ему удалось связаться с хозяевами 3-х взломанных машин. На одной из них Радмин до взлома не был установлен - его установил уже сам хакер.

>Пока что мы видим удобность его использования.

Действительно, Радмин удобен для задач удалённого администрирования. Программа компактна (серверная часть - всего 2 файла в 324 Кб), быстра, легка в настройке и использовании. То, что хакеры ценят эти качества не меньше админов - не наша вина.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

11. "К вопросу о DOS атаках через Radmin"
Сообщение от kz on 24-Фев-04, 08:57 
>Что, как выясняется, было сделано как минимум на части взломанных машин.

раз уж  сказали "A", то говорите и "Б" , а именно, что было сделано на другой части взломанных машин?

а то скапливаются логи с радмина, явно указывающие на попытки подбора пароля по словарю, и становится интересно к чему бы это?

Cообщить модератору | Наверх | ^

12. "К вопросу о DOS атаках через Radmin"
Сообщение от Михаил on 24-Фев-04, 12:21 
Это к тому, что надо глову на плечах иметь.
Имеющий голову не ставит РАдмин в инет.
А ставит его ЗА файрволом.
Между прочим, никто не мешает работать с РАдмином через файрвол.
Короче - курите маны и правила настройки безопасности.
Cообщить модератору | Наверх | ^

13. "К вопросу о DOS атаках через Radmin"
Сообщение от kz on 24-Фев-04, 16:32 
>Между прочим, никто не мешает работать с РАдмином через файрвол.
а кто мешает создателям радмина поумолчанию генерить  пароль и не из 8, а из 16-20 символов?
кто мешаем им  исправить неоптимальный алгоритм детектирования и отсечки перебора ?
ну и т д

PS всегда найдется один из 1000 пользователей без головы на плечах...
о проблемах с радмином его создатели были извещены уже давно!

Cообщить модератору | Наверх | ^

14. "К вопросу о DOS атаках через Radmin"
Сообщение от Good Guy on 24-Фев-04, 22:05 
К сожалению, на 1000 пользователей без головы найдется 900+.
Создатели Радмина не должны выполнять функции нянек для плохо понимающих принципы защиты компютеров пользователей. Нужен пароль 20 символов - создай себе, а не обвиняй создателей программы в том, что они не заставили тебя это сделать, используй Радмин через VPN и т.д. Машина, оставленная открытой в Интернет, БУДЕТ взломана - это вопрос только времени. И откуда известно о неоптимальности алгоритма противодействия подбору пароля? Изготовитель как раз заявляет о его эффективности.
Взлом Радмина на данный момент не доказан.
Cообщить модератору | Наверх | ^

15. "К вопросу о DOS атаках через Radmin"
Сообщение от kz on 25-Фев-04, 06:33 
>К сожалению, на 1000 пользователей без головы найдется 900+.
>так на кого прожка то рассчитана на 100- или 900+ ?
>Создатели Радмина не должны выполнять функции нянек для плохо понимающих >бла бла бла...
я пользуюсь бесплатной прожкой VNC (University of Cambridge ), в ней на сколько я помню пароля пустого нет

>И откуда известно о неоптимальности алгоритма противодействия подбору >пароля? Изготовитель как раз заявляет о его эффективности.
а логи радмина с 2000! попытками подбора пароля заявляют прямо противоположенное!

>Взлом Радмина на данный момент не доказан.
любая подвиндовая прога  БУДЕТ взломана - это вопрос только времени,
от себя добавлю: и желания, теперь оно (желание) появилось у многих...

Cообщить модератору | Наверх | ^

27. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 27-Фев-04, 00:07 
>а кто мешает создателям радмина поумолчанию генерить пароль
>и не из 8, а из 16-20 символов?

>кто мешаем им  исправить неоптимальный алгоритм
>детектирования и отсечки перебора

а) Чем алгоритм детектирования неоптимален?

б) Защита от перебора в виде задержки перед приёмом следующего пароля при вводе неверного уже давно написана. Она входит в состав готовящегося сейчас к релизу Radmin Server 3.0. То, что не сделали этого раньше - согласен, недоглядели. Но прямой дырой в безопастности это считать нельзя. Да и пользователям надо голову на плечах иметь и не ставить в качестве пароля словарные слова.

К тому же, длина пароля Радмина - от 8 до 100 символом. Пароль меньше 8 символов установить невозможно. Не уверен, что пароль из 8 символов можно подобрать по словарю за сутки (через Интернет, т.е. надо учитывать ещё и двойное время PING`а). Так что, скорее всего, на тех взломанных компьютерах, где был провёрнут такой трюк, пароль Радмина был совсем простым - что-то из серии "12345678", "Qwertyui", "zzzzzzzz" или "password".

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

28. "К вопросу о DOS атаках через Radmin"
Сообщение от flicker on 27-Фев-04, 08:21 
> Пароль меньше 8 символов установить невозможно.

r_server /pass:123 /save /silent

Ещё что расскажете?

Cообщить модератору | Наверх | ^

34. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 27-Фев-04, 16:31 
>>Пароль меньше 8 символов установить невозможно.
>r_server /pass:123 /save /silent

>Ещё что расскажете?

Во-первых, не "r_server /pass:123 /save /silent", а "r_server /pass:123 /silence". Ключа silent у r_server.exe нет. Поэтому при выполнении комманды "r_server /pass:123 /save /silent" Radmin Server ничего не сохранит.

Во-вторых, речь шла об установке пароля из GUI Radmin Server.

А если админ внимательно прочитал документацию и разобрался с ключами коммандной строки, то не нужно мешать ему делать то, что он хочет сделать. С коммандной строкой работают не юзеры-новички, которым нужна нянька, а опытные люди, понимающие суть своих действий.

У Радмина есть немало настроек, которые вообще не вынесены в GUI, а доступны только правкой реестра или из коммандной строки. Это сделано намеренно, дабы доступ к ним имел только внимательно прочитавший руководство админ, а неопытный пользователь не мог бы по незнанию поменять чего не следует.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

35. "К вопросу о DOS атаках через Radmin"
Сообщение от stricty email on 27-Фев-04, 17:00 
>Во-вторых, речь шла об установке пароля из GUI Radmin Server.

Нет. Речь шла о самой возможности.

>А если админ внимательно прочитал документацию и разобрался с ключами коммандной строки,

Это Фил отлично сделал, что на Юниксовый форум запостил :) Тут Вы за нос народ не поводите. Если бы да кабы, да был бы BackOrifice Вам конкурентом.

>то не нужно мешать ему делать то, что он хочет сделать.
>С коммандной строкой работают не юзеры-новички, которым нужна нянька, а опытные
>люди, понимающие суть своих действий.

Т.е. по Вашей логике выходит, что программа написана для "idots", но как мы тут уже отмечали от этого идиота не защищена. Забавно, правда?

>У Радмина есть немало настроек, которые вообще не вынесены в GUI, а
>доступны только правкой реестра или из коммандной строки. Это сделано намеренно,
>дабы доступ к ним имел только внимательно прочитавший руководство админ, а
>неопытный пользователь не мог бы по незнанию поменять чего не следует.

Уууу... Shadow Engeene... Да Вам место в вирусной базе...

Cообщить модератору | Наверх | ^

45. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 28-Фев-04, 22:39 
>>У Радмина есть немало настроек, которые вообще не вынесены в GUI,
>>а доступны только правкой реестра или из коммандной строки.
>>Это сделано намеренно, дабы доступ к ним имел только внимательно
>>прочитавший руководство админ, а неопытный пользователь не мог
>>бы по незнанию поменять чего не следует.

>Уууу... Shadow Engeene... Да Вам место в вирусной базе...

Не стоит горячиться. Все настройки, доступные только правкой реестра или из коммандной строки, описаны в документации программы!

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

26. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:58 
>раз уж  сказали "A", то говорите и "Б" , а именно,
>что было сделано на другой части взломанных машин?

На днях выпустим несколько пресс-релизов на эту тему.

>а то скапливаются логи с радмина, явно указывающие на попытки
>подбора пароля по словарю, и становится интересно к чему бы это?

К попытке подбора пароля по словарю.

Если админ оказался настолько умён, что установив себе Radmin Server, задал ему пароль "12345678", "MyPassword", "RadminSecretKey" или вообще пустой, то ему помогут только курсы повышения квалификации.

Давно известно, что установка словарного пароля - прямой путь сделать свою систему уязвимой.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

16. "К вопросу о DOS атаках через Radmin"
Сообщение от Аноним email on 25-Фев-04, 09:28 
> очень хочется, чтобы и DrWeb, и AVK, и NAV,
> etc. говорили "Infected with Trojan.Radmin" при
> нахождении этой программы  на компьютере.

AVP - будет. достаточно подключть доп.базу
(на ftp у них где-то) и ага.

