c:/nc.exe --> hack? - Privacy en beveiliging

maandag 18 april 2005 11:35

Acties:

Topicstarter

Beetje raar idee misschien maar het zit zo:

gister heb ik "phpdev" geinstalleerd, dat wil zeggen een bundle van apache, php, sql phpmyadmin, etc. Daarna ben ik wat gaan expirimenteren met de basis van php, onder andere het GET commando.

Echter, na een tijdje kreeg ik een dos scherm in beeld (cmd) en gaf van mijn firewall Zonealarm aan dat het programma "nc.exe" (dat op c: bleek te staan) contact probeerde te maken met internet. Deze file was net aangemaakt. Wat moet ik hiervan denken? Kan het zijn dat er een beveiligingslek zit in 1 van de bovenstaand genoemde services?

maandag 18 april 2005 11:36

Acties:

gorgi_19

Kruimeltjes zijn weer op :9

Dit heeft weinig met programmeren of webdesign te maken, maar eerder met de gebruikte software of de configuratie hiervan

>> Software Algemeen

Digitaal onderwijsmateriaal, leermateriaal voor hbo

maandag 18 april 2005 11:46

Acties:

Tukk

De α-man met het ẞ-brein

Mijn 1e hit in google

Q: How many geeks does it take to ruin a joke? A: You mean nerd, not geek. And not joke, but riddle. Proceed.

maandag 18 april 2005 11:50

Acties:

sh4d0wman

Attack | Exploit | Pwn

nc.exe is volgens mij netcat (tenzij men een ander programma als nc.exe heeft genoemd)
dat is een programma wat als server fungeert en dus meestal als trojan gebruikt wordt. voor volledige opties zou je even in netcat zelf moeten kijken, het ding kan in ieder geval veel.

als je het niet zelf er op hebt gezet zou ik het maar goed uitzoeken, wordt veelvuldig voor hackers/crackers gebruikt.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 18 april 2005 11:53

Acties:

jealma

Jesus is Lord!

Er is een ander programma dat ook nc.exe gebruikt, namelijk Norton Commander. Alhoewel het onwaarschijnlijk is dat norton iets met php heeft temaken.

Avalon, Fireflight, Gaither, Point of Grace, Third Day
C2D E6400 @ 3GHz - Zalman CNPS8000 - GA-P35-DS3 - Corsair 2GB ram - Asus 9400GT - OCZ Vertex 30GB
Archlinux 64-bit + Awesome

maandag 18 april 2005 11:59

Acties:

Whiskeyjack

Topicstarter

jealma schreef op maandag 18 april 2005 @ 11:53:
Er is een ander programma dat ook nc.exe gebruikt, namelijk Norton Commander. Alhoewel het onwaarschijnlijk is dat norton iets met php heeft temaken.

tis voor mij nu vrijwel zeker dat het om een hacktool gaat. Ik hoop dat ik de verdere werking gestopt heb met m'n firewall maar ben er nog niet gerust op. De vraag is ook hoe het op mijn pc is gekomen. Waarschijnlijk door 1 van de genoemde programma's, dus verwijderen van nc.exe heeft mogelijk geen zin. Tis wel vrij eng dat iemand kennelijk gewoon een dos-prompt start en daarin nc.exe uitvoert om vervolgens te proberen een connectie aan te leggen.

maandag 18 april 2005 12:04

Acties:

Whiskeyjack

Topicstarter

trouwens als ik 1 van de links bekijk: http://www.os3.nl/~carlos/logboek/index.php?logboek=carlos

Deze site is van een opleiding maar het lijkt wel of men hier leert hacken

. Wat op zich niet zo vreemd als je hacken wil bestrijden maar toch. Quote 1 van de opdrachten:

"7. Gebruik een directory traversal hack methode om een prompt op een windowsmachine open te zetten. Geef de URL waarmee dat lukt en geef de URL waar je de info gevonden hebt"

maandag 18 april 2005 12:04

Acties:

sh4d0wman

Attack | Exploit | Pwn

Had je de poorten doorgemapt naar internet? Of draaide alles binnen je interne netwerk als test? Als dat laatste het geval is moet je inderdaad goed nagaan hoe het er op is gekomen.

