Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет mumuntu ([info]mumuntu)
@ 2007-09-07 03:26:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Обязательно, обязательно надо было сделать запись про интернет-магазин "Озон".
Вообще-то, я уже неделю собирался написать впечатления человека, ставшего вдруг Windows-админом. Сначала было довольно смешно, особенно, учитывая то, что на вверенном мне оборудовании нашлась какая-то хрень, слушающая порты 6666, 6667, 6668 и 7070. Причем, хрень весьма умная, умеющая скрываться как от netstat, так и от rootkit-детекторов авторства Джоанны Рутковска и прочих достойных людей. Не очень понятно, что эта хрень там хочет услышать, будучи за фаерволлом, но все равно неприятно.
Но, в целом, Windows-оборудование как-то работает, правда, я его разбавил Linux'ом по вкусу.
Да, о чем это я?
Не спится мне сейчас, вот что.
Очень хреновая погода в Петербурге, даже у жены поднялось давление, чего раньше вообще не бывало.
В остальном же все по-прежнему.

(Добавить комментарий)


[info]acat@lj
2007-09-06 19:46 (ссылка)
"какая-то хрень, слушающая порты 6666, 6667, 6668 и 7070" очень похожа на IRC-сервер.... ;-)

(Ответить) (Ветвь дискуссии)


[info]goshen@lj
2007-09-06 19:58 (ссылка)
+1
к тому же netstat по дефолту печатает лишь активные сокеты.
от netstat -le тоже прячется?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 02:35 (ссылка)
Под виндовс это называется netstat -a.
Ну да.
Более того, если сделать с этой машины telnet localhost 6666, то соединение не будет установлено.

(Ответить) (Уровень выше)


[info]alexclear@lj
2007-09-07 02:40 (ссылка)
Это очень хитрый IRC-сервер, он при соединении на эти порты сразу рвет его.
Видимо, он ожидает соединения с каких-то определенных адресов для получения команд.
В общем, у меня тут узел ботнета. Какое счастье, что они не могут посылать ему команды.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 03:22 (ссылка)
Сдается мне, что это всетаки не IRC сервер.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:27 (ссылка)
Это троян ботнетовский.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 03:33 (ссылка)
Понятно. А прибить его?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:44 (ссылка)
Чтобы его прибить, его надо сначала найти.
А как его найти, если его ни один детектор не видит?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 03:48 (ссылка)
Задачка. Я обычно выискиваю незнакомые exe, com, dll и т.п. Ищу в сети чтобы это могло такое быть и грохаю. Но это конечно не самый эффективный метод.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 04:05 (ссылка)
Это без мазы, троян такого класса цепляется к существующему exe-шнику.
Иначе я бы его давно засек.

(Ответить) (Уровень выше)


[info]slavikt@lj
2007-09-07 10:27 (ссылка)
Скажите, а какие бывают детекторы?
А то надо иногда проверить.

(Ответить) (Уровень выше)


[info]metaclass@lj
2007-09-07 03:50 (ссылка)
И эта дрянь прячется даже от руткит-детекторов? Как же с ней тогда бороться, кроме как загрузкой под другой операционкой и анализом содержимого жесткого диска.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 04:06 (ссылка)
Никак.
Как вариант - просто переустановить операционку.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]metaclass@lj
2007-09-07 04:49 (ссылка)
Загрузится в Safe mode и покопаться в реестре или сканером руткитов?
Или даже так - в Safe mode сделать полный список файлов на диске, затем в обычном и сравнить.

(Ответить) (Уровень выше)


[info]juliy@lj
2007-09-06 19:48 (ссылка)
ты стал виндовз-админом? восславим Билла!

(Ответить) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 02:33 (ссылка)
Пусть покоиться с миром прах его.

(Ответить) (Уровень выше)


[info]nostromotm@lj
2007-09-07 02:35 (ссылка)
Алекс какая разница какая платформа? Работать можно и на том и на другом.

Проблемы с Виндой в нюансах лицензионной политики, документированности и цены на продукт. Меня это нисколько не устраивает.

(Ответить) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 02:42 (ссылка)
Хрен знает, как на этом работать.
Под вендой даже OpenVPN автоматически не поднимается при старте, надо хитрый скрипт писать.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 03:00 (ссылка)
НУ это же не софт МС-) У МС вообще с посторонним софтом не очень дела ладиться из за закрытости системы.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:05 (ссылка)
МС-овский VPN вообще не работает, иначе я бы не парился.
Не определяет разрыв соединения, и так далее.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 03:19 (ссылка)
МС`овский VPN не поднимал так как считаю это редкостной ересью. ИМХО cвязка *NIX route -> Win network достаточно правильная.

(Ответить) (Уровень выше)


[info]alexshubert@lj
2007-09-07 03:01 (ссылка)
в автозапуск всунуть ярлык религия не позволяет? :))

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:04 (ссылка)
Какой автозапуск на сервере? Там никто не залогинен.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexshubert@lj
2007-09-07 03:07 (ссылка)
у меня где-то в доках лежал скрипт из одной строки. Там надо было какой-то утилитке передать название vpn-соединения, имя и пароль.
Сань, как ты?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:19 (ссылка)
у меня где-то в доках лежал скрипт из одной строки. Там надо было какой-то утилитке передать название vpn-соединения, имя и пароль.

Прорвемся.

Сань, как ты?

В субботу вроде в отпуск уеду.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexshubert@lj
2007-09-07 03:22 (ссылка)
А я теперича пишу только на Жаве. По уверения Леши, которого я опять вопрошаю, получается не так, чтобы хреново, но близко к тому. Недавно,к примеру, я сваял авторизацию пользователей, чтобы выяснить, что в томкате есть рилмы.

Такие дела. Куда в отпуск-то?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:29 (ссылка)
В Анапу.
Джава это вещь.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexshubert@lj
2007-09-07 03:36 (ссылка)
Вещь, Саня. Но чем дальше знакомлюсь с исходниками и "новым поколением"(tm) тем в большей тоске.

(Ответить) (Уровень выше)


[info]angryxpeh@lj
2007-09-07 05:02 (ссылка)
В винде два автозапуска, один для машины, второй для юзера.
Тебе нужен HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]randir_spb@lj
2007-09-07 13:17 (ссылка)
Автозапускается после входа пользователя, если я ничего не путаю.

(Ответить) (Уровень выше)


[info]nostromotm@lj
2007-09-07 03:20 (ссылка)
Ярлык того же батника?-) С тем же успехом можно задания назначить.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexclear@lj
2007-09-07 03:26 (ссылка)
О, вот это уже интереснее.
Я в форуме читал, что люди делали через задания.
Но как назначить задание "через три минуты после старта"?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]nostromotm@lj
2007-09-07 03:32 (ссылка)
Ни как-))
Кстати не всегда эти задания срабатывают так как ты расчитываешь. И черт знает как они вообще работают. Ман МС`вский по ним порядочно бестолковен.

(Ответить) (Уровень выше)


[info]randir_spb@lj
2007-09-07 13:18 (ссылка)
Можно назначить задание "при старте системы" или "после такого-то времени простоя"

(Ответить) (Уровень выше)


[info]orel_na_vole@lj
2007-09-07 04:15 (ссылка)
Осень-осень. Всёх колбасит

(Ответить)