Cообщить модератору | Наверх | ^

17. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:08 
>Предоставленные мною данные достаточно чётко указывали на невозможность
>проведения атаки в общем случае через учётные записи с пустым паролем
>или через расшаренные диски.

Если Вы имеете в виду, что провести атаку через учётные записи с пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться с основами сетевой безопастности.

Cообщить модератору | Наверх | ^

29. "К вопросу о DOS атаках через Radmin"
Сообщение от flicker on 27-Фев-04, 08:29 
>>Предоставленные мною данные достаточно чётко указывали на невозможность
>>проведения атаки в общем случае через учётные записи с пустым паролем
>>или через расшаренные диски.
>Если Вы имеете в виду, что провести атаку через учётные записи с
>пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться
>с основами сетевой безопастности.

В конце концов, я тоже могу начать грубить и советовать Вам ознакомиться с букварём, чтобы в дальнейшем внимательно читать мои письма. Компьютеров с пустыми паролями и беспарольными расшаренными дисками среди взломанных в этот раз -- порядка 3%.

Очень хорошо, что вы решили, наконец, заняться "связями с общественностью".

Cообщить модератору | Наверх | ^

18. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:09 
>Аналитик "Лаборатории Касперского" дал неопределённый ответ,
>основываясь на неполной информации, которая была предоставлена
>ему поддержкой Famatech.

Не могу с Вами согласиться. ЛК была предоставлена вся имевшаяся на тот момент информация. Как Вы могли видеть, вся предыдущая переписка с Вами была напрямую отфорваржена в ЛК. Ответ был вполне определённым: прежде, чем вредоносные программы (одна из которых меняет пароль Radmin Server и отключает защиту нашей программы, изменяя записи в реестре, а остальные начинают DDoS-атаку) эти программы должны были как-то попасть на взломанный компьютер и ничто не указывает на то, что попадали они туда через Радмин.

Cообщить модератору | Наверх | ^

30. "К вопросу о DOS атаках через Radmin"
Сообщение от flicker on 27-Фев-04, 08:38 
Что же, получите цитату вашего письма. Переслали ли вы аналитику Касперского листинги файловых систем со взломанных машин? Или аналитик умудрился не заметить, что эти машины вовсе не заражены упомянутым вирусом?

=== цитата
From: Famatech Support
==============
Предлагаю Вам ознакомиться с ответом Лаборатории Касперского (ниже). Вывод:
диск взломанной машины не был защищён, благодаря чему злоумышленник
скопировал (не через Радмин) на него исполняемый файл, который сменил
настройки Радмина и открыл к нему доступ. А также начал DDoS-атаку -
запустив уже другие файлы.

Как KAV, так и Dr. Web детектят rich.exe и tzpy.exe как троянцев.

======================================================
* From: <newvirus@kaspersky.com>?=
* Date: 19 Feb 2004 02:32:48 +0300
* To: <support@famatech.com>
* Subj: RE: Fwd: remote hole in radmin [KLAB-142633]
======================================================

Здравствуйте,

rich.exe && tzpy.exe - маленькие эксплоиты, осуществляющие аттаку на
www.wasm.ru и www.peterhost.ru, соответственно.
С fich.exe ситуация более интересная. Создает в реестре ключ со
значениями:

[HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:62,87,9e,a8,94,d9,76,ac,07,c5,44,e2,a1,ad,de,2b
"EnableLogFile"=hex:00,00,00,00
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00

Не зная подробностей работы RAdmin, можно предположить, что данная
настройка  расшаривает имеющийся RA server, превращая его в бэкдор. Но
ведь сам по себе файл fich.exe должен был как-то попасть на машину еще до
вредной модификации реестра. Каким именно образом это произошло - по
присланным файлам сказать невозможно. Возможно, для загрузки троянов
использовались зараженные I-Worm.Mydoom.a машины (есть эксплоит,
позволяющий загрузить И выполнить на зараженной машине небольшой файл.
Ситуация очень похожая).

pS/ будут детектиться: DDoS.Win32.Dword, Trojan.Win32.Rashar

--
С уважением, Шевченко Алиса
Вирусный аналитик
ЗАО "Лаборатория Касперского"

Тел.:: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com

From: Famatech Support
>>  Attachment: exe.rar
Уважаемые господа!
В аттаче (exe.rar) запакованы при файла, которые пользователь прислал
(см.
цитату ниже) с комментариями, что это троянцы, копируемые на
взломанные
компьютеры посредством выпускаемой нашей компанией программы
удалённого
администрирования (www.radmin.com). Передаю на ваш анализ файлы,
заподозренные в их троянской сущности.
Прошу заметить, что в различных онлайновых форумах действительно уже
появились жалобы от пользователей на появление файлов "tzpy.exe",
"tzpf.exe", "ric1.exe", "rich.exe".

