---

2 subnets (lokaler) på en skole med win2k maskiner har oplevet
markværdigheder. Alert-bokser der popper op med "frække" beskeder a la
"net send-sjov", samt at maskiner pludseligt får sit ejet liv.
Det lugter jo lidt...

Makinerne er udstyret med netop-school, som er et fjernstyrings program.
Vi havde først den mistanke at det var en elev som havde fået adgang til
en af lærer-maskinerne, men det er blevet udelukket. (elev-maskiner er
server og lærer-maskiner er clienter)

Maskinerne er alle udstyret med Panda-antivirus (opdateret).

Jeg har derfor portscannet maskinerne med nmap og nessus.
Nmap gav dette (jeg har sakset flere klienter):
<snip>
# nmap (V. 3.00) scan initiated Wed Sep 4 15:35:38 2002 as: nmap -v -sS
-O -oN /home/rune/test6.txt 10.40.11.0/24
.......
Interesting ports on (10.40.11.4):
(The 1597 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
Remote operating system guess: Windows Millennium Edition (Me), Win
2000, or WinXP
TCP Sequence Prediction: Class=random positive increments
Difficulty=10781 (Worthy challenge)
IPID Sequence Generation: Incremental

Interesting ports on (10.40.11.10):
(The 1597 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1029/tcp open ms-lsa
Remote operating system guess: Windows Millennium Edition (Me), Win
2000, or WinXP
TCP Sequence Prediction: Class=random positive increments
Difficulty=4171 (Formidable)
IPID Sequence Generation: Incremental

</snip>

Læg mærke til port 1029. Den kender jeg ikke.
Nessus gav dette:

<snip>
+ 10.40.11.10 :
. List of open ports :
o epmap (135/tcp) (Security warnings found)
o netbios-ssn (139/tcp)
o microsoft-ds (445/tcp) (Security warnings found)
o unknown (1029/tcp) (Security notes found)
o general/tcp (Security warnings found)
o netbios-ns (137/udp) (Security warnings found)
o general/icmp (Security warnings found)
o general/udp (Security notes found)
o unknown (1028/tcp) (Security notes found)
</snip>
<snip>
.. Information found on port unknown (1029/tcp)


A DCE service is listening on 10.40.11.10:1029 :

Type: ncacn_ip_tcp
UUID : 8e52b00d-a937-cfc0-1182-2daa51e40000

. Information found on port unknown (1029/tcp)


A DCE service is listening on 10.40.11.10:1029 :

Type: ncacn_ip_tcp
UUID : f706820d-511f-e80a-3007-6d740be8cee9
</snip>
<snip>
.. Information found on port unknown (1028/tcp)


A DCE service is listening on 10.40.11.10:1028 :

Type: ncacn_ip_udp
UUID : 7b91f80d-ff5a-11d0-a9b2-c04fb6e60000
Annotation : Messenger Service

</snip>
Nessus fandt altså desuden en åben tcp-port på port 1028.
Jeg har siden fundet ud af at de nævnte porte også optræder på maskiner
uden netop-school.
Jeg har fræset google igennem hele dagen uden at finde noget godt.
Hvad gør en klog nu?

Mvh.
--
Rune Zimmermann
http://www.spiffer.dk

---

On Wed, 04 Sep 2002 19:18:32 +0200, Rune Zimmermann <rune@spiffer.dk> wrote:
> Nessus fandt altså desuden en åben tcp-port på port 1028.
> Jeg har siden fundet ud af at de nævnte porte også optræder på maskiner
> uden netop-school.
> Jeg har fræset google igennem hele dagen uden at finde noget godt.
> Hvad gør en klog nu?

Han har styr paa sine maskiner. Find ud af hvad der binder til
paagaeldende parte og afgoer om det er noget snask.


--
Jesper

---

Jesper Louis Andersen wrote:
:: On Wed, 04 Sep 2002 19:18:32 +0200, Rune Zimmermann
:: <rune@spiffer.dk> wrote:
::: Nessus fandt altså desuden en åben tcp-port på port 1028.
::: Jeg har siden fundet ud af at de nævnte porte også optræder på
::: maskiner uden netop-school.
::: Jeg har fræset google igennem hele dagen uden at finde noget godt.
::: Hvad gør en klog nu?
::
:: Han har styr paa sine maskiner. Find ud af hvad der binder til
:: paagaeldende parte og afgoer om det er noget snask.

Som andre har nævnt i andre sammenhænge, så kan programmet Activeports
anvendes til at tjekke hvilket programmer der lytter på hvilke porte. Det
kan måske give dig et hint om hvad der foregår. Programmet kan findes på:

http://www.ntutility.com/freeware.html

Uden at vide ret meget om det, er det vist noget med, at en DCE service
lytter efter service requests på port 135 (tcp/udp). Når den modtager en
request uddeler den en port (over 1023). Jeg mener det minder lidt om
portmapper i Unix, men du må ikke hænge mig op på det.

Mvh.

LArs

---

On Wed, 04 Sep 2002 20:22:01 +0200, Jesper Louis Andersen wrote:

> Han har styr paa sine maskiner. Find ud af hvad der binder til
> paagaeldende parte og afgoer om det er noget snask.
>
Ja, ja...Gnid bare salt i såret..

Det kan jo være svært at afgøre hvad en given proces er, når de fleste
backdoors jeg kender til omdøber sig selv ved installation.

Mvh.
Rune Z.

---

On Wed, 04 Sep 2002 20:51:52 +0200, Rune Zimmermann <rune@spiffer.dk> wrote:
> On Wed, 04 Sep 2002 20:22:01 +0200, Jesper Louis Andersen wrote:
>
>> Han har styr paa sine maskiner. Find ud af hvad der binder til
>> paagaeldende parte og afgoer om det er noget snask.
>>
> Det kan jo være svært at afgøre hvad en given proces er, når de fleste
> backdoors jeg kender til omdøber sig selv ved installation.

Men men... Hvis de binder til en port, maa man kunne faa fat i dem. Der
_Må_ være en datastruktur et sted i windows, der holder styr på sådan
noget.

Jeg har iøvrigt ladet mig fortælle at et vilkårligt windowsprogram kan
lave raw bindings til netkortet og derved skrive sin egen TCP/IP stak.
Er det korrekt?

--
Jesper

---

jlouis@pc-063.diku.dk (Jesper Louis Andersen) writes:

> Jeg har iøvrigt ladet mig fortælle at et vilkårligt windowsprogram kan
> lave raw bindings til netkortet og derved skrive sin egen TCP/IP stak.
> Er det korrekt?

Ja hvis det kører med administrator retigheder.

---

Martin Schultz <di020172@NO.SPAM.diku.dk> scribbled:

>> Jeg har iøvrigt ladet mig fortælle at et vilkårligt windowsprogram
>> kan lave raw bindings til netkortet og derved skrive sin egen TCP/IP
>> stak. Er det korrekt?
>
> Ja hvis det kører med administrator retigheder.

Gør man ikke det som standard i WinXP home edition?

--
PeKaJe

---

Peter Jensen wrote in
<news:3d772161$0$59343$edfadb0f@dspool01.news.tele.dk>:

>>> Jeg har iøvrigt ladet mig fortælle at et vilkårligt
>>> windowsprogram kan lave raw bindings til netkortet og derved
>>> skrive sin egen TCP/IP stak. Er det korrekt?
>>
>> Ja hvis det kører med administrator retigheder.
>
> Gør man ikke det som standard i WinXP home edition?

Jo, det er det Gibson har tudet over i meget lang tid, basalt set.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

This is not a fix of the backend.

---

Rune Zimmermann wrote:
> 2 subnets (lokaler) på en skole med win2k maskiner har oplevet
> markværdigheder. Alert-bokser der popper op med "frække" beskeder a la
> "net send-sjov", samt at maskiner pludseligt får sit ejet liv.
> Det lugter jo lidt...

Er det ikke blot at bruge net kommandoen?

Kan du uddybe "sit eget liv"?

---

On Wed, 04 Sep 2002 20:40:48 +0200, Christian E. Lysel wrote:

> Er det ikke blot at bruge net kommandoen?
>
> Kan du uddybe "sit eget liv"?

Jeg har ikke selv oplevet det da det er foregået midt i undervisningen,
men det beskrives som typiske fjernstyrings hændelser. Dvs. musen farer
hen over skærmen. Ting der er skrevet bliver slettet eller ændret. Der
blev nævnt noget med nogle pile på skærmen som jeg ikke helt forstod..

Det hele virker meget som ting man kan lave med f.eks. Bo2k.

Mvh.
Rune

---

"Rune Zimmermann" <rune@spiffer.dk> skrev i en meddelelse news:al5kgp$on5$1@sunsite.dk...

> Det hele virker meget som ting man kan lave med f.eks. Bo2k.

Hej Rune,

Ja, og en hvilken som helst anden bagdør. Har du prøvet at lave en ctrl+alt+delete og i joblisten se om der kører nogle opgaver som du ikke kender??

Prøv evt. og du kan dræbe en mistænkelig opgave og se om der stadig er noget som binder sig til 1029.

Når angrebet står på kan du iøvrigt, hvis du er lidt kvik, sikkert lave en hurtig netstat -an og se hvor forbindelsen er etableret fra. Du kunne jo være en "nabomaskine". Er der firewall foran jeres LAN?

Du kan også installere en software firewall og sidde og vente på at "forbryderen" forsøger at forbinde sig til maskinen igen (den kan altså anvendes til noget godt en sådan software firewall) - prøv Tiny eller Sygate.

Held og lykke ...

Venligst
Peter Kruse

---

On Wed, 04 Sep 2002 21:17:19 +0200, Peter Kruse wrote:

> Ja, og en hvilken som helst anden bagdør. Har du prøvet at lave en
> ctrl+alt+delete og i joblisten se om der kører nogle opgaver som du ikke
> kender??
>
Det har jeg ikke. Jeg har ladet mig fortælle engang at det skulle være
til at omgå.

> Prøv evt. og du kan dræbe en mistænkelig opgave og se om der stadig er
> noget som binder sig til 1029.
>
Jeg giver det et forsøg

> Når angrebet står på kan du iøvrigt, hvis du er lidt kvik, sikkert lave
> en hurtig netstat -an og se hvor forbindelsen er etableret fra. Du kunne
> jo være en "nabomaskine". Er der firewall foran jeres LAN?
>
Der er en seriøs firewall. Det er den interne sikkerhed der halter..

> Du kan også installere en software firewall og sidde og vente på at
> "forbryderen" forsøger at forbinde sig til maskinen igen (den kan altså
> anvendes til noget godt en sådan software firewall) - prøv Tiny eller
> Sygate.
>
Det kræver jo jeg sidder og leger elev mit i undervisningen. Den hopper
de nok ikke på..

Jeg tænkte lidt på at smide en maskine på subnettet med ethereal, for at
se om jeg kunne spore trafikken. Så kunne jeg vel filtrere trafikken på
port 1029. Har i nogen foreslag i den retning? Hvad skal jeg kigge efter?

Mvh.
Rune Z.

---

"Rune Zimmermann" <rune@spiffer.dk> wrote in message
news:al5p89$dpb$1@sunsite.dk...

> Jeg tænkte lidt på at smide en maskine på subnettet med ethereal, for at
> se om jeg kunne spore trafikken. Så kunne jeg vel filtrere trafikken på
> port 1029. Har i nogen foreslag i den retning? Hvad skal jeg kigge efter?
>
Port 1029 er windows-update..

Rune Z.

---

On Wed, 04 Sep 2002 20:48:01 +0200, Rune Zimmermann <rune@spiffer.dk>
wrote:

>On Wed, 04 Sep 2002 20:40:48 +0200, Christian E. Lysel wrote:
>
>> Er det ikke blot at bruge net kommandoen?
>>
>> Kan du uddybe "sit eget liv"?
>
>Jeg har ikke selv oplevet det da det er foregået midt i undervisningen,
>men det beskrives som typiske fjernstyrings hændelser. Dvs. musen farer
>hen over skærmen. Ting der er skrevet bliver slettet eller ændret. Der
>blev nævnt noget med nogle pile på skærmen som jeg ikke helt forstod..
>
>Det hele virker meget som ting man kan lave med f.eks. Bo2k.
>
>Mvh.
>Rune

Hvis der bruges trådløse tastaturer/mus - kunne det så ikke være
sidemanden eller en anden i nærheden der laver forstyrrelser (uden at
være klar over det)?



--
mvh
Jørgen L. Sørensen