Ambulanta i izvestaj

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Zanima me da li u neku ruku log fajl moze da bude opasan zato sto svi mogu da ga vide?
Posto kada se log okaci moze da se vidi mac adresa,ip adresa i td.
A imam jos jedno pitanje danas mi se 2 put desava kada kliknem na nove poruke iz svih foruma pocne da mi skida fajl "getdaily.php"

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

MAC adresa se ne vidi dok je prikazana IP adresa IP adresa u lokalnoj mreži.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa koliko vidim ovde se lepo vidi mac adresa ?
Ethernet adapter Hamachi:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Hamachi Network Interface

Physical Address. . . . . . . . . : 7A-79-19-5D-7F-F0

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : No

IP Address. . . . . . . . . . . . : 25.93.127.240

Subnet Mask . . . . . . . . . . . : 255.0.0.0

Default Gateway . . . . . . . . . :

DHCP Server . . . . . . . . . . . : 25.0.0.1

Lease Obtained. . . . . . . . . . : Sunday, August 11, 2013 10:05:37 AM

Lease Expires . . . . . . . . . . : Monday, August 11, 2014 10:05:37 AM



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Atheros AR8132 PCI-E Fast Ethernet Controller

Physical Address. . . . . . . . . : 8C-89-A5-6E-29-7F

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

IP Address. . . . . . . . . . . . : 192.168.7.141

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.7.1

DHCP Server . . . . . . . . . . . : 192.168.7.1

DNS Servers . . . . . . . . . . . : 10.10.2.79

10.10.2.69
e sad za ip nisam siguran ali evo:
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.7.1 192.168.7.141 20
25.0.0.0 255.0.0.0 25.93.127.240 25.93.127.240 20
25.93.127.240 255.255.255.255 127.0.0.1 127.0.0.1 20
25.255.255.255 255.255.255.255 25.93.127.240 25.93.127.240 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.7.0 255.255.255.0 192.168.7.141 192.168.7.141 20
192.168.7.141 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.7.255 255.255.255.255 192.168.7.141 192.168.7.141 20
224.0.0.0 240.0.0.0 25.93.127.240 25.93.127.240 20
224.0.0.0 240.0.0.0 192.168.7.141 192.168.7.141 20
255.255.255.255 255.255.255.255 25.93.127.240 25.93.127.240 1
255.255.255.255 255.255.255.255 192.168.7.141 192.168.7.141 1
Default Gateway: 192.168.7.1

Niste mi odgovorili sta je sa ovim fajlom "getdaily.php" sada sam probao i ne preuzima vise taj fajl.

• 5Ovo se svidja korisnicima: ivance95, _Sale, Aco, Ljilja Hnovi, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Da su nasi alati dizajnirani da ugrozavaju bezbednost i privatnost korisnika, nikada se ne bi nasli na arsenalu Ambulante i na forumima nasih kolega ( slicni strani forumi gde se koriste isti ti alati ) i same po sebi bi bile malicniozne.

Hakovanje kakvo ti poznajes je moguce samo u filmovima. To sto si postavio je simulacija ipconfig programa u konzoli windowsa sa komandom /all
cmd > enter > ipconfig /all > enter

Logovi max sto mogu da prikazu jeste IP adrese tvojih racunara u tvojoj lokalnoj mrezi MAK adrese tih uredjaja (dolazi u paketu sa gore navedenom komandom) i IP adresu koju trenutno imas koju ti je dodelio provajder iz njegovog opsega IP adresa koju on dodeljuje korisnicima. Sto znaci ako te neko trazi po IP adresi, ne nalazi tebe ili tvoj racunar vec provajdera, jer taj opseg IP adresa je on zakupio i pripadaju njemu. Provajder ih tebi samo iznajmljuje.

Primer za objasnjenje:
Hakovanje se najcesce vrsi ubacivanjem exploita u racunar. Moze doci i preko raznih c_r_a_c_k programa koje skidate...itd. Primera radi, tamo neki zli cikica na neki nacin te natera prevarom da izvrsis njegov file, ( primer, pise c_r_a_c_k for Windows 8 ) a u pozadini se postavlja njegov izvrsni file. Komp radi super, sve strava dok Facebook radi kako treba, a taj zli file u pozadini pokusava da kontaktira svoj server i koristeci exploti ( neku rupu u sistemu ) haker izvrsi neki okdac/naredjenje koje taj zli file cita i tako haker ima kontrolu nad tvojim CMD-om ( npr. ) ti toga nisi svestan a on preko CMD-a moze bukvalno da radi sta hoce.
Ili recimo haker moze da iskoristi tvoj racunar zajedno za ostalih 10.000 istih na isti nacin inficiranih racunara pa da u odrejdeno vreme i u odredjeno mesto izvrsi komandu i izvrsi DDoS napad na neki site npr. u nameri da serveri tog sajta "puknu". To je u stvari ono sto zovu "zombi racunari". Ti toga kao user nisi svestan naravno, a AV je miran i ispisuje sve zeleno "You are protected" ...etc

Exploti se redovno pronalaze i krpe od strane Microsofta.

Nasi alati su dizajnirani da izlistaju svaki loading point ( startovanu tacku ili nesto sto startuje program ) jer iste te tacke moze iskoristiti neki malware. Oni ne razaznaju legitimno od malicioznog, na nama je da to analiziramo. Takodje, nasi alati izlistavaju novokreirane fajlove i modifikovane fajlove koje se nalaze na sistemu. Zasto?

Primera radi ako je neko ubacio neki exploti u racunar ( recimo neki file ) on mora biti negde smesten. Ako je to nesto novo napravljeno, AV ga verovatno nece detektovati, ti mislis da ti racunar radi savrseno. Alati u Ambulanti nam omogucavaju da detektujemo takve fajlove, unose ...etc.

Ovo je sve ukratko, naravno.

• 3Ovo se svidja korisnicima: Srki94, morando, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Milsim da daksi990 nema ništa protiv alata koji su u ambulanti, nego zbog toga što rezultat rada tih alata stoji dostupan svakome, a ne samo članovima AMF tima.

Ispravi me ako grešim, ali lista aplikacija, drajvera, servisa i ostalih izvršnih datoteka + IP adresa koja je kod nekih korisnika statična, omogućava čak i hakerima početnicima da iskoriste propuste poznatih aplikacija.

Zar ne bi bilo mnogo sigurnije da rezultate dobijaju samo članovi koji će raditi na rešavanju problema?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:Ispravi me ako grešim, ali lista aplikacija, drajvera, servisa i ostalih izvršnih datoteka + IP adresa koja je kod nekih korisnika statična, omogućava čak i hakerima početnicima da iskoriste propuste poznatih aplikacija.

Nema tu ali bukvalno niceg kompromitujuceg.

Za IP adresu je magna86 lepo objasnio, sve sto moze da vidi to je ime provajdera, tacka.
Ovo oko aplikacija, drajvera ... ne razumem kako neko moze da zloupotrebi takve podatke.

Razlog zasto insistiramo da logovi uglavnom budu pastovani i zasto pisemo skripte u code tagu a ne prilazemo gotove, je taj sto Google sve pamti, pa je tako lakse svima koji se bave ovom tematikom da pretrazuju malware na google-u, prosto receno.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Dobro sto se tice logova problem je razjasnjen.Ali i dalje nisam dobio odgovor za fajl : getdaily.php
Da li je to samo kod mene bio problem ili se to jos nekom desilo?

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Napisano: 12 Avg 2013 17:08

Argus je vec ukratko objasnio, ja cu postovati poruku da mi ne "propadne".

Citat:Milsim da daksi990 nema ništa protiv alata koji su u ambulanti, nego zbog toga što rezultat rada tih alata stoji dostupan svakome, a ne samo članovima AMF tima.


Nisam ja rekao da on ima bilo sta protiv nasih alata, ja samo pojasnjavam.
Ovakav rad, kopiranje logova u poruku doslo je pravilnikom ASAP ( a isto vazi i za UNITE ) uniju foruma.

Citat:Zar ne bi bilo mnogo sigurnije da rezultate dobijaju samo članovi koji će raditi na rešavanju problema?

Generalno, svima bi bilo lakse da se izvestaji formiraju u HTML file pa da ih helper odatle gleda kao sto radi ruski AVZ Antiviral Toolkit. On izvestaj formira u takav jedan file. Mislim da su sami developeri odlucili na vecu da se logovi iskljucivo postuju na forum, a scripting da se postavlja u code-tagu.
Razloga je mnogo, recimo da je zbog toga da bi drugi helper koji nije clan Malware Removal tima imao uvid u log, maliciozne unose koje alati citaju i scripting za te unose.

Koliko smo puta samo mi clanovi AMF tima prikupili informacije o novim unosima koje prave nove infekcije za koju jos do sad nismo videli, pa su te informacije prosledjene developerima tih alata da bi ih isti usavrsili. Isto tako vazi i za njih. Koliko puta je otkriven i prijavljen neki novi malware, pa je ta informacija prosledjena u ASAP i UNITE forume, i te iste informacije mi prenosimo kod nas za nas AMF Tim. I u 90% slucajeva uvek smo brzi od AV kompanija. Oni tek kasnije usavrse svoj program ...
Takodje, predstavnici AV kompanija takodje predaju informacije o nekom novom malware-u ukoliko oni nalete prvo itd ... sve to je doslo ASAP pravilnikom i mi to postujemo.

Takodje, studenti sirom security foruma dobivaju zadatke da u lekcijama pronadju razne maliciozne unose i postave ih u svojoj ucionici. Isti je princip i kod nas.
Generalno, celu tu uniju foruma vode developeri tih alata, a neki od njih rade i za antivirus kompanije.

Kao sto vidis, cela ta prica je malo sira i dublja.
Citat:Ispravi me ako grešim, ali lista aplikacija, drajvera, servisa i ostalih izvršnih datoteka + IP adresa koja je kod nekih korisnika statična, omogućava čak i hakerima početnicima da iskoriste propuste poznatih aplikacija.

Ne vidim iskreno kako bi to moglo biti kompromitujuce. Onaj ko zeli da sazna trenutne poznate exploite postoji mesta na googlu gde se tako nesto moze otkriti. A i ako neko moze da iskorisit to, potrebno je "doci" do tog racunara. Moje licno misljenje jeste da je ovaka nacin razmisljanja paranoja.

U 80% slucajeva user je sam kriv za infekciju. Skida ili klikce tamo gde ne treba ne vodeci racuna kuda taj link zaista vodi ( lazan URL ), zeleci da vidi golu tetu ili nesto slicno ... ignorise sva upozorenja jer zeli da vidi to nesto.

Primer kako to izgleda samo sa avast strane. Svaka AV kompanija ima ovaj spisak dostupan. Ovo su zakrpljeni exploiti.
http://www.avast.com/exploit-protection.php

Kao sto rekoh, dijagnosticki alati nam uglavnom prikazuju loading point citajuci iz registry-ja, i listajuci novokreirane fajlove i foldere. Dodatni alati zalaze nesto dublje ( AntiRootkit alati zalaze na nivo kernela ) ...etc

Dopuna: 12 Avg 2013 17:08

daksi990 ::Dobro sto se tice logova problem je razjasnjen.Ali i dalje nisam dobio odgovor za fajl : getdaily.php
Da li je to samo kod mene bio problem ili se to jos nekom desilo?

Za ovo ce morati neko drugi da ti odgovori.

• 3Ovo se svidja korisnicima: Srki94, magna86, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Sve što ste napisali ima smisla i nemam ništa protiv, ali i dalje mislim da objavljivanje IP adrese nije najsrećnije rešenje.

Uzmimo primer... moj server ima statičnu IP adresu preko koje je direktno povezan na internet. Preko te IP adrese napadač može bez problema da dođe do mog računara. Ako uz to vidi da imam instaliran i pokrenut recimo neki stari IIS koji ima propuste, vrlo lako može da iskoristi taj propust i da iskoristi moj server i brzu internet konekciju u svoje svrhe, pre nego što dobijem pomoć od nekog.

U svakom slučaju se slažem da objavljivanje logova na trenutni način ima više prednosti nego mana

• 3Ovo se svidja korisnicima: Srki94, Srki_82, mcrule
  
  Registruj se da bi pohvalio/la poruku!

OK staticka. Svaki server mora imati staticku ali nisi napisao da li je ta IP adresa javna adresa ili je to lokalna IP adresa. Razlika je.

IP adresa u lokalnoj mrezi i javna IP adresa koji ti je tvoj provajder dodelio, dve razlicite stvari. Do javne moze doci svako. DHCP Server dodeljuje lokalne IP adrese.
IP adrese u lokalnoj mrezi koje je dodelio ruter i javna IP adresa koju je dodelio provajder su povezani kerberosom ( veza izm. rutra i provajdera ) i nije moguce ostvariti malicioznu radnju znajuci IP adresu racunara ( lokalnu IP adresu )
IP adresu ( staticku ili dinamicku ) mora imati svaki racunar / server. Ali svi oni imaju svoj gateway. Racunarima u domenu gateway je sam server. Uglavnom u kucnoj varijanti to je modem/ruter. Ako "nema" rutera, onda to je provajder. Provajderu su gateway roothintovi.

( Kako srusiti "internet"? Srusiti roothint servere )
DNS upiti koji izvrsavaju prevodjenje imena racunara u IP adrese i obrnuto.
Ja trazim www.google.com.
Moj DNS pita provajderov DNS zna li on sta je to www.google.com
On ne zna, pa provajderov DNS pita roothintove. Prvi roothint razresava tacku u nazivu. Drugi roothint razresava .com .org .edu i .net.
...itd.

Primer: IIS da bi bio kontaktiran od strane korisnika, moras napraviti neki host zapis u DNS-u ( A zapis) ili da ti host zapis upise provajder u svoj DNS. Sta god da kontaktira tvoj sajt, taj neki DNS ce umeti da razresi naziv tvog sajta u IP adresu IIS Servera.


Postoje malware-i koji manipulisu DNS zapisima i na taj nacin kada on zatrazi www.google.com DNS ga ne preusmeri na google vec na tamo neki www.znj.com sajt. I opet da bi to bilo izvrseno mora da postoji file. Zasto ovo pisem?

DDS i proverava samo DNS zapise. Ovo je deo DDS loga sa mog glavnog kompa:
TCP: NameServer = 8.8.8.8 8.8.4.4
TCP: Interfaces\{69DB2C54-F482-4307-BDEC-6E8549B5A912} : DHCPNameServer = 8.8.8.8 8.8.4.4
Na osnovu ovoga, neki haker sve sto moze da zakljuci jeste:
-Koristim Googlov DNS. Ili bi to kod usera bio DNS samog provajdera.

I opet, DDS ne cita TCP/IP vec proverava parametre ovog kljuca:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

MiniToolBox vec sluzi za detaljniju analizu tog tipa ( ipconfig /all) za razresavanje internet problema ali opet to je sve u lokalnoj mrezi.




IP adrese u lokalnoj mrezi koje je dodelio tvoj ruter i javna IP adresa koju je dodelio tvoj provajder su povezani kerberosom i nije moguce ostvariti malicioznu radnju znajuci IP adresu racunara koja ima lokalnu IP adresu.