===конец цитаты

Cообщить модератору | Наверх | ^

44. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 28-Фев-04, 22:36 
>Переслали ли вы аналитику Касперского листинги
>файловых систем со взломанных машин?

Это было невозхможно по той простой причине, что ответ из Kaspersky Lab пришёл ещё до того, как Вы прислали листинги файловых систем со взломанных машин. Если Вы считаете это необходимым - перешлите им листинги. Разумеется, ответ Kaspersky Lab будет интересен и нам. Хотя должен заметить, что в листингах был учтён только один раздел HDD, а на взломанных машинах их вполне могло быть и больше. Откуда известно, что MyDoom.A не жил на диске D?

Cообщить модератору | Наверх | ^

49. "К вопросу о DOS атаках через Radmin"
Сообщение от flicker email on 29-Фев-04, 21:44 
MyDoom.A живёт в файле %System%\TASKMON.EXE. Практически все современные вирусы тоже предпичитают системные каталоги.
Cообщить модератору | Наверх | ^

19. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 26-Фев-04, 23:10 
>Как можно видеть, служба технической поддержки
>усиленно пытается "замазать" проблему, не решая
Опять же, не могу с Вами согласиться. Во-первых, никто и нигде так и не описал конкретную методику взлома Радмина. Всё сводится к "есть основания предполагать, что в системе защиты программы Radmin имеется брешь, которой легко воспользоваться для взлома удалённой системы" - и никакой конкретики. Вы покажите пальцем на ту якобы багу, которую нам надо фиксить - будет что обсуждать.
Cообщить модератору | Наверх | ^

40. "К вопросу о DOS атаках через Radmin"
Сообщение от Rippy on 28-Фев-04, 14:53 
Это тоже ничего не доказывает, но стали появляться в логах попытки TCP коннекта на 4899 порт. К чему бы это? (ОС не Windows-based)
Cообщить модератору | Наверх | ^

41. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 28-Фев-04, 22:23 
>Это тоже ничего не доказывает, но стали появляться в
>логах попытки TCP коннекта на 4899 порт.

На самом деле по другим портам пытаются вломиться не реже. Установив firewall, настроив его, а затем подождав недельку-другую и заглянув в его логи, Вы, скорее всего, увидите сотни попыток незаконно проникнуть в вашу систему.

>К чему бы это? (ОС не Windows-based)

К тому, что горе-взломщики не в курсе, что r_server.exe - исключительно Win-приложение? Мне такое предположение кажется вполне естественным.

Мне не известен какой-либо другой софт, работающий по этому порту. А если и работает - это уже не к нам... Вообще-то этот порт "зарегистрирован" на автора Радмина.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

54. "К вопросу о DOS атаках через Radmin"
Сообщение от Rippy on 01-Мрт-04, 16:32 
>На самом деле по другим портам пытаются вломиться не реже. Установив firewall, настроив его, а затем подождав недельку-другую и заглянув в его логи, Вы, скорее всего, увидите сотни попыток незаконно проникнуть в вашу систему.

Установлен и настроен. Я к тому, что после Msblast'а усиленно стал появляться 135, после Mydoom - 3127. Щас стал проскакивать 4899. Я в курсе, что порт зарегистрирован на RAdmin. Просто раз идет скан, значит это кому-то нужно? А у кого-нибудь еще есть в логах 4899 порт?

Cообщить модератору | Наверх | ^

31. "К вопросу о DOS атаках через Radmin"
Сообщение от Solo email on 27-Фев-04, 10:40 
> Вы покажите пальцем на ту якобы багу, которую нам надо фиксить - будет что обсуждать.

есть возможность получить доступ к машине с радмином в момент выполнения команды "завершение работы"...

Cообщить модератору | Наверх | ^

42. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 28-Фев-04, 22:24 
>есть возможность получить доступ к машине с радмином в
>момент выполнения команды "завершение работы"...

