Precauzioni per difendersi dagli hackers
Ci sono molti metodi per difendersi dagli hacker e sono raggruppabili in quattro categorie: metodi passivi, metodi attivi, metodi drastici (rozzi), programmi utili
Metodi passivi
I metodi passivi sono gratuiti infatti basta configurare a dovere il browser. Se avete una rete le cose più importanti sono tre, mettere i dati fondamentali su una partizione del disco non condivisa o dentro dei floppy (magari floppy ottici o zipdisk), disattivare "condivisione di file e stampanti" in proprietà della rete, controllare tutte le informazioni che scambia la rete, non accedete a pagine poco sicure (se lo fate salvate prima tutti i dati), installare solo i programmi necessari per la connessione ad internet. Altra cosa da fare è disabilitare l'esecuzione automatica degli script java, infatti anche se il java per web non è stato dotato di mezzi per accedere alle vostre risorse ci sono alcuni comandi che posso accede al disco e quindi anche danneggiarlo, per fare questo da internet explorer basta mettere protezione personalizzata e disattivare script, con netscape andare in preferences da edit, andare su advanced e disabilitare enable java e disattivare cookies; in questo modo sceglierete quale script eseguire e quale non eseguire. Potete fare delle connessioni di breve durata, questo modo cambierete continuamente il vostro indirizzo IP ad ogni connessione e vi nasconderete ogni volta momentaneamente da un Hacker che vuole attaccarvi.
Come evitare il nuking
Le soluzioni al problema del Nuking sono diverse:
si può aggiornare il TCP/IP utilizzando l'apposita patch ufficiale di Microsoft che può essere scaricata da Internet all'indirizzo:
Si può utilizzare uno dei molti programmi di monitoraggio delle porte di connessione del vostro Pc. Uno dei più famosi è NukeNabber 2.0, una piccola utility che ascolta le comunicazioni attraverso le principali porte di connessione (compresa la 139) ed intercetta potenziali pericoli come il Nuking. Questo non solo ti permetterà di evitare il nuking, ma di sapere che ti stanno attaccando. Attenzione però: programmi come questo non funzionano dopo l'aggiornamento della porta 139 con la patch ufficiale di Microsoft.
Metodi attivi
Il migliore è quello di utilizzare la connessione via internet attraverso un proxy server e/o un firewall, questi due sono applicativi particolari che servono a nascondere i vostri indirizzi, infatti navigando con un proxy server non è il vostro computer che accede alle pagine ma un altro computer per voi quindi se va in overflow (errore che blocca il computer irreversibilmente) non si blocca il vostro computer ma il proxy server, praticamente vi siete creati un muro di protezione, i proxy server sono sia hardware che software (alcuni provider lo forniscono gratuitamente come TIN); il firewall è un dospositivo hardware e grazie a questo si può filtrare il traffico da e verso internet. Per il proxy server vi consiglio ISB100 The intenet sharing box è di tipo hardware ed è molto efficente, mentre per il firewall consiglio Conseal sopratutto per chi usa IRC e non vuole essere attaccato da nuke, smufe, Denial of service.
Esiste un sito dove è possibile scaricare un programma di firewall senza pagarlo andando in programmi per hackers e selezionando protezione.
Metodi drastici (o rozzi)
I metodi migliori sono quelli fatti in casa, prima di tutto bisogna disattivare tutti quei programmi per internet che non utilizzate perchè anche se non attivi sono in listening (attesa di chiamata) quindi hanno porte aperte le quali possono in ogni momento essre catturate da qualche attacco da hacker, non basta, si possono disattivare o mettere delle restrizioni ai pacchetti di entrata e uscita dei dati (i pacchetti sono dati e son getiti da protocolli per il quale il browser si collega ad internet, sono come delle regole che deve seguire), bisogna però conoscere dettagliatamente i vari protocolli. Ecco l'elenco dei protocolli per la trasmissione dei dati via internet:
UDP (user datagram protocol): serve per stabilire una connessione ma non controlla se il dato arriva a destinazione, quindi è un protocollo inaffidabile e può essere attaccato da hacker di tipo flood.
ICMP (internet control message protocol): è un protoccollo necessario in quanto standard per instradare i pacchetti verso il router controllandolo che non sia carico di lavoro quindi se è bloccato il router.
TCP (trasmission control protocol): serve per la trasmissione dei dati e si accerta che i dati sono arrivati a destinazione ed in caso contrario (per esempio se cade la linea o un router va in sovraccarico di lavoro) li ritrasmette. E' in questo protocollo che ci sono le porte per i vari servizzi (una volta attivata una porta viene utilizzata sempre quella quindi disattivare le altre porte non comporta errori):
1. PORTA 8080: è una porta necessaria per il collegamento ai siti internet, con questa il vostro computer contatta un server che contiene la pagina web attende la risposta del server e una volta che la richiesta è stata rilevata il server dialoga con il client (il vostro computer o il proxy server che utilizzate) per lo scambio di dati.
2. PORTA 23 - telnet: serve per fare connessioni remote, cioè operare su un computer in rete diverso dal vostro con la vostra tastiera e mouse, trasmette le password in chiaro e quindi sarebbe meglio disattivarlo se non strettamente necesario.
3. PORTA 513 e 514 - rsh e rcdm: servono per l'esecuzione di comandi per le connessioni remote tra due computer collegati in rete quindi meglio disattivare anche questo servizio.
4. PORTA 119 - nntp: serve per la trasmissione dei messaggi di news, se non lo disabilitate almeno filtrate i dati con un firewall.
5. PORTA 110 - pop3: serve per scaricare la posta eper l'invio di e-mail (trasmette password in chiaro).
6. PORTA 80 - http: è propia degli indirizzi interneted è molto esposta per il largo utilizzo di chi naviga in internet (praticamente ogni volta che vi collegate ad un sito utilizzate questa porta) quindi si consiglia la protezione con un firewall o di un proxy server.
7. PORTA 520 - rip: è il protocollo di routing che utilizza il server o router per collegarsi alla vostra rete dei computer e quindi mettere a disposizione di chiunque le vostre risorse, quindi è meglio impedire l'uscita di questi pacchetti con un firewall.
8. PORTA 53 - dns: trasforma gli indirizzi in formato alfanumerico in indirizzi ip (esempio
9. PORTA 67 e 68 - bootp e tftp: servono sopratutto per riavviare i computer senza hardisk che utilizzano esclusivamente la rete, meglio eliminarlo se non avete un computer del genere.
10. PORTA 79 - finger: serve per recuperare da un server informazioni sugli utenti registrati in un server collegato ad una rete, quindi è meglio impedire l'uscita di questi dati dalla lan con un firewall.
Utilizzate il Notepad (blocco note fornito con il windows) ed aprite SERVICE nella directory c:\windows per windows95/98 c:\sistem32\drivers\... per windowsNT, fatto ciò aggiungete DISCARD per chiudere le porte che volete disattivare.
Le porte utilizzate dai principali backdoor sono:
Port
Description
TCP 21
FTP - File Transfer Protocol
TCP 23
Telnet
TCP 25
SMTP - Simple Mail Transfer Protocol
TCP 80
HTTP - Hypertext Transfer Protocol
TCP 110
POP3 - Post Office Protocol v3
TCP 139
NetBIOS
TCP 30100
NetSphere - TCP Communication
TCP 30101
NetSphere - File Transfers
TCP 30102
NetSphere - Streaming Transfers
TCP 12345
NetBus - TCP Communication
TCP 12346
NetBus - File Transfers
UDP 31337
Back Orifice - UDP Communication
TCP 6670
Deep Throat - Does nothing. For scanners to detect.
UDP 3150
Deep Throat - UDP Communication
UDP 2140
Deep Throat - UDP Communication
TCP 20034
NetBus Pro - TCP Communication
Quando vi viene richiesto di inserire la password al riavvio di windows NON INSERITELA SUBITO ma premete ALT+TAB, in questo modo aprirete il Task manager del windows, controllate quali programmi sono in esecuzione, se ci sono dei programmi tipo PASSWORD THIEF, ACTMON, KEYLOGGER, o programmi che non dovrebbero essere attivi, scrivete una password qualunque oppure terminateli con TERMINA APPLICAZIONE selezionando prima il programma da terminare.
Nel caso volete controllare se siete attaccati da un hacker attraverso un Back Orifice dovete semplicemente controllare nel registro (file del windows dove risiedono le informazioni software e hardware installate, aprendo il programma in dotazione con windows 95/98 chiamato REGEDIT che sta nella directory di windows, per aprirlo andate su AVVIO o START poi su ESEGUI e digitate REGEDIT) alla chiave \HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES o al posto di RUNSERVICES nel RUN qualunque file nella lista deve essere eliminato (tranne quelli propri del windows) poichè è di natura sospetta. Per togliere Back Orifice bisogna eliminare il collegamento al programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra specificato (scriversi su un foglietto il nome del programma che in genere è " .exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente (l'ultimo descritto è il modo più efficace che esiste).
Altro metodo per vedere se si è controllati da un Back Orifice è quello di accedere alla Task bar (premendo ctrl+alt+canc) se avete nella lista dei programmi attivi ahqtb (nome difficile anche per alcuni hacker cambiare) avete Back Orifice, il programma Netbus e Netsphere invece è invisibile anche dalla Task bar ma visibile in Regedit.
Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo descritto sopra (\HKEY_LOCAL_MACHINE\......\RUN), quale è il nome del file server che l'hacher vi ha installato, fatto ciò eseguire nome_del_file_server /remove dove nome_del_file_server è il nome del file che avete individuato, a questo punto cancellate il programma server. Per eliminare Netbus per versioni da 1.6 a superiore potete fare la stessa cosa descritta sopra o scaricare il programma Netbus (se non lo trovate ve lo fornisco io, ma dentro Astalavista lo trovate sicuramente) ed eliminarlo direttamente con il programma client tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra specificato, scriversi su un foglietto il nome del programma che in genere è "patch.exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file manager), oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite netbus il programma manda in overlow il computer dell'hacker bloccandogli il computer.Altro modo per eliminare NetSphere è collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi selezionare Target > Server > Remove Server. Nel caso in cui sia un file server dotato di password allora vai su Start o Avvio della barra delle applicazioni, poi vai su esegui e insersci il nome del file server con relativo percorso, cioè se il file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe /visible poi dal menù del file server clicca su REMOVE. Per eliminare Master's Paradise dovete vedere nel registro di sistema con Regedit alla chiave riportata sopra (\HKEY_LOCAL_MACHINE\......\RUN) in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di sistema, se è infettato il vostro computer questo programma non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il collegamento al programma dal registro e cancellare il programma server come descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per evitare di essere spiati con Netbios invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti Microsoft che sta dentro Rete del Pannello di controllo e se possibile disattivare Condivisione file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit (netbios è un exploit) non c'è nessun modo per evitare di essere penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere meno applicazioni possibili attive che utilizzano internet può servire a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo aprire un programma alla volta, ma la penetrazione al sistema è solo questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer si posso fare due strade:
1. Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.
2. Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, protrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)
Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema. Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.
Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)
Andate nella directory System di Windows
Eliminate i file: ska.exe - ska.dll - wsock32.dll
Rinominate il file wsock32.ska in wsock32.dll
Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi recentemente. Ulteriori notizie le potete trovare sul sito Symantec
Programmi utili
Ci sono vari programmi utili per l'eleminazione di programmi che servono agli hackers per accedere al vostro computer, infatti da internet non sono i virus i più pericolosi, ma sono i back orifice (o la versione migliorata del programma chiamata NETBUS)i quali non sono virus (quindi non rilevabili dai antivirus) ma sono dei programmi che consentono agli hackers ad accedere alle vostre risorse (quindi hardisk) ogni volta che vi collegate in internet. Quindi vi serve un software per l'eleminazione dei virus e uno per l'eleminazione dei back orifice. Di antivirus ne esistono una infinità, il migliore comunque dovrebbe essere il McAfee Antivirus e PC-cillin98 (non sono gratuiti, ma sono shareware), di programmi per l'eleminazione dei back orifice non sono molti ma uno di questi è Back Orifice Eradicator (nome file BOEradicate.exe, dimensione 0,2Mb, non necessita di installazione/disinstallazione ed è FREEWARE, NON è utile per eliminare anche NETBUS); visitate il sito che lo ha creato per scaricare la versione più aggiornata.
Usare il back orifice eradicator è facile:
1. avviare il programma e fare scansione della memoria.
2. nel campo file metti c:\windows\system\ .exe (ricordate lo spazio prima di .exe, si chiamano così in genere ma non sempre i back orifice), oppure altro nome di file sospetto.
3. se vi appare un messaggio del tipo "file scanned is the Back Orifice server please run autoremeval immediately" premete Autoremove e l'hacker perderà ogni traccia di voi.
Download Back Orifice Eradicator
Se non lo trovate chiedetemelo a me ( o vai sul mio sito) e ve lo fornirò gratuitamente via e-mail.
Esiste un altro programma gratuito per rilevare Back Orifice e Master's Paradise si chiama BOClean.
Altri programmi che rilevano Back orifice, Netbus e Master's Paradise sono Norton Antiviru 5 e McAfee 4 e Pc-Cillin 98 (non gratuiti).
Difendersi dai rischi della posta elettronica:
Il consiglio mio è un doppio consiglio. Da un lato la prudenza. Occorre sempre essere sicuri di che file si sta aprendo e chi l'ha inviato. Inoltre un buon programma antivirus può essere d'aiuto. Norton Antivirus (solo dalla versione 5) è uno dei prodotti migliori presenti oggi sul mercato. Questo software mantiene uno stretto monitoraggio del tuo sistema. Ogni volta che apri un file, sia esso eseguibile o semplicemente un documento a rischio (Word o Excel), Norton Antivirus verifica che esso non contenga un codice dannoso. E' importante mantenere sempre aggiornato il proprio antivirus in modo che esso sia in grado di sconfiggere anche i virus più nuovi ed elaborati. Altro buonissimo antivirus per la posta elettronica e la protezione in internet è Viruscan (dalla versione 4.02) della Mc Afee, con questo antivirus sarete fuori da molti, se non tutti, i pericoli di internet (tranne che per i programmi per chattare come IRC). Per difendersi da virus di rete ci vuole un antivirus aggiornatissimo, Pc clinic della Mc Afee è in grado di rimuovere Virus Explorer direttamente in linea ma la registrazione è valida solo per 30 giorni per ogni e-mail che registrate.
Vedi anche il sito di How nello speciale virus
Elenco dei siti per gli antivirus:
AVP:
Dr.Solomon's AVTK:
F-Prot:
ITAV:
Norton Antivirus:
Pc-Cillin:
Scan McAfee:
Sweep:
TBAV:
Virit Lite:
Virus Test Center presso l'Università di Amburgo - Computer Science Department
Vsum:
Nonostante tutti e quattro questi metodi siano validi non si è mai fuori dal rischio di un attacco di hackers cattivi quindi state sempre allerta per qualunque problema che vi dà il computer, fate sempre copie dei vostri dati più importanti e non lasciateli in partizioni facilmente leggibili.Comunque la probabilità che un hacker cattivo venga a disturbarvi è bassa, quindi navigate in internet senza eccessive paure.