Mocht je alles default geinstalleerd hebben en aan internet gehangen dan zullen er diverse zaken waarschijnlijk niet goed ingesteld geweest zijn. Zoek dan wat beveiligingsinformatie voor de diverse pakketten.
Als je wil weten of de software lekken heeft dan zul je op internet eens moeten zoeken op het pakket + versie nummer. Dan kun je dat in ieder geval voor een groot deel uitsluiten. (uitgezonderd private / 0-day exploits natuurlijk)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 18 april 2005 12:06

Acties:

CyBeR

💩

sh4d0wman schreef op maandag 18 april 2005 @ 11:50:
nc.exe is volgens mij netcat (tenzij men een ander programma als nc.exe heeft genoemd)
dat is een programma wat als server fungeert en dus meestal als trojan gebruikt wordt. voor volledige opties zou je even in netcat zelf moeten kijken, het ding kan in ieder geval veel.

als je het niet zelf er op hebt gezet zou ik het maar goed uitzoeken, wordt veelvuldig voor hackers/crackers gebruikt.

Helemaal niet

Netcat is gewoon een UNIX tooltje dat een ding doet: een verbinding opzetten naar een host:port of andersom, verbindingen accepteert op een poort. Daarna doet 't niet meer dan data op stdin uitlezen en over die verbinding sturen, en data over die verbinding uitlezen en naar stdin sturen. Dat heeft geen moer te maken met trojans, etc.

't is wel een verdomd handig tooltje.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 18 april 2005 12:09

Acties:

Whiskeyjack

Topicstarter

CyBeR schreef op maandag 18 april 2005 @ 12:06:
[...]

Helemaal niet

Netcat is gewoon een UNIX tooltje dat een ding doet: een verbinding opzetten naar een host:port of andersom, verbindingen accepteert op een poort. Daarna doet 't niet meer dan data op stdin uitlezen en over die verbinding sturen, en data over die verbinding uitlezen en naar stdin sturen. Dat heeft geen moer te maken met trojans, etc.

't is wel een verdomd handig tooltje.

Ik heb al een paar keer gelezen dat dit netcat als hack-tool gebruikt wordt.

Overigens heb ik deze server slechts lokaal als test gedraaid.

maandag 18 april 2005 12:11

Acties:

-=bas=-

Hoe oud moet je zijn om de link met Norton Commander te leggen?

Maar die zal het niet zijn omdat die geen netwerk functionaliteit heeft.

[ Voor 37% gewijzigd door -=bas=- op 18-04-2005 12:12 ]

Senile! Senile Oekaki

maandag 18 april 2005 12:12

Acties:

Whiskeyjack

Topicstarter

_bas_ schreef op maandag 18 april 2005 @ 12:11:
Hoe oud moet je zijn om de link met Norton Commander te leggen?

*zucht* natuurlijk ken ik norton commander. Dit is het NIET! Lees eerst aub voor domme replies te geven

edit: had je die 2e regel er al bij?

[ Voor 8% gewijzigd door Whiskeyjack op 18-04-2005 12:13 ]

maandag 18 april 2005 12:13

Acties:

sh4d0wman

Attack | Exploit | Pwn

CyBeR schreef op maandag 18 april 2005 @ 12:06:
[...]

Helemaal niet

't is wel een verdomd handig tooltje.

ik zeg ook niet dat het een trojan is maar dat het wel veel als een trojan gebruikt wordt. zodra men dit op je systeem weet te krijgen (zonder toestemming) is het geen fijn tooltje om te hebben ...

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 18 april 2005 12:13

Acties:

RAJH

netcat wordt in het hackwereldje meestal gebruikt om een shell te spawnen door middel van een exploit, maar dan wordt netcat meestal op de pc van de hacker gedraaid.

maandag 18 april 2005 12:16

Acties:

Dix0r

Ro schreef op maandag 18 april 2005 @ 12:13:
netcat wordt in het hackwereldje meestal gebruikt om een shell te spawnen door middel van een exploit, maar dan wordt netcat meestal op de pc van de hacker gedraaid.

Dus kan het ook mogelijk zijn dat de pc gebruikt wordt als een proxy.

Aan TS, ik zou iig even je inkomende en uitgaande verbindingen controleren. Met tcpview oid

[ Voor 13% gewijzigd door Dix0r op 18-04-2005 12:18 ]

maandag 18 april 2005 12:17

Acties:

Verwijderd

Dat iets een bepaalde filename heeft, zegt natuurlijk niet zo heel veel.
Scan de file eens met een (online) virussscanner.

http://www.kaspersky.com/scanforvirus.html

En als die het een clean bill of health geeft, kun je het nog altijd naar mailadres in sig sturen zodat een virus analyst er naar kijkt.

maandag 18 april 2005 12:32

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

SA ---> Beveiliging & Virussen, dat past nu toch wat beter

De originele vraag: zonder te weten over welke versies we praten kunnen we moeilijk vulnarabilities noemen

Maar als je een oudere versie van het een of ander pakt: ja er zitten gaten in. Lees o.a. de sites van de makers over bekende vulnarabilities en de patches en settings om dit tegen te gaan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 18 april 2005 13:08

Acties:

Whiskeyjack

Topicstarter

F_J_K schreef op maandag 18 april 2005 @ 12:32:
SA ---> Beveiliging & Virussen, dat past nu toch wat beter

De originele vraag: zonder te weten over welke versies we praten kunnen we moeilijk vulnarabilities noemen
Maar als je een oudere versie van het een of ander pakt: ja er zitten gaten in. Lees o.a. de sites van de makers over bekende vulnarabilities en de patches en settings om dit tegen te gaan.

bedankt Mods voor Uw wijsheid

maandag 18 april 2005 13:16

Acties:

Verwijderd

Hoe kunnen we het nu al over vulnerabilities hebben als de server alleen lokaal heeft gedraaid?

maandag 18 april 2005 21:11

Acties:

dbzfan

Nee.

Toevallig mysql server draaien met root/null?

maandag 18 april 2005 21:11

Acties:

niels_999348

Ok ik zal hier even de wijsneus uit gaan hangen

In phpdev zit standaard een security fout:
Er wordt een gebruiker aangemaakt: root / null
Deze werden hevig gescand omdat je daarmee kunt inloggen en door, allerlei data in je tables te inserten een shell kunt krijgen. Er zal een file naar je c:\ map worden geschreven nc.exe en deze zal worden gestart met een shell. Aangezien je zonealarm draaide is er niks aan de hand. De hacker heeft geen toegang tot je systeem gehad.
Ik raad je aan om:
Phpdev configuratie te veranderen, zorg dat de root gebruiker een veilig paswoord krijgt.
En voorderest niks meer

maandag 18 april 2005 21:12

Acties:

niels_999348

dbzfan schreef op maandag 18 april 2005 @ 21:11:
Toevallig mysql server draaien met root/null?

Juist mijn reactie was net iets te laat

Toch leuk je weer is te zien dbzfan

kom weer is langs in irc

maandag 18 april 2005 21:28

Acties:

serkoon

mekker.

niels_999 schreef op maandag 18 april 2005 @ 21:11:
Aangezien je zonealarm draaide is er niks aan de hand. De hacker heeft geen toegang tot je systeem gehad.
Ik raad je aan om:
Phpdev configuratie te veranderen, zorg dat de root gebruiker een veilig paswoord krijgt.
En voorderest niks meer

De aanvaller heeft dus zeker wel een bepaalde mate van toegang gehad, anders was die instantie van netcat er niet. Hoeveel rechten de aanvaller uiteindelijk heeft weten te krijgen weet je nooit, hoewel de kans wel aanwezig is dat door zonealarm de aanval echt gestopt is en de inbraak beperkt is gebleven tot het downloaden/uitvoeren van netcat.

Eigenlijk is een reinstall de enige manier waarop je kunt weten dat je systeem echt veilig is. Het is alleen wel erg veel werk

maandag 18 april 2005 21:33

Acties:

Rmg

CyBeR schreef op maandag 18 april 2005 @ 12:06:
[...]

Helemaal niet

Netcat is gewoon een UNIX tooltje dat een ding doet: een verbinding opzetten naar een host:port of andersom, verbindingen accepteert op een poort. Daarna doet 't niet meer dan data op stdin uitlezen en over die verbinding sturen, en data over die verbinding uitlezen en naar stdin sturen. Dat heeft geen moer te maken met trojans, etc.

't is wel een verdomd handig tooltje.