Пожалуйста, сообщите подробности на адрес radmin@radmin.com. Если подтвердится - будем фиксить.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

Cообщить модератору | Наверх | ^

32. "К вопросу о DOS атаках через Radmin"
Сообщение от Defender email on 27-Фев-04, 11:34 
Radmin очень удобная программа как для админов, так и для взломщиков систем. С этим спорить трудно - функции работы тех и других категорий людей очень схожи. Но убедительных доказательств наличия дыры именно в модулях Radmin'a я не вижу. Использую его уже очень давно, практически с первых версий и при прямых руках проблем с ним нет. За что огромное спасибо разработчикам.

С ув. Владимир.

Cообщить модератору | Наверх | ^

33. "К вопросу о DOS атаках через Radmin"
Сообщение от BD email on 27-Фев-04, 14:42 
Ну у меня подбирали пароль к RAdmin, за сутки ~2000 попыток - проба каждые ~5 сек - и не подобрали.
Вообще конечно странно, что настолько потенциально опасная программа не имеет защиты от перебора пароля, которую имеет скажем не самый навороченный FTP сервер (с задержкои и баном долбящегося IP)
Cообщить модератору | Наверх | ^

70. "К вопросу о DOS атаках через Radmin"
Сообщение от Strategist on 30-Дек-04, 02:16 
>Ну у меня подбирали пароль к RAdmin, за сутки ~2000 попыток -
>проба каждые ~5 сек - и не подобрали.
>Вообще конечно странно, что настолько потенциально опасная программа не имеет защиты от
>перебора пароля, которую имеет скажем не самый навороченный FTP сервер (с
>задержкои и баном долбящегося IP)


слуш а с помошью какой проги подбирали, ты знаешь???

Cообщить модератору | Наверх | ^

36. "К вопросу о DOS атаках через Radmin"
Сообщение от Артур Бойко email on 27-Фев-04, 19:36 
Не слукшайте ни кого, они все ничего не понимают.
RAdmin самая защищення программаю Аргусенты : люди работающие в  фирмах Касперского и Данилова уже 4 дня не могут понять принцеп его работы ПОЗОР !!!! ЭТИ ОБМАНЩИКИ ПЫТАЮТСЯ ЗАЩИЩАТЬ ВАС ОТ .......??????????????????
Cообщить модератору | Наверх | ^

37. "К вопросу о DOS атаках через Radmin"
Сообщение от helper email on 28-Фев-04, 05:18 
.....зато ты смог разобраться. ;-) ай маладца arturik!!! %-)


Cообщить модератору | Наверх | ^

43. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 28-Фев-04, 22:32 
Разобраться? Вряд ли. Деассемблирование (а это дело вообще-то подсудное), а потом - copy&paste. И модификации GUI.

Это, конечно, только предположение и вообще IMHO. Но на данный момент подозреваем именно такую методику создания RNimda.

Конечно, код у нас защищён, а протокол - с шифрованием, но вполне можно было найти старые версии Радмина, в которых шифрование было отключаемым, а защита кода - в начальной стадии, и работать с ними. Разумеется, мы старые версии Радмина не распространяем и рекомендуем пользоаться только последней...

Cообщить модератору | Наверх | ^

56. "К вопросу о DOS атаках через Radmin"
Сообщение от Solo email on 02-Мрт-04, 11:07 
зря Вы думаете, что ардурик что-то дизассемблировал. Скорее всего брал готовое и слепливал вместе...
Cообщить модератору | Наверх | ^

58. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 02-Мрт-04, 19:54 
>зря Вы думаете, что ардурик что-то дизассемблировал.
>Скорее всего брал готовое и слепливал вместе...

Где же он взял исходники нашей программы?

Cообщить модератору | Наверх | ^

59. "К вопросу о DOS атаках через Radmin"
Сообщение от Solo on 02-Мрт-04, 23:35 
так приводился же на Вашем форуме адрес какого-то готового клиента под радмин, писанного посторонним человеком... Наверняка и исходники его существуют в досягаемости...
Cообщить модератору | Наверх | ^

60. "К вопросу о DOS атаках через Radmin"
Сообщение от Ilia Demenkov email on 03-Мрт-04, 14:03 
>так приводился же на Вашем форуме адрес какого-то готового клиента
>под радмин, писанного посторонним человеком...

Это как раз и была Remote Nimda!

Cообщить модератору | Наверх | ^

61. "К вопросу о DOS атаках через Radmin"
Сообщение от Solo email on 03-Мрт-04, 15:56 
> Это как раз и была Remote Nimda!

Так кто ж спорит?
Я ж говорю, что не ардурик автор этого всего. Или есть другие данные?

