-
трафик през порт 2869
Вече около две седмици компютърът ми генерира изходящ мрежови трафик в обем от около 20Mb и входящ от около 150 Mb дневно (за 9-10 часа работа). Сървисът е SVCHOST, който слуша порт 5000 и изпраща на порт 2869.
1. Компютърът е Notebook HP-Compaq nx9010, с Win XP-SP1 (и всички ъпдейти към 15.09.2003). Обикновено вървят и Apache 2.0, YahooPOPs, ICQ Lite, Desease Popper (network chat) и NAV, но и при спирането им (без NAV) резултатът е същият.
2. Антивирусно сканиране с NAV (дефиниции от 10.09.2003) и Panda не открива нищо.
3. На рутъра - Win XP-SP1 (и всички ъпдейти към 15.09.2003), е инсталиран ZoneAlarm 4.0.146.029.
4. При инсталиране на ZoneAlarm на ноутбука успешно забранявам изходящия трафик през порт 2869, но след около 5-6 мин. компютърът забива. При опит за блокиране на входящия трафик от 2869 на рутъра нищо не се променя.
5. При физическо прекъсване на Интернет-връзката (на рутъра) трафикът изчезва.
6. При работещи всички изброени по-горе приложения има стартирани 4 svchost процеса, като подозрителният е SYSTEM-процес и заема променлива част от паметта (между 8200 и 8600 Kb)
Може ли някой да ми каже как мога да открия приложението, което използва сървисите на svchost, генерира трафик към порт 2869 и кара компютъра ми да работи със скоростта на Правец 8?
-
трафик през порт 2869
И при мен имаше подобен проблем. AVG 6 откри Worm/Nachi . Премахна го, но пък се появи Worm/Lovsan.A (MSBlast.exe). Премахнах го ръчно (ехе - 6 кв в директория /system32). Сложих и пача за Win2k - Windows2000-KB824146-x86-ENU.exe. и вече от 4 часа нямам проблеми, май (поне не е забивал).
-
трафик през порт 2869
@HGD
С NAV открих на един от другите ноутбуци Welchia (който между другото ликвидира MSBlast). Човекът с този ноутбук не си признава, че е имал MSBlast, ама нещо не му вярвам... Патчът е инсталиран на всички компютри с XP в мрежата.
Що се отнася до Nachi (който също утрепва blast-a), той се помещава в dllhost.exe. Оригиналният dllhost.exe е с размер около 5 Kb, докато този на Nachi е 10240 b. Моят си е ОК. Освен това този worm инсталира 2 сървиса - WINS Client (dllhost.exe) и Network Connections Sharing (svchost.exe), които при мен ги няма...
Така, че не ми е това случаят [:(]. Все пак благодаря за желанието да помогнеш [:)].
-
трафик през порт 2869
В www.data.bg има една програма Hyena 5.2. Ето инфото и:
"Hyena e една доста интересна и забавна програма. Работи в мрежа където са инсталирани Win 2000 или WinXP. С нея може да влизате в не share-нати директории на компютрите по мрежата. Можете да гасите РС-тата, програмите и да прекъсвате процесите на РС-то в което сте влезнали. Има много интересни функции, препоръчвам ви я. Това НЕ Е ТРОЯНСКИ КОН. Състои се само от 1 файл, не е необходим друг за другите РС-та както при троянците."
http://filipov.data.bg/Programs/Hyena 5.0/hyena 5.0c+crack.zip
Чрез нея видях кои програми използват услугата svchost.exe. Тя ИМА и много други плюсове. Виж я!
Name Display Name Status Type Startup Account Dependencies Executable
RpcSs Remote Procedure Call (RPC) Running Service (Shared Process) Manual LocalSystem C:\WINNT\system32\svchost -k rpcss
BITS Background Intelligent Transfer Service Running Service (Shared Process) Automatic LocalSystem LanmanWorkstation;Rpcss;SENS;Wmi C:\WINNT\System32\svchost.exe -k BITSgroup
EventSystem COM+ Event System Running Service (Shared Process) Manual LocalSystem RPCSS C:\WINNT\System32\svchost.exe -k netsvcs
Netman Network Connections Running Service (Shared Process) Manual LocalSystem RpcSs C:\WINNT\System32\svchost.exe -k netsvcs
NtmsSvc Removable Storage Running Service (Shared Process) Automatic LocalSystem RpcSs C:\WINNT\System32\svchost.exe -k netsvcs
RasAuto Remote Access Auto Connection Manager Stopped Service (Shared Process) Manual LocalSystem RasMan;Tapisrv C:\WINNT\System32\svchost.exe -k netsvcs
RasMan Remote Access Connection Manager Running Service (Shared Process) Manual LocalSystem Tapisrv C:\WINNT\System32\svchost.exe -k netsvcs
RemoteAccess Routing and Remote Access Stopped Service (Shared Process) Disabled LocalSystem RpcSS;+NetBIOSGroup C:\WINNT\System32\svchost.exe -k netsvcs
SENS System Event Notification Running Service (Shared Process) Automatic LocalSystem EventSystem C:\WINNT\system32\svchost.exe -k netsvcs
SharedAccess Internet Connection Sharing Running Service (Shared Process) Automatic LocalSystem RasMan C:\WINNT\System32\svchost.exe -k netsvcs
TapiSrv Telephony Running Service (Shared Process) Manual LocalSystem PlugPlay;RpcSs C:\WINNT\System32\svchost.exe -k netsvcs
wuauserv Automatic Updates Running Service (Shared Process) Automatic LocalSystem C:\WINNT\system32\svchost.exe -k wugroup
-
трафик през порт 2869
HGD
Ще я пробваме програмката, само дето crack-а не е за нея.
От написаното, ми се струва, че е за версия 5.0
А тази е 5.2с
Намерих работещ за нея.
Ако някой иска, ще му го кача някъде.
Малко съмнителен е алгоритъма, по точно странен, но проработи [keygen-а].
Първо се въвежда информацията, patch-ва се [в инсталационната директория], след това при поискване на рег. информация се въвежда тази, с която си patch-нал. Така, че е добре да се запомни или запише какво точно си въвел и какво е генерирано.
-
трафик през порт 2869
Съжалявам Malone, но не съм опитал да я регистрирам. Благодаря за корекцията - прав си. Засега и така ми върши работа - neregistrirana. А за рагистрацията - има си достатъчно сайтове за кракове, хакове и др.
-
трафик през порт 2869
Hmm... Interesno zvu4i taq Hyena. 6te q probvam
-
трафик през порт 2869
А върши ли цялата тази работа, която са написали и на какъв принцип след като не е троянски кон и се състои само от клент без сървър т.е. не е и програма за отдалечено управление?
-
трафик през порт 2869
Поне аз не установих да прави това, което е написано.
Може би аз не правя нещо както трябва.
HGD при теб как е?
Имам достъп само до шернатите ресурси. До другите нямам.
При опит за рестарт на отдалечената машина дава съобщение за грешка.
Нито една от сервизните или административни възможности на програмата не работи за отдалечен компютър.
HGD, искаш ли keygen-a, че ми се струваш нещо обиден.
Ти не си длъжен да знаеш, че keygen-а не работи. Не те критикувам...
Ако сайта е твоя просто качи работещия.
-
трафик през порт 2869
Здравей Malone, сайта не е мой. Не съм обиден на никого. Аз го тествах само на Win2k мрежа и си работи нормално. На ХР може и някои неща да не работят. Не знам, още не съм опитал в такава мрежа. Ако си администратор на мрежата, всичко си работи (то пък ако беше админ щеше ли да ти трябва тази програма :)). При използване с цел хакване, би трябвало да се изпирват определени трудности - ТОВА НЕ Е ХАКЕРСКИ ИНСТРУМЕНТ, а инструмент който да олесни живота на Админа.
Това са си само мои разсъждения. Може и да не са напълно верни :).
Опитай да си поиграеш с настройките на програмата, а и с десния бутон на мишката.
А по повод темата за порт 2869 - едни приятел спомена, че има подобно червейче с троянски наклонности, но не помни точните портове. :) Опитай с някои по-неизвестни антивирусни програми, но мисля че и КАV ще свърши работа. NAV не е най-доброто решение, а най-популярното.
-
трафик през порт 2869
Програмчето ползва SMB Pass Bug :)
При опит за свързване със шернат ресурс win хоста изпраща паролата в зашифрован вид на клиента :), и тази програма го разшифрова.
Макар че аз съм го пробвал само за 98, явно има подобен проблем и в ХР
-
трафик през порт 2869
@HGD
Благодаря за програмката! От около час вече се боря с нейна помощ, но засега без резултат. Имам 31 работещи в момента инстанции на svchost и всички имат "легитимно" на пръв поглед описание (и поведение). Сега ще почвам един по един да ги спирам (на първо време само тези, които нямат dependencies), за да видя кой от тях се ползва от червейчето. За съжаление не успях да разбера (нито чрез Hyena, нито по друг начин) кой процес ползва съответните сървиси.
Не знам дали е за съжаление или не, но от сутринта мрежовият ми трафик е общо 15 Mb - нещо червейчето се е прибрало в дупчицата си и не се показва [:)]. Да му се не види! Две седмици ме тормози и след като се оплаках се покри. Може би отворкото от другата страна на линията си е изключил компа, знам ли... Или пък му е станало съвестно след като ми е прочел post-а [:)].
@Malone
При мен също по принцип не позволява да ползвам ресурси, които не са шернати, НО - пусна ме като у дома в router-a(?!?): C:\, Users, Services - всичко! А той на всичкото отгоре е и с firewall. Вярно, че съм му trusted network, ама не е редно... Сега ще пробвам при разрешен Guest-account каква е случката при другите компютри...
@suren
Това си Е програма за отдалечено управление, независимо че не инсталира клиентски модул - просто ползва NT сървиси (RPC).
@klamer
Кое "програмче" ползва SMB Pass Bug? Какъв е тоя bug? След като се знае, че е bug, няма ли "кръпка"?
Продължавам да се боря. Всякакви предложения са добре дошли. Пак благодарности на HGD [:)]
-
трафик през порт 2869
HGD
Радвам се.
Не, не искам да тровя никого, нито пък да хаквам някого от общата ни приятелска мрежичка. После ще има The Enemy Strike Back и така до безкрайност. За други мрежи нямам толкова изразени скрупули.
Просто ми е интересно да си видя грешката, ако аз правя някаква.
В мрежата има всякакви OS, ще търся някаква закономерност.
-
трафик през порт 2869
Всъщност това не е бъг а е "Вискотехнологично решение за вашите мтежови проблеми..."
Лично съм се убедил в това като съм използвал smbclient пачнат с http://void.ru/cgi-bin/fget?/files/backrush.tgz и съм се свързвал с 98 без да знам паролата
Повече по въпроса:
http://lists.insecure.org/lists/bugt.../Jan/0224.html
http://www.securitytracker.com/alert...r/1006608.html
Не съм срещал машина с 98 да откаже достъп :)), така че не знам дали има патч за 98, а на ХР не съм го пробвал
-
трафик през порт 2869
SMB бъга на Windows 9х се решава с патч Q273991
http://support.microsoft.com/default...NoWebContent=1
klamer: след като се сложи този патч трудно ще влезеш в share-ната папка без да знаеш паролата.