FUCK!a quelli che distruggono siti per il piacere di farlo.
FUCK!a quelli che creano casino avvalendosi delle loro capacità.
FUCK! a chi utilizza internet per intraprendere traffici di bambini e chi
sostiene i pedofili!!! Invitiamo a distruggere i siti pedofili con tutte le vostre
capacità e risorse,oppure avvisare le autorita'.....
FUCK!ai lamah che rompono sempre il caXXo.....
FUCK!a }Lost{ che non pensa con la sua testa ma con quella del fratello.....
!!¡!!!¡¡!!!!!!!¡¡¡¡¡¡¡!!!!¡¡!DISCLAIMER!¡¡!!¡!!!!!!!!¡¡!!!!¡¡¡¡¡¡!!!!!¡¡¡¡¡¡!!!
io non mi ritengo responsabile di come utilizzerete le informazioni
contenute in questa guida in quanto da me offerte a puro scopo informativo
insomma in poche parole NON FATE CAZZATE!
¡¡¡!!!!!¡¡¡¡¡¡!¡¡¡¡¡¡¡!!¡¡¡¡¡DISCLAIMER¡¡!!!!¡¡¡¡¡¡!!!!¡¡¡¡¡¡¡¡¡!¡¡¡!!¡¡¡¡¡¡!!!
INDICE
[1] Prefazione
[2] Attacchi su IRC e difesa
[3] mIRC e sicurezza nell'uso
[3.1]Script Backdoor
[4] Nascondere il proprio ip come mezzo di difesa
[5] Dcc SenD. Trojani /netstat
[6] Sicurezza su ICQ
******************************************************************************
Prefazione
******************************************************************************
La natura di Internet e di IRC, che ne è parte, è essenzialmente anarchica.
Lo spazio virtualmente infinito offerto da Internet (che è un mezzo di
comunicazione molto sofisticato) vanifica qualsiasi desiderio di appropriarsi
dello spazio altrui.Perchè si dovrebbe mai lottare per uno spazio, quando lo
spazio è infinito? Eppure accade, esistono persone che sono oppresse dal
desiderio di possesso, di qualunque cosa sia numerabile, siano queste le
chioccioline @ dell'op, sia un certo numero di bot, sia la quantità di persone
che si fanno influenzare dalle loro parole; questa patologia si chiama smania
di potere (in questo caso potere sul nulla) ed è tutto quello che si dovrebbe
evitare. format
******************************************************************************
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
ºÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿º
º³ATTACCHI IRC Difesa ³º
ºÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙº
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
*************************************************************************
Il vero problema su irc è che il proprio ip è ben visibile a tutti.
Effettuando un semplice /whois nick appaiono sullo status le informazioni
***format is T34M@server.com
***format on @#sthg
***format using irc.tin.it
relative all'user.
Nella prima riga è ben visibile l'host con cui format si sta connettendo all'
IRCSERVER --> server.com
E' quindi facile girando per i canali (soprattutto in quelli affollati) che il nostro
indirizzo venga preso di mira dagli altri frequentatori.
Infatti è semplice effettuare un nslookup di "server.com" o attraverso il comando
del mIRC "/dns nick" per ricavare lo stesso IP
*** Looking up format
*** Resolved server.com to 12.34.56.78
Ecco allora il motivo per cui su IRC non si può star tranquilli come quando
navighiamo sul web...soprattutto se siamo operatori (@) in quel momento nel canale
è facile subire attacchi alla nostra macchina.
Gli attacchi D.o.S più frequenti su IRC sono:
bonk
land
teardrop
click
ssping
WinNuke
ICMP Flood
smurf
ping pattern
SYN flood
Bloop (flushot)
Igmp (pimp/kod)
Alcuni di questi non sono più usati, perchè bastano pochi accorgimenti per non
essere più affetti.
Vediamoli in particolare.
BONK
Sono affetti dal BONK sistemi WIN95/NT
Il bonk ha come sintomo il blue Screen
Il bonk può essere generato solo da macchine *nix e per prevenirlo basta
aggiornare il proprio win95 con le winsock2.2
LAND
Sono affetti dal LAND sistemi win31/95/NT etc
Il land ha come sintomo il blocco completo del PC.
Invia un pacchetto con gli stessi indirizzi di sorgente e destinazione
ad una porta causando il blocco del sistema
Il land può essere generato solo da macchine *nix e per prevenirlo basta
aggiornare il proprio win95 con le winsock2.2
TEARDROP
Sono affetti dal TEARDROP sistemi win 3.1/95/NT, Linux precedenti a 2.0.32 o 2.1.63
Il teardrop ha come sintomi il blocco/riavvio immediato del sistema.
Invia un pacchetto IP frammentato in modo non corretto. Lo stack TCP/IP
va in crash tentando di riassemblarlo.
Il land può essere generato solo da macchine *nix e win95 non è ancor del tutto
immune nonostante la possibilità di aggiornarsi al winsock2.2 per la presenza
di attacchi con delle caratteristiche differenti dal teardrop originario.
CLICK
Sono affetti dal click tutti i sistemi Windows(31/95/98/NT) Linux è invece immune.
Click o meglio ICMP_DESTINAZIONE_IRRAGGIUNGIBILE ha come sintomo la disconnessione
dal server IRC con il classico messaggio di uscita:
*** format has quit irc (Connection reset by peere de cocain) :))
Non tutti sanno che questo attacco può essere inviato non solo contro le connessioni IRC
ma anche contro qualsiasi connessione TCP ( i msg di errore del browser per esempio
"la connessione è stata reimpostata")
Il Click può essere generato sia da sistemi Windows (famoso appunto il codice di Rhad
del click2.2) che da macchine *nix e per difendersi bisogna filtrare ICMP usando un firewall
Si consiglia cmq contro il click il connettersi a porte fuori range del server IRC
(5667 per irc.tin.it)--> leggere il motd per le altre porte.
ssping - ping of death
Sono affetti dallo ssping i sistemi Windows 95, NT etc.
Lo ssping ha come sintomo il blocco totale del sistema, che richiede un reset
hardware (CTRL-ALT-CANC non funziona).
Lo ssping può essere generato solo da macchine *nix e per prevenirlo basta
aggiornare il proprio sistema con il Winsock 2.2 (o per utenti LINUX
aggiornare il kernel)
WinNuke - OOB
Sono affetti dall'OOB i sistemi Win 31/95/NT
Il WinNuke ha come sintomo il bluescreen (errore VXD) o il blocco del PC.
Invia dati out of band alle porte 137/138/139 (netbios)
Il WinNuke può essere generato da macchine Windows o *nix (anche senza avere
i privilegi di 'root') e per prevenirlo è sufficiente aggiornarsi alle WinSock2.2
anche se il sito della microsoft ha rilasciato anche una semplice patch.
ICMP flood
Sono affette tutte le connessioni modem
Il modem comincia a ricevere troppi dati e tutte le applicazioni internet diventano
lente.In questo modo è possibile una disconnessione dal server IRC ed una uscita per
Ping timeout.
L'ICMP flood può essere generato indistintamente da macchine Windows o *nix (ping -f)
e questo attacco dipende dalla bassa velocità di connessione ad internet.
L'uso di firewall non ha effetto.
Smurf
Tutte le connessioni ed interi server IRC
Lo "smurf" utilizza la tecnica dell'IP spoofing. Invia richieste PING con l'IP della
vittima ad un elenco di IP detto "BROADCAST" (questi IP terminano con 255 o 0
e vengono trovati con un "broadscan" per Linux).
La vittima riceve le risposte a tutti i PING che creano flood.
Interi IRC server possono subire questo attacco ed in questi casi si crea lo split
del server dal resto della rete, con la perdita di tutte le connessioni.
L'uso di firewall non ha nessun effetto.
Questo attacco può essere generato solo da macchine *nix con privilegi da 'root' anche
se esiste un programma per win (exploit generator) capace di inviare questo particolare
D.o.S
Ping Pattern
Sono affetti almeno il 60% dei modem (esclusi gli US ROBOTICS)
Consiste nell'inviare al modem della vittima attraverso PING o anche CTCP il comando
ATH0+++ (disconnessione) Il modem alla risposta si disconnette.
Un firewall ben impostato risolve il problema o anche basta impostare ATS2=255 fra le
inizializzazioni Avvio -> Impostazioni -> Pannello di controllo -> Modem ->
Proprietà modem -> Connessione -> Avanzate -> Altre impostazioni : inserire S2=255
SYN flood
Tutti i sistemi operativi.
Il suo uso principale è bloccare servizi come Telnet o FTP.
In pratica un SYN flood stabilisce molte connessioni ad
un'unica porta TCP di un host remoto. Stabilita una connessione,
essa viene chiusa immediatamente e ne viene aperta un'altra.
Applicazioni in IRC sono nell'attacco di porte generalmente
"monitorate" ad esempio 12345 oppure 139.
In questo modo è facile che il programma monitor vada in crash con il
pericolo di un crash di sistema.
La soluzione è evitare in ogni modo di tenere anche solo per monitoraggio
porte aperte.
Bloop (flushot)
Win95/98 NT
Invia pacchetti ICMP spoofati casualmente provocando il blocco del sistema.
Questo attacco può essere generato sola da macchine *nix e l'unico rimedio
sta nell'attivare un firewall software per filtrare gli ICMP.
IGMP
Consiste in un flood di pacchetti igmp e windows (95/NT/98!!) non riesce a gestire
al meglio questo protocollo.Il risultato è il blue screen con necessità di riavvio
del sistema.
L'attacco può essere generato solo da macchine *nix.
Il D.o.S è relativamente recente (aprile 99) ed io personalmente non conosco
la presenza di patch per il windows98 ma un firewall ben configurato mette al sicuro
la macchina da questo tipo di attacco.
Difendiamoci:
Se avete letto bene questi sono i possibili attacchi che più frequentemente
potete subire mentre IRCATE.
Soluzioni:
LINUX
Le ultime versioni del kernel sono ancora esenti da particolari D.o.S
(effettivamente esiste un d.o.s per il 2.2.x ma sarà presto risolto)
Per Linux il vero problema è la configurazione dei singoli servizi.
Cmq mi pare essenziale per un uso non da SERVER effettuare questa
configurazione:
/etc/securetty
Commentare tutte le linee aggiungendo come primo carattere # differenti da
#/etc/securetty
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
In questo modo sarà impossibile collegarsi da root da connessioni seriali e
parallele.
Inoltre per impedire a chiunque di far un uso remoto dei servizi e quindi
renderli disponibili solo da locale editare in questo modo:
/etc/hosts.allow
#/etc/hosts.allow
ALL: LOCAL:
e:
/etc/hosts.deny
#/etc/hosts.deny
ALL: ALL
Ancora andare nel file /etc/inetd.conf
e commentare i servizi che non vogliamo eseguire.
Es:sendmail..telnet..imap..
(il mio file ad esempio è tutto commentato)
Windows95
In questo caso prima di tutto bisogna aggiornarsi alle winsock2.2
Installando in questo ordine i seguenti files:
(ricordarsi di rebootare dopo aver installato ciascun pacchetto)
MS Winsock Update (wsockupd.exe)
the MS DUN 1.3 Upgrade (msdun13.exe)
Winsock 2.2 Upgrade (ws2setup.exe)
(cercatele con google.it)
Installando un firewall si riesce inoltre a prevenire anche attacchi
tipo click e ping pattern ed IGMP mentre nulla si può fare contro attacchi di
flood icmp e smurf.
Windows98
E' decisamente più stabile in rete rispetto a windows95 e non necessità nessun
aggiornamento.
E' però affetto da attacchi del tipo click e ping pattern ed igmp (per l'igmp *dovrebbe*
comunque uscire una patch)
Installando un firewall si riescono a prevenire anche questi.
Nulla si può fare contro attacchi di flood icmp e smurf.
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
ºÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿º
º³ mIRC e Sicurezza ³º
ºÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙº
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
mIRC non è altro che un client per IRC.
Oltre ai pericoli derivanti da IRC per fortuna mIRC
non ne aggiunge di molti :)
Il client senza uso di script è di per sè sicuro..nelle peggior delle
ipotesi sono stati trovati bug che crashavano il solo client senza pericolo
per il resto del sistema.
Delle versioni più recenti ricordiamo:
Il mIRC 5.3* ha l'ident server Buggato..è appunto sufficiente un SYN flood alla
porta 53 per provocare il crash del client. (nel caso in cui è attivo l'identd)
Il mIRC 5.4 invece presenta un bug che provoca la chiusura del client attraverso un
determinato DCC.
Tutte le versioni precedenti alla 5.51 inoltre presentano un grave difetto di
sicurezza per la gestione dei DCC SERVER
(l'exploit permette di inviare file in qualsiasi cartella dell'unità dove è installato
mIRC e suddetto file può anche apparire come "sexx.jpg" in verità è
"......WINDOWSMenu avvioEsecuzione automaticatroian.exe" )
Un consiglio ?
Il mIRC 5.51 per ora si presenta il migliore.
Veniamo ora alla note dolente --> L'uso di SCRIPT per mIRC!
Lo script per mIRC è sempre stata la sede di backdoor e considerando anche i
file .exe allegati, di trojani e virus.
Non usate script se non capite il suo codice..o almeno dopo essersi fatti consigliare
da chi di codice ne capisce.
E' questo il motivo per cui se dovete usare uno script..usate uno script che sia
stato almeno testato e controllato da gente competente.
Prima di usare programmi nukers inclusi è sempre bene effettuare una scansione con
un antivirus AGGIORNATO (consiglio l'AVP prelevabile in test gratuitamente
su http://www.avp.it )
Poche linee di codice "cattivo" all'interno di uno script possono rendere il vostro
sistema completamente vulnerabile [rischio di formattazione di c] e la vostra
privacy completamente a rischio. (lettura query e messaggi privati)
Per questo motivo MAI accettare da sconosciuti..e anche da pseudo amici Script
o semplici file.ini.
Insomma prima di caricare qualcosa nel remote del mIRC pensateci 10 volte.
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
ºÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿º
º³ IP e Difesa ³º
ºÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙº
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
La soluzione "ottimale" per andare su irc correndo il minimo dei rischi è quello
di poter nascondere il proprio IP
Con questa logica nasce in alcuni server non ircnet il mode +x che permette di nascondere
agli altri user (eccetto ircop) il proprio ip.
In pratica
***format is T34M@server.com
diventa
***format is T34M@***.com
Quali sono questi server?!?
Bene in Italia è nata non da moltissimo la AZZURRA NET...collegatevi ad
irc.azzurra.it 6667 per maggiori informazioni.
Il problema di questi server è la loro limitatissima banda..quindi succede che spesso
invece di effettuare attacchi ai singoli user si vada a colpire l'intero server, la chat
diventa impraticabile ed infatti non sono mai affollati ;)
Su IRCnet per fortuna ci sono altre soluzioni.
La prima fra queste è il sockarsi.
E' possibile infatti configurare il proprio IRC client (mIRC in questo esempio)
alla voce options-setup-firewall in modo da usare un socks server come relay su irc
in questo modo sarà quindi possibile chattare collegandosi attraverso il socks e
naturalmente apparirà nella chat come proprio ip quello del socks server.
In questo modo tutti gli attacchi rivolti a voi andranno verso il socks server
(macchine *nix e solo per questo più stabili in rete) anche se il 90% di socks
è dotata di banda talmente ridicola da non opporre alcuna resistenza a flood tipo
smurf...vi scollegherete ugualmente da irc ma almeno la vostra connessione internet
rimarrà "salva".
Usare socks "aperte al pubblico" non è permesso su tutti i server IRC...alcuni server
prima di permettere il collegamento del client verificano lo stato della porta
1080tcp per impedire in caso affermativo la connessione (il socks server infatti
è in ascolto sulla 1080) Trovare Socks aperte al pubblico non è difficile, ci
sono in circolazione scripts per mIRC con questa funzionalità, non fanno altro
infatti che scannare i canali alla ricerca di porte 1080
in ascolto.
Uso di BNC
In questo modo non fate altro che connettervi ad un BNC che gira su un'altra
macchina e da questo redirigere la connessione al server IRC.
BNC sta appunto per BouNCer.
Naturalmente il massimo della sicurezza è l'uso di un BNC su una macchina *nix
con una grande banda.
In questo modo anche gli attacchi tipo smurf/icmpflood saranno inefficaci e
naturalmente vi collegherete su irc con l'ip della macchina dove risiede il BNC.
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
ºÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿º
º³ Dcc SenD e Trojani ³º
ºÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙº
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
Prima importantissima regola: non accettate nessun file con estensioni .exe .doc .bat
.ini .mrc .xls .com da sconosciuti.Diciamo più semplicemente che i file che potete
aprire senza correre rischi sono i file di testo
semplice [non aprite gli rtf con word ;) ] file di immagini e file audio.
Naturalmente questo per non correre il rischio di infettarsi con virus, ma anche con
backdoors (trojans) oppure di installare backdoor nel remote del mIRC attraverso
script.ini dmsetup etc.
Il problema specialmente sorge quando all'entrata di un canale vi appare la
finestra di ricezione dcc send. Premete CANCEL ;)
Se invece siete stati fatti oggetto di beffe ed avete avviato un file.exe
probabilmente vi siete installati una backdoor nel vostro sistema.
Le backdoor più diffuse per il mondo windows sono:
-Backorifice
-Netbus
-Master Paradise
-Telecommando
-Microsoft Windows --> Condivisioni file e stampanti ;)
Per scovare la presenza di una queste backdoor nel vostro sistema la cosa più saggia
è quella di scaricarsi un buon antivirus AGGIORNATO dal web. Un consiglio ?
AntiViral toolkit Pro (AVP) scaricabile e per un mese in prova da http://www.avp.it
Se invece non abbiamo tempo per scaricarci un antivirus..oppure pensate di avere
sul vostro sistema una backdoor difficilmente rilevabile dagli usuali antivirus
seguite questa procedura.
Effettuate dal prompt dei comandi prima della connessione ad accesso remoto "netstat -na"
Se siete puliti non vi troverete nessuna porta IN LISTENING (in ascolto)
Lo stesso dovete fare dopo la connessione SENZA APRIRE NESSUN PROGRAMMA.
Se ancora non ci sono porte sospette..è tutto OKI
Non aprite programmi perchè i programmi stessi per esempio il mIRC apre alcune
porte in listening (53 e 79 ) per finger e dcc.
Vi risulta invece per vostra sfortuna una porta aperta?!?
probabilmente ,ma non sempre cosi, questa porta potrà essere la 12345 12346 o la 31337.
Argh che fare? Usate un antivirus ...ma se ne volete fare a meno..ecco come disinfettarsi.
Controllate il registro di configurazione alle chiavi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
dove sono i programmi lanciati all'avvio. Cancellare da tale chiave qualunque
cosa non sia di "sicura" provenienza (Barra di Office, antivirus, demone ICQ, ...)
Se vi risulta un file sospetto riavviate e cancellatelo.
Dopo di che rieffettuate la verifica con il netstat prima e dopo la connessione remota.
E' necessario per non avere accessi indesiderati nella vostra macchina dare una occhiata
Basta aprire Avvio -> Impostazioni -> Pannello di Controllo -> Rete ->
Protocolli e controllare l'elenco. Si corre il rischio che un intruso possa
accedere alla vostra macchina semplicemente inserendo il vostro IP in
Avvio -> Trova -> Computer, se si ha Accesso Remoto aggiornato.
Naturalmente bisogna avere attivato delle condivisioni di risorse su alcune
unita'/cartelle del computer.
******************************************************************************
Saluti
******************************************************************************
Nik
[Evil]
[V]lad
}Lost{
ElBarto
la crew Sthg
e a tutte le persone che la pensano come me
© GnomixLand
http://www.gnomixland.com/
http://www.gnomixland.com/