Cообщить модератору | Наверх | ^

64. "К вопросу о DOS атаках через Radmin"
Сообщение от Arturik on 04-Мрт-04, 09:24 
У меня есть другие данные - ваша стратегия тухлая.
Давить на самолюбие у таких людей бесполезно.
Судя по стилю твоего письма вы с анестом под одеялом частенько в ... играете. Этот инструмент мне надоел - ждите следующего прихода :))))))
Cообщить модератору | Наверх | ^

65. "К вопросу о DOS атаках через Radmin"
Сообщение от Solo email on 04-Мрт-04, 14:27 
> Этот инструмент мне надоел - ждите следующего прихода

что, деньги на пиво у дурика опять появились?

> ...под одеялом частенько...

Такая озабоченность явно выдает больного человека...

Cообщить модератору | Наверх | ^

62. "К вопросу о DOS атаках через Radmin"
Сообщение от Артур Бойко email on 03-Мрт-04, 17:43 
У меня есть предположение что работники Касперского и Данилова имеют отношение к созданию I-Worm.Mydoom. А Arturik им помогает.
Cообщить модератору | Наверх | ^

66. "К вопросу о DOS атаках через Radmin"
Сообщение от Артур Бойко email on 04-Мрт-04, 17:55 
Кстати насчет болезней. Видел по телику Е Касперского он вроде тоже больной - очень харктерная прическа у него. Все кто имеет дело с вирусами - больные ха-ха-ха.
Cообщить модератору | Наверх | ^

57. "К вопросу о DOS атаках через Radmin"
Сообщение от Артур Бойко email on 02-Мрт-04, 12:31 
Кто-то удалил мое вчерашнее сообщение. Между прочем, единственно что там было написано это то что у Касперского и Данилова работают слабаки. Так ведь это правда вроде бы уже неделя прошла, а воз и ныне там.
П О З О Р И Щ Е ! ! !  
Cообщить модератору | Наверх | ^

46. "К вопросу о DOS атаках через Radmin"
Сообщение от Аноним email on 29-Фев-04, 10:53 
Ну хорошо... В конце концов за Гостём, Артуриком или как его там приедут... За wasm, reversing, Взор я бы ему сам я..ца на уши одел бы...

Но почему он хочет дискредитировать именно RAdmin?
Это официальный вопрос к famatech. Только не говорите, что не знаете. Если инфа закрытая - так и скажите плз.

Cообщить модератору | Наверх | ^

55. "К вопросу о DOS атаках через Radmin"
Сообщение от BD on 02-Мрт-04, 02:35 
Чисто IMHO.
Да потому что очень распространенная у нас в постСССР программа, плюс ставят её многие без инсталятора, через r_server /setup - и дистрибутив иметь не надо - только 3 файла, сам честно говоря так делал не раз, только при таких раскладах пароль нужно менять тут-же т.к. он пустой. Плюс маленький он, да и ставится как я уже сказал на раз, если есть возможность получить доступ к машине иными способами проще всего внедрить туда именно RAdmin.
Cообщить модератору | Наверх | ^

63. "К вопросу о DOS атаках через Radmin"
Сообщение от Аноним email on 03-Мрт-04, 22:16 
Позновательно и очень заманчиво !!!!
Cообщить модератору | Наверх | ^

68. "К вопросу о DOS атаках через Radmin"
Сообщение от Rostik email on 21-Май-04, 22:44 
RAdmin cool forever:))
В хаке компов виноват администратор.
Может кто подскажет, как дешыфровать пароль RAdmina, в
HKEY_LOCAL_MACHINE\SYSTEM\ RAdmin\v2.0\Server\Parameters="Parameter"?
Cообщить модератору | Наверх | ^

71. "уязвимость ограничения прав на файлы/папки через Radmin"
Сообщение от Аноним on 07-Фев-06, 11:37 
в принципе если на машине установлен радмин-сервер и авторизация только через пароль(не через NT security), то в режиме доступа к файлам он плевать хотел на ограничения доступа к файлам/папкам по аккаунту.
если кто не понял - поясню!
на машине юзер vasya создал себе папочку и сказал что All user ничего не могут с ней делать, а себе выставил Full control
если юзер petya заходит на машину под своим логином, он не может ничего сделать в васиной папке, а если он зайдет с помощью радмина-в-режиме-работа-с-файлами, то пожалуйста!!!

ИМХО и вообще это ограничение в виндах было всегда слабым... например вы когда нибуть слышали про Win XPX Live CD ? )))))))

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру