Bakdörr stängd port

PHPportalen Forum Index » Ordet är fritt
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
LimpanDSS



Medlem i: 2362 dagar
Från: Stockholm
Status: Offline



#736514
Inlägg Skrivet: 2014-03-22 21:43      Ämne: Bakdörr stängd port Citera

En vanlig bakdörr installeras på en dator genom att man sätter upp en server som lyssnar på en port. En klient ansluter sedan till denna server och matar den med kommandon.

För att kunna ta emot inkommande paket så måste man ha en port öppen.
Om ingen port är öppen på maskinen man vill skapa en bakdörr på så borde det ej fungera. Hackarna kan ju inte ta förgivet att offret har några öppna portar i sin router.

Hur fungerar det egentligen? Hur installerar dem en server på ett offers dator?

MVH
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4594 dagar
Från: Tavesta
Status: Offline



#736529
Inlägg Skrivet: 2014-03-23 14:39      Ämne: Re: Bakdörr stängd port Citera

Jag är inte så speciellt insatt i exakt hur det går till, men en vanlig webbläsare öppnar ju portar temporärt för att kunna ta emot svar på http-förfrågningar, så möjligheter finns, bara man tagit sig in på insidan.
Men jag kan nog tänka mig att det även används andra typer av bakdörrar, som inte är beroende av att själv öppna några portar.
LimpanDSS skrev:
Hur installerar dem en server på ett offers dator?

Jag skulle tro att de antingen utnyttjar en bakdörr som redan finns på plats, eller bara lyckas övertyga datorns användare att installera servern ifråga, i tron att den installerar ett program som är jättebra.
Det "jättebra" programmet installeras ju självklart också, så användaren behöver ju inte märka något.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
LimpanDSS



Medlem i: 2362 dagar
Från: Stockholm
Status: Offline



#736533
Inlägg Skrivet: 2014-03-23 17:09      Ämne: Re: Bakdörr stängd port Citera

Tack för ditt svar!

harald_b skrev:
Jag är inte så speciellt insatt i exakt hur det går till, men en vanlig webbläsare öppnar ju portar temporärt för att kunna ta emot svar på http-förfrågningar, så möjligheter finns, bara man tagit sig in på insidan.

Dessa temporära portar kallas "ephermal ports" och används för att severn skall veta var den skall skicka tillbaka sitt svar.
Portarna kan, och brukar vanligtvis, tilldelas "slumpmässigt" av TCP mjukvaran. Dessa portar funkar dock inte som vanliga portar.

Let's say att det finns en ESTABLISHED connection mellan 133.244.1.0:80 och 122.233.1.0:6570, där 6570 är klientens ephermal port.
Om du då skulle skicka ett TCP SYN segment till klienten, från en annan dator, skulle du förmodligen få en RST, ACK eller ingenting alls tillbaka då 6570 inte är en "öppen" port.

harald_b skrev:
Men jag kan nog tänka mig att det även används andra typer av bakdörrar, som inte är beroende av att själv öppna några portar.

TCP och UDP, samt nästan alla andra transport protokoll, är beroende av att man öppnar portar. Jag tror inte att man skriver ett helt nytt transport protokoll för detta endamål.
Jag tror inte heller att man kör något annat nätverks protokoll då det blir krångel med IP addresser. (Om man nu inte kör det ovanpå IP)

Jag kan ju dock ha fel. Smile
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4594 dagar
Från: Tavesta
Status: Offline



#736536
Inlägg Skrivet: 2014-03-23 19:00      Ämne: Citera

Med andra typer av bakdörrar menar jag sådana som inte nödvändigtvis får sina instruktioner direkt över något nätverk över huvud taget, utan t.ex hämtar instruktioner ur webbläsarens cacheade bilder, eller något annat lite mer långsökt alternativ.
Forna tiders virus spreds över diskett...
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
EmilV
Ex-Moderator



Medlem i: 5862 dagar
Från: Lilla Edet
Status: Offline



#736538
Inlägg Skrivet: 2014-03-23 23:35      Ämne: Citera

Det vanligaste är att masken ansluter utåt till en server den redan känner till. För fyra år sedan var det vanligast att de anslöt till en IRC-server och gick in i en förutbestämd kanal. Ägaren kan sedan styra masken genom att skriva i kanalen. Jag kan även tänka mig lösningar där masken laddar ner instruktioner över HTTP.

Servrarna de ansluter till är givetvis också styrda av maskar. Servrarna ägs aldrig av knäckarna själva. De går i stort sett inte att spåra.

För att komma in från första början används normalt säkerhetshål i populära programvaror. På serversidan (japp, servrar är ständigt under attack) är Wordpress ett exempel på ett skitdåligt men vida spritt program. Joomla är ett annat. Båda var jätteofta under attack när jag jobbade på webbhotell. Hade folk uppdaterat sina system direkt när luckor täpps till hade problemet kanske varit lite mindre i vissa fall, men kodbaserna i just Wordpress och Joomla är av så tveksam kvalitet i grunden (för att inte tala om alla plugins!) att jag skulle tänka efter mycket noga innan jag tog något av dem i drift.
 

_________________
Tänk!

EmilVikström.se | Bloglovin.com
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
LimpanDSS



Medlem i: 2362 dagar
Från: Stockholm
Status: Offline



#736557
Inlägg Skrivet: 2014-03-25 15:41      Ämne: Citera

Tack så mycket för era svar!
 

_________________
Github
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » Ordet är fritt
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic