|
Jak to zrobić na i na jakim sofcie (WRT54GL)...?
|
| zitom |
Dodano 18-09-2006 22:28
|
User
Posty: 10
Dołączył: 14/09/2006 08:45
|
Po pierwsze to chciałem sie przywitac na forum  . Jako ze stałem sie szczesliwym (mam nadzieję) posiadaczem WRT54GL od czasu do czasu bede was nekał pytaniami... ale do rzeczy.
Potrzebuje zdalnie dostawać sie przez VNC do komputera w domu. Przekierowałem port i wszystko dziala OK. Tu nie ma problemu. niestety ostatnio zaliczyłem maly wlam na komp. Wlasnie przez port 5900 (VNC) ktoś z pomocą tftp zapodał mi keyloggera... dalej chyba nie musze opowiadac  Potrzebuje zdefiniowac 1 adres IP dla ktorego port 5900 bedzie otwarty i przekierowany (reszta ma być blokowana). Niestety na oryginalnym sofcie nie daje rady tego zrobic (albo nie wiem jak), ogladalem tez emulator DD-WRT i tez nie znalazlem odpowiednich opcji. Mimo wszystko chciałbym uniknąć instalacji FW w XP... wkoncu jestem za NATem. Jak i w jakim sofcie mozna to zrobic?
pozdrawiam
zitom |
| |
|
|
| stegano |
Dodano 18-09-2006 23:35
|
SysOp
Posty: 1261
Dołączył: 03/03/2006 12:27
|
Rozwiązane jest banalne... ustaw VNC na niestandardowych portach np. 10006.
Asus WL-500gP Tomato 1.06 (RouterQoS_only)
5xLa Fonera DD-WRT v24 (Bridge)
1xLa Fonera DD-WRT v24 (AP-baza)
VoIP - Actio + PAP2T - firmware 3.1.16
Buffalo HS-DHGLBB0 500GB firmware 2.06 beta
Pomocy udzielam jedynie na forach
|
| |
|
|
| bigl |
Dodano 18-09-2006 23:36
|
Maxi User
Posty: 997
Dołączył: 17/05/2006 00:12
|
Nie widziałem takiej możliwości w żadnym sofcie - przynajmniej na WWW.
Oczywiście router ma Linuxa w środku także możesz to zrobić pisząc odpowiednie reguły do firewalla (polecenie iptables). Takie coś możesz zrobić właściwie w każdym popularnym alternatywnym FW. Wystarczy tylko odpowiednia reguła. Ale nie szukaj tego w opcjach na WWW bo tego tam nie ma.
PS. A jak wykryłeś tego keyloggera?
Edytowany przez bigl dnia 18-09-2006 23:36
|
| |
|
|
| stegano |
Dodano 18-09-2006 23:44
|
SysOp
Posty: 1261
Dołączył: 03/03/2006 12:27
|
@bigl - pisałem już o tym na cc
http://cc-team.org/index.php?name=new...s&show=951
Niezły kwas... do tej pory większość maszyn pod zdalną kontrolą vnc podatna jest na znanego exploita :] Dlatego zawsze namawiam wszystkich na zmienianie domyślnych portów na jakieś kosmiczne B)
Edytowany przez stegano dnia 18-09-2006 23:48
Asus WL-500gP Tomato 1.06 (RouterQoS_only)
5xLa Fonera DD-WRT v24 (Bridge)
1xLa Fonera DD-WRT v24 (AP-baza)
VoIP - Actio + PAP2T - firmware 3.1.16
Buffalo HS-DHGLBB0 500GB firmware 2.06 beta
Pomocy udzielam jedynie na forach
|
| |
|
|
| zitom |
Dodano 19-09-2006 09:32
|
User
Posty: 10
Dołączył: 14/09/2006 08:45
|
Cytat stegano napisał/a:
Rozwiązane jest banalne... ustaw VNC na niestandardowych portach np. 10006.
hmm... w sumie to sie nie znam.. ale skanując porty mozna chyba znalezc, że otwarty jest 10006? Wlam byl nie bezposrednio przez VNC (pzrzejecie kontroli nad pulpitem) - tylko przez port wykorzystywany przez w/w program (5900). Gosciu przeskanowal mi porty, akurat znalazl otwarty 5900 i za pomocą jakiegoś np.TFTPD32 - skopiował mi keyloggera na dysk... Tak więc nie do końca zmiana portu załatwia sprawe... No chyba źle to interpretuje
pozdro
zitom |
| |
|
|
| zitom |
Dodano 19-09-2006 09:45
|
User
Posty: 10
Dołączył: 14/09/2006 08:45
|
Cytat bigl napisał/a:
Nie widziałem takiej możliwości w żadnym sofcie - przynajmniej na WWW.
/cut/
PS. A jak wykryłeś tego keyloggera?
Może opisze jak to było... A wiec przegladałem logi na moim nowym nabytku (z lapa) i nagle widze ze cos z dziwnym adresem IP wlazło mi na blaszaka przez port 5900. Ide patrze, a na pulpicie otwarte okno konsoli z wpisem "tftp -i jakis adres IP get" coś dalej ale nie zdazylem doczytać bo okno zniknęło... Po takiej akcji wywaliłam wszystkie przekierowania na WRT i przeskanowałem system wszystkim co miałem (NOD32, AD-Aware, Spybot) - poza paroma pierdułami nic nie znalazłem. Dopiero najnowsza wersja Outposta znalazła to ścierwo na dysku E w katalogu jakiegoś programu oraz w System32 windy.
pozdro
zitom |
| |
|
|
| stegano |
Dodano 19-09-2006 09:46
|
SysOp
Posty: 1261
Dołączył: 03/03/2006 12:27
|
Cytat zitom napisał/a:
hmm... w sumie to sie nie znam.. ale skanując porty mozna chyba znalezc, że otwarty jest 10006?
Znaleść zawsze można, ale nikt wróżką nie jest, żeby wiedzieć co siedzi na danym porcie (zwłaszcza niestandardowym). Wiesz co ja mam na porcie 10022 lub 15382 ?
Asus WL-500gP Tomato 1.06 (RouterQoS_only)
5xLa Fonera DD-WRT v24 (Bridge)
1xLa Fonera DD-WRT v24 (AP-baza)
VoIP - Actio + PAP2T - firmware 3.1.16
Buffalo HS-DHGLBB0 500GB firmware 2.06 beta
Pomocy udzielam jedynie na forach
|
| |
|
|
| bigl |
Dodano 19-09-2006 09:49
|
Maxi User
Posty: 997
Dołączył: 17/05/2006 00:12
|
Cytat stegano napisał/a:
Dlatego zawsze namawiam wszystkich na zmienianie domyślnych portów na jakieś kosmiczne B)
Ale to nie jest żadne zabezpieczenie - skan portów robi siew parę sekund i już widać który jest otwarty. Także absolutnie nie traktowałbym tego jako rozwiązania problemu. |
| |
|
|
| zitom |
Dodano 19-09-2006 10:04
|
User
Posty: 10
Dołączył: 14/09/2006 08:45
|
Cytat stegano napisał/a:
Znaleść zawsze można, ale nikt wróżką nie jest, żeby wiedzieć co siedzi na danym porcie (zwłaszcza niestandardowym). Wiesz co ja mam na porcie 10022 lub 15382 ?
jesteś pewny że chcesz mi o tym powiedzieć? 
a na poważnie - nie znam dokladnie mechanizmu działania TFTP ale chyba można przesyłać pliki na dowolnym porcie.
pozdro
zitom |
| |
|
|
| stegano |
Dodano 19-09-2006 10:05
|
SysOp
Posty: 1261
Dołączył: 03/03/2006 12:27
|
@bigl - odpal p2p i przejedz se nmap-em zakres portów 1024-65535 :] Powodzenia w rozszyfrowaniu co gdzie i jak
Asus WL-500gP Tomato 1.06 (RouterQoS_only)
5xLa Fonera DD-WRT v24 (Bridge)
1xLa Fonera DD-WRT v24 (AP-baza)
VoIP - Actio + PAP2T - firmware 3.1.16
Buffalo HS-DHGLBB0 500GB firmware 2.06 beta
Pomocy udzielam jedynie na forach
|
| |
|
|
| bigl |
Dodano 19-09-2006 11:50
|
Maxi User
Posty: 997
Dołączył: 17/05/2006 00:12
|
A teraz to zmieniłeś zasady - nikt nic nie mówił o P2P. Oczywiste, że gdy działa P2P to sprawa wygląda inaczej, ale o tym nic nie było więc zakładałem sytuację z normalnym ruchem czyli co najwyżej paroma portami otwartymi.
Edytowany przez bigl dnia 19-09-2006 11:50
|
| |
|
' target='_blank'>Link