Fonte: Zio :google: (ol service)
Ci sono molti metodi per difendersi dagli hacker e sono raggruppabili in quattro categorie: metodi passivi, metodi attivi, metodi drastici (rozzi), programmi utili
Metodi passivi
I metodi passivi sono gratuiti infatti basta configurare a dovere il browser. Se avete una rete le cose più importanti sono tre, mettere i dati fondamentali su una partizione del disco non condivisa o dentro dei floppy (magari floppy ottici o zipdisk), disattivare "condivisione di file e stampanti" in proprietà della rete, controllare tutte le informazioni che scambia la rete, non accedete a pagine poco sicure (se lo fate salvate prima tutti i dati), installare solo i programmi necessari per la connessione ad internet. Altra cosa da fare è disabilitare l'esecuzione automatica degli script java, infatti anche se il java per web non è stato dotato di mezzi per accedere alle vostre risorse ci sono alcuni comandi che posso accede al disco e quindi anche danneggiarlo, per fare questo da internet explorer basta mettere protezione personalizzata e disattivare script, con netscape andare in preferences da edit, andare su advanced e disabilitare enable java e disattivare cookies; in questo modo sceglierete quale script eseguire e quale non eseguire. Potete fare delle connessioni di breve durata, questo modo cambierete continuamente il vostro indirizzo IP ad ogni connessione e vi nasconderete ogni volta momentaneamente da un Hacker che vuole attaccarvi.
Come evitare il nuking
Le soluzioni al problema del Nuking sono diverse:
si può aggiornare il TCP/IP utilizzando l'apposita patch ufficiale di Microsoft che può essere scaricata da Internet all'indirizzo:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
. Scarica l'aggiornamento, fai doppio click sopra il file, e automaticamente avverrà l'aggiornamento del TCP/IP che ti protegge dal Nuking. (il Windows 98 è già aggiornato)Si può utilizzare uno dei molti programmi di monitoraggio delle porte di connessione del vostro Pc. Uno dei più famosi è NukeNabber 2.0, una piccola utility che ascolta le comunicazioni attraverso le principali porte di connessione (compresa la 139) ed intercetta potenziali pericoli come il Nuking. Questo non solo ti permetterà di evitare il nuking, ma di sapere che ti stanno attaccando. Attenzione però: programmi come questo non funzionano dopo l'aggiornamento della porta 139 con la patch ufficiale di Microsoft.
Metodi attivi
Il migliore è quello di utilizzare la connessione via internet attraverso un proxy server e/o un firewall, questi due sono applicativi particolari che servono a nascondere i vostri indirizzi, infatti navigando con un proxy server non è il vostro computer che accede alle pagine ma un altro computer per voi quindi se va in overflow (errore che blocca il computer irreversibilmente) non si blocca il vostro computer ma il proxy server, praticamente vi siete creati un muro di protezione, i proxy server sono sia hardware che software (alcuni provider lo forniscono gratuitamente come TIN); il firewall è un dospositivo hardware e grazie a questo si può filtrare il traffico da e verso internet. Per il proxy server vi consiglio ISB100 The intenet sharing box è di tipo hardware ed è molto efficente, mentre per il firewall consiglio Conseal sopratutto per chi usa IRC e non vuole essere attaccato da nuke, smufe, Denial of service.
Esiste un sito dove è possibile scaricare un programma di firewall senza pagarlo andando in programmi per hackers e selezionando protezione.
Metodi drastici (o rozzi)
I metodi migliori sono quelli fatti in casa, prima di tutto bisogna disattivare tutti quei programmi per internet che non utilizzate perchè anche se non attivi sono in listening (attesa di chiamata) quindi hanno porte aperte le quali possono in ogni momento essre catturate da qualche attacco da hacker, non basta, si possono disattivare o mettere delle restrizioni ai pacchetti di entrata e uscita dei dati (i pacchetti sono dati e son getiti da protocolli per il quale il browser si collega ad internet, sono come delle regole che deve seguire), bisogna però conoscere dettagliatamente i vari protocolli. Ecco l'elenco dei protocolli per la trasmissione dei dati via internet:
UDP (user datagram protocol): serve per stabilire una connessione ma non controlla se il dato arriva a destinazione, quindi è un protocollo inaffidabile e può essere attaccato da hacker di tipo flood.
ICMP (internet control message protocol): è un protoccollo necessario in quanto standard per instradare i pacchetti verso il router controllandolo che non sia carico di lavoro quindi se è bloccato il router.
TCP (trasmission control protocol): serve per la trasmissione dei dati e si accerta che i dati sono arrivati a destinazione ed in caso contrario (per esempio se cade la linea o un router va in sovraccarico di lavoro) li ritrasmette. E' in questo protocollo che ci sono le porte per i vari servizzi (una volta attivata una porta viene utilizzata sempre quella quindi disattivare le altre porte non comporta errori):
1. PORTA 8080: è una porta necessaria per il collegamento ai siti internet, con questa il vostro computer contatta un server che contiene la pagina web attende la risposta del server e una volta che la richiesta è stata rilevata il server dialoga con il client (il vostro computer o il proxy server che utilizzate) per lo scambio di dati.
2. PORTA 23 - telnet: serve per fare connessioni remote, cioè operare su un computer in rete diverso dal vostro con la vostra tastiera e mouse, trasmette le password in chiaro e quindi sarebbe meglio disattivarlo se non strettamente necesario.
3. PORTA 513 e 514 - rsh e rcdm: servono per l'esecuzione di comandi per le connessioni remote tra due computer collegati in rete quindi meglio disattivare anche questo servizio.
4. PORTA 119 - nntp: serve per la trasmissione dei messaggi di news, se non lo disabilitate almeno filtrate i dati con un firewall.
5. PORTA 110 - pop3: serve per scaricare la posta eper l'invio di e-mail (trasmette password in chiaro).
6. PORTA 80 - http: è propia degli indirizzi interneted è molto esposta per il largo utilizzo di chi naviga in internet (praticamente ogni volta che vi collegate ad un sito utilizzate questa porta) quindi si consiglia la protezione con un firewall o di un proxy server.
7. PORTA 520 - rip: è il protocollo di routing che utilizza il server o router per collegarsi alla vostra rete dei computer e quindi mettere a disposizione di chiunque le vostre risorse, quindi è meglio impedire l'uscita di questi pacchetti con un firewall.
8. PORTA 53 - dns: trasforma gli indirizzi in formato alfanumerico in indirizzi ip (esempio
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
indirizzo.prova diventa 555.44.333.22.1) siccome utilizza protocolli UDP è meglio farlo passare attraverso un firewall.9. PORTA 67 e 68 - bootp e tftp: servono sopratutto per riavviare i computer senza hardisk che utilizzano esclusivamente la rete, meglio eliminarlo se non avete un computer del genere.
10. PORTA 79 - finger: serve per recuperare da un server informazioni sugli utenti registrati in un server collegato ad una rete, quindi è meglio impedire l'uscita di questi dati dalla lan con un firewall.
Utilizzate il Notepad (blocco note fornito con il windows) ed aprite SERVICE nella directory c:\windows per windows95/98 c:\sistem32\drivers\... per windowsNT, fatto ciò aggiungete DISCARD per chiudere le porte che volete disattivare.
Le porte utilizzate dai principali backdoor sono:
Port
Description
TCP 21
FTP - File Transfer Protocol
TCP 23
Telnet
TCP 25
SMTP - Simple Mail Transfer Protocol
TCP 80
HTTP - Hypertext Transfer Protocol
TCP 110
POP3 - Post Office Protocol v3
TCP 139
NetBIOS
TCP 30100
NetSphere - TCP Communication
TCP 30101
NetSphere - File Transfers
TCP 30102
NetSphere - Streaming Transfers
TCP 12345
NetBus - TCP Communication
TCP 12346
NetBus - File Transfers
UDP 31337
Back Orifice - UDP Communication
TCP 6670
Deep Throat - Does nothing. For scanners to detect.
UDP 3150
Deep Throat - UDP Communication
UDP 2140
Deep Throat - UDP Communication
TCP 20034
NetBus Pro - TCP Communication
Quando vi viene richiesto di inserire la password al riavvio di windows NON INSERITELA SUBITO ma premete ALT+TAB, in questo modo aprirete il Task manager del windows, controllate quali programmi sono in esecuzione, se ci sono dei programmi tipo PASSWORD THIEF, ACTMON, KEYLOGGER, o programmi che non dovrebbero essere attivi, scrivete una password qualunque oppure terminateli con TERMINA APPLICAZIONE selezionando prima il programma da terminare.
Nel caso volete controllare se siete attaccati da un hacker attraverso un Back Orifice dovete semplicemente controllare nel registro (file del windows dove risiedono le informazioni software e hardware installate, aprendo il programma in dotazione con windows 95/98 chiamato REGEDIT che sta nella directory di windows, per aprirlo andate su AVVIO o START poi su ESEGUI e digitate REGEDIT) alla chiave \HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES o al posto di RUNSERVICES nel RUN qualunque file nella lista deve essere eliminato (tranne quelli propri del windows) poichè è di natura sospetta. Per togliere Back Orifice bisogna eliminare il collegamento al programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra specificato (scriversi su un foglietto il nome del programma che in genere è " .exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente (l'ultimo descritto è il modo più efficace che esiste).
Altro metodo per vedere se si è controllati da un Back Orifice è quello di accedere alla Task bar (premendo ctrl+alt+canc) se avete nella lista dei programmi attivi ahqtb (nome difficile anche per alcuni hacker cambiare) avete Back Orifice, il programma Netbus e Netsphere invece è invisibile anche dalla Task bar ma visibile in Regedit.
Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo descritto sopra (\HKEY_LOCAL_MACHINE\......\RUN), quale è il nome del file server che l'hacher vi ha installato, fatto ciò eseguire nome_del_file_server /remove dove nome_del_file_server è il nome del file che avete individuato, a questo punto cancellate il programma server. Per eliminare Netbus per versioni da 1.6 a superiore potete fare la stessa cosa descritta sopra o scaricare il programma Netbus (se non lo trovate ve lo fornisco io, ma dentro Astalavista lo trovate sicuramente) ed eliminarlo direttamente con il programma client tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra specificato, scriversi su un foglietto il nome del programma che in genere è "patch.exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file manager), oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite netbus il programma manda in overlow il computer dell'hacker bloccandogli il computer.Altro modo per eliminare NetSphere è collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi selezionare Target > Server > Remove Server. Nel caso in cui sia un file server dotato di password allora vai su Start o Avvio della barra delle applicazioni, poi vai su esegui e insersci il nome del file server con relativo percorso, cioè se il file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe /visible poi dal menù del file server clicca su REMOVE. Per eliminare Master's Paradise dovete vedere nel registro di sistema con Regedit alla chiave riportata sopra (\HKEY_LOCAL_MACHINE\......\RUN) in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di sistema, se è infettato il vostro computer questo programma non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il collegamento al programma dal registro e cancellare il programma server come descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per evitare di essere spiati con Netbios invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti Microsoft che sta dentro Rete del Pannello di controllo e se possibile disattivare Condivisione file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit (netbios è un exploit) non c'è nessun modo per evitare di essere penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere meno applicazioni possibili attive che utilizzano internet può servire a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo aprire un programma alla volta, ma la penetrazione al sistema è solo questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer si posso fare due strade:
1. Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.
2. Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, protrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)
Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema. Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.
Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)
Andate nella directory System di Windows
Eliminate i file: ska.exe - ska.dll - wsock32.dll
Rinominate il file wsock32.ska in wsock32.dll
Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi recentemente. Ulteriori notizie le potete trovare sul sito Symantec
Programmi utili
Ci sono vari programmi utili per l'eleminazione di programmi che servono agli hackers per accedere al vostro computer, infatti da internet non sono i virus i più pericolosi, ma sono i back orifice (o la versione migliorata del programma chiamata NETBUS)i quali non sono virus (quindi non rilevabili dai antivirus) ma sono dei programmi che consentono agli hackers ad accedere alle vostre risorse (quindi hardisk) ogni volta che vi collegate in internet. Quindi vi serve un software per l'eleminazione dei virus e uno per l'eleminazione dei back orifice. Di antivirus ne esistono una infinità, il migliore comunque dovrebbe essere il McAfee Antivirus e PC-cillin98 (non sono gratuiti, ma sono shareware), di programmi per l'eleminazione dei back orifice non sono molti ma uno di questi è Back Orifice Eradicator (nome file BOEradicate.exe, dimensione 0,2Mb, non necessita di installazione/disinstallazione ed è FREEWARE, NON è utile per eliminare anche NETBUS); visitate il sito che lo ha creato per scaricare la versione più aggiornata.
Usare il back orifice eradicator è facile:
1. avviare il programma e fare scansione della memoria.
2. nel campo file metti c:\windows\system\ .exe (ricordate lo spazio prima di .exe, si chiamano così in genere ma non sempre i back orifice), oppure altro nome di file sospetto.
3. se vi appare un messaggio del tipo "file scanned is the Back Orifice server please run autoremeval immediately" premete Autoremove e l'hacker perderà ogni traccia di voi.
Download Back Orifice Eradicator
Se non lo trovate chiedetemelo a me ( o vai sul mio sito) e ve lo fornirò gratuitamente via e-mail.
Esiste un altro programma gratuito per rilevare Back Orifice e Master's Paradise si chiama BOClean.
Altri programmi che rilevano Back orifice, Netbus e Master's Paradise sono Norton Antiviru 5 e McAfee 4 e Pc-Cillin 98 (non gratuiti).
Difendersi dai rischi della posta elettronica:
Il consiglio mio è un doppio consiglio. Da un lato la prudenza. Occorre sempre essere sicuri di che file si sta aprendo e chi l'ha inviato. Inoltre un buon programma antivirus può essere d'aiuto. Norton Antivirus (solo dalla versione 5) è uno dei prodotti migliori presenti oggi sul mercato. Questo software mantiene uno stretto monitoraggio del tuo sistema. Ogni volta che apri un file, sia esso eseguibile o semplicemente un documento a rischio (Word o Excel), Norton Antivirus verifica che esso non contenga un codice dannoso. E' importante mantenere sempre aggiornato il proprio antivirus in modo che esso sia in grado di sconfiggere anche i virus più nuovi ed elaborati. Altro buonissimo antivirus per la posta elettronica e la protezione in internet è Viruscan (dalla versione 4.02) della Mc Afee, con questo antivirus sarete fuori da molti, se non tutti, i pericoli di internet (tranne che per i programmi per chattare come IRC). Per difendersi da virus di rete ci vuole un antivirus aggiornatissimo, Pc clinic della Mc Afee è in grado di rimuovere Virus Explorer direttamente in linea ma la registrazione è valida solo per 30 giorni per ogni e-mail che registrate.
Vedi anche il sito di How nello speciale virus
Elenco dei siti per gli antivirus:
AVP:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Dr.Solomon's AVTK:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
F-Prot:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
ITAV:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Norton Antivirus:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Pc-Cillin:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Scan McAfee:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Sweep:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
TBAV:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Virit Lite:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Virus Test Center presso l'Università di Amburgo - Computer Science Department
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Vsum:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Nonostante tutti e quattro questi metodi siano validi non si è mai fuori dal rischio di un attacco di hackers cattivi quindi state sempre allerta per qualunque problema che vi dà il computer, fate sempre copie dei vostri dati più importanti e non lasciateli in partizioni facilmente leggibili.Comunque la probabilità che un hacker cattivo venga a disturbarvi è bassa, quindi navigate in internet senza eccessive paure.
Fonte: Zio :google: (ol service)
Ultima modifica:
calma...