In windows kan je aan netcat ook cmd.exe binden

en kan uit ervaring zeggen dat het dan wel als hacktool gebruikt word

netcat was ook populair omdat je de host kan laten connecten naar op een eigen pc gespawnde netcat listener zodat je ook op pc's kan die achter een netwerk staan zonder de poorten naar de pc te hoeven mappen / kijken welke gemapt staan naar de pc

[ Voor 20% gewijzigd door Rmg op 18-04-2005 21:35 ]

maandag 18 april 2005 22:31

Acties:

Erwinvz1

Mysql exploit

Ik weet hoe je daar tegen beveiligd

Want to secure mysql ?
No Problem.
You can of course delete ftp,tftp etc. but that can be avoid.

1.You need to change pass in mysql
code:
1
USE mysql;
you should see :
code:
1
2
mysql> USE mysql;
Reading table information for completion of table and column names
next:
code:
1
UPDATE user SET Password=PASSWORD('new-password') WHERE user='root';
you should see :
code:
1
2
3
mysql> UPDATE user SET Password=PASSWORD('lol') WHERE user='root';
Query OK, 3 rows affected (0.23 sec)
Rows matched: 3  Changed: 3  Warnings: 0
'new-password' = this is your new password
'root'= this is your user.

next:
code:
1
FLUSH PRIVILEGES;
and you should see:
code:
1
2
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.22 sec)
and all should be :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 469207 to server version: 4.0.23-standard

Type 'help' for help.

mysql> USE mysql;
Reading table information for completion of table and column names

Database changed
mysql> UPDATE user SET Password=PASSWORD('lol') WHERE user='root';
Query OK, 3 rows affected (0.23 sec)
Rows matched: 3  Changed: 3  Warnings: 0

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.22 sec)

mysql>
then exit that window, and your password should be changed

obviously like every method of security, it could be avoided... for example when admin of machine reinstall mysql

2.You can del mysql user files :
code:
1
2
3
del c:\user.MYD /s
del c:\user.MYI /s
del c:\user.frm /s
3. my.ini

you need change some things in file named "my.ini"
search for him in windows/winnt directory

upload it to your machine and edit it. Check line where you have ip(if you haven't ip in that file ignore that method) and change it to 127.0.0.1 . Upload file on the machine. Then
code:
1
2
net stop mysql
net start mysql
and run it. You shold have error when you want to check ip for shell

Dat moet het oplossen

Kreeg het van een vriend op msn

dinsdag 19 april 2005 00:38

Acties:

Whiskeyjack

Topicstarter

ok bedankt voor de replies allen. Het feit dat de standaard configuratie voor phpdev een inlog root/null bevat lijkt een goede verklaring. Ik zal als ik tijd heb de genoemde fix proberen voor ik weer een server start

. Hopelijk is het hiermee opgelost (je weet nooit of er blijvende hackzooi op m'n pc is genesteld). Toch heb ik er redelijk vertrouwen in dat zonealarm een echte aanval heeft weten te voorkomen. Hij stond overigens nog op medium (voor internet zone)

. Zorgt de high mode ervoor dat dit soort aanvallen niet voorkomen ("invisible mode" dus niet te scannen?).

Het lijkt trouwens dat men mijn eerdere reply niet gezien heeft met de link. Zelf vond ik het best interessant te lezen hoe hier voorbeelden van hack-exploits als opdrachten aan studenten worden gegeven.

woensdag 20 april 2005 21:14

Acties:

KrL

Foto foto..

Whiskeyjack schreef op dinsdag 19 april 2005 @ 00:38:
Het lijkt trouwens dat men mijn eerdere reply niet gezien heeft met de link. Zelf vond ik het best interessant te lezen hoe hier voorbeelden van hack-exploits als opdrachten aan studenten worden gegeven.

Pas maar op, we hebben je IP adres

vrijdag 22 april 2005 13:19

Acties:

Whiskeyjack

Topicstarter

KrL schreef op woensdag 20 april 2005 @ 21:14:
[...]

Pas maar op, we hebben je IP adres

Aj ik was er al bang voor

vrijdag 22 april 2005 22:00

Acties:

Erwinvz1

Ik kan je 1 ding zeggen
Formateer je pc of zoek super goed op hack zooi enzo
Want mysql kan je zelfs zonder NC hacken via port 3306 via udp tegenwoordig

Zorg gewoon dat die port nooit open is en als het wel moet beveiligd de boel super goed of draai linux dat is minder goed te hacken met mysql

Pagina: 1

Reageer