Consigli per impraticarsi con netbus:
Infettatevi cliccando il patch
Niente panico: Ci si disinfetta con l’anti-patch oppure con un qualsiasi antivirus, oppure più semplicemente dal dos digitare:
cd.. [Premere invio]
cd windows [Premere invio]
del patch.exe [Premere invio]
Se esce: “impossibile trovare il file” significa che non eravate infetti.
Connettetevi premendo CONNECT! Dopo aver digitato: localhost nella casella di testo seguente a HOST NAME/IP:
Ricordatevi di non cambiare mai il numero della porta, quindi lasciate PORT:12345 come di default, perché non è un numero scritto a caso, anche se può sembrare.
Provate i vari comandi.
!!!!! Il patch crea una sua copia nella cartella windows e lachiama: “patch.exe”, ma se provate a eliminare il file da windows spostandolo nel cestino o in qualsiasi altra maniera non ve lo lascerà eliminare perché windows lo considera come un file che utilizza lui.
Come interpretare la guida:
NOME COMANDO
Commento illustrativo sulle istruzioni eseguite dal server alla selezione del tasto corrispondente.
ACTIVE WNDS
Ti dice il nome delle finestre che la vittima ha attive (devi fare REFRESH nel
sottomenù);
PROGRAM/URL:
TEXT TO SEND:
Questi campi contengono i testi che le funzionispiegate di seguito vanno a leggere per eseguirsi.
GO TO URL
Apre il browser predefinito e va alla pagina web specificata in Program/URL.
START PROGRAM
Esegue il programma (file EXE che dev’essere sull’HD della vittima)
specificato in Program/URL (Es. C:\Windows\ver.exe)
SEND TEXT
Spedisce il testo specificato in “Text to send” alla vittima come se fosse lei ad
averlo scritto dalla sua tastiera.
CONTROL MOUSE
Teoricamente dovrebbe permettere di muovere il cursore della vittima usando il
tuo mouse, in realtà funziona poco e male.
EDIT WINDOWS
Apre un sottomenù : “LOGOFF” (disconnette l’utente di Windows corrente)
“SHUT DOWN” (spegne il computer) “CLOSE WINDOWS” (chiude Windows).
FILE MANAGER
Apre un sottomenù : “UPLOAD” (copiare un tuo file sull’HD vittima) “DOWNLOAD” (copiare un file dall’HD vittima sul tuo) “DELETE” (cancellare il file selezionato sull’HD vittima) “SHOW FILES” (mostra l’HD della vittima). N.B. Abbi pazienza è molto lento e ti mostra la % di lettura dell’HD.
N.M.B.Una volta fatto SHOW FILES, anche se chiudi la finestra FILE MANAGER, lui prosegue.
GET INFO
Ti mostra la situazione del PC vittima (quanti utenti con NetBus sono connessi,
se patch.exe è attivo anche dopo un reboot, in che cartella si trova, ecc…
KEY MANAGER
Consente di disabilitare alcuni tasti della tastiera con DISABLE KEY. (es. se
scrivi ‘A’, il tasto A della vittima non funziona più, se scrivi ‘A,C’ i tasti A e C
non funzionano più, ecc…)
LISTEN
Ascolta i tasti premuti dalla vittima e li mostra in una finestra, consente anche di intervenire scrivendo come se fosse la vittima stessa a scrivere.
MOUSE POS
Setta la posizione del mouse alle coordinate specificate.
MSG MANAGER
Consente la spedizione di messaggi al PC remoto.
OPEN CD-ROM
E’ ovvio che apre e chiude il cassettino del lettore CD.
PLAY SOUND
Chiede il percorso e il nome di un file wave e lo suona sul PC della vittima (es.
C:\programmi\ciao.wav). Il file deve risiedere sull’HD vittima.
SCREEN DUMP
Mostra lo schermo della vittima (abbi pazienza, è un po’ lento)
SERVER ADMIN
Serve per impostare una password in modo che altri client di NetBus non
possano accedere a questo server senza conoscerla.
SHOW IMAGE
Chiede il percorso e il nome di un file immagine e lo mostra sullo schermo
della vittima (es. c:\programmi\ciao.jpg). Il file deve risiedere sull’HD vittima.
SOUND SISTEM
Non funziona quindi è inutile spiegarti.
SWAP MOUSE
Inverte le funzioni dei tasti del mouse (sinistro diventa destro e viceversa)
SERVER SETUP
Questa funzione è leggermente cambiata sulla versione 1.7 :
1. nella versione 1.6 consente di impostare una password in modo che altri hackers non possano piratare quella vittima senza sapere la password;
2. nella versione 1.7 consente di impostare gli indirizzi IP che hanno permesso di accedere a quella vittima in modo che altri hackers senza quell’IP non possano piratarla (è stato modificato nella versione 1.7 perché era molto facile scoprire la password della 1.6);
consente anche di farsi inviare dal PC della vittima un’e-mail ogni volta che si connette ad internet specificando semplicemente :
A. Indirizzo e-mail a cui inviare la lettera di notifica (il vostro);
B. Indirizzo e-mail da cui parte la lettera (scrivetene uno a caso che vi ricordi chi è la vittima);
C. SMTP Server da usare per l’invio dell’e-mail (se usate un server di posta in uscita “grosso” come Tiscali o Libero che controllano se il mittente è un loro utente,
l’indirizzo e-mail da cui parte la lettera dovrà somigliare a un loro utente)
Ad esempio se usate come SMTP Server mail.libero.it, il campo “e-mail from”
dovrà essere compilato con un indirizzo del tipo XXXXX@libero.it
ALTRI TRUCCHETTI:
Per modificare o annullare la password di un computer infetto dal server Netbus 1.6 bisogna seguire
i seguenti passaggi:
1. Eseguire telnet (programma fornito con Windows) da Start - Esegui...
2. Aprire il menù per la connessione cliccando sul Sistema remoto (Remote system)
3. Inserire l'indirizzo IP o DNS del computer infetto dal server
4. Inserire il numero della porta 12345 e cliccare sulla connessione
5. Se leggi "Netbus 1.60 x" dopo pochi secondi la password è distrutta, altrimenti segui i punti 6 e 7
6. Chiudi il telnet e riaprilo seguendo i punti 1 2 e 3, scrivi i seguenti comandi (le maiuscole devono essere rispettate):
Password;1;tuapassword [enter] (tuapassword è la password che hai scelto tu)
ServerPwd; [enter]
7. Chiudi telnet e collegati all'IP o DNS del PC infetto con Netbus 1.6.
10/12/10
Guida netbus 1.6 1.7
Nascondersi in rete
Prima di effettuare qualsiasi operazione e'necessario sapere come nascondersi
nella Rete. Questo non garantira' l'anonimato completo, ma rendera' piu'
difficile il compito di chi deve trovarci.
In questo articolo, esplicitamente rivolto ai newbbissimi, prenderemo in
considerazione tutti i passaggi di una connessione Internet, dalla chiamata
telefonica ai diversi "rimbalzi" sugli host della rete.
Prima di effettuare qualsiasi tipo di "esperimento" consiglio di leggere
completamente il documento, compresa la sezione "Pericoli".
0x00.1 CLI & BIC
----------------
Dove CLI sta per "Caller Line Identification" e BIC per "Blocco identificazione
chiamante". Chiaramente stiamo parlando del collegamento telefonico. Il primo
passo verso Internet e' la connessione dial-up con l'ISP (Internet Service Provider)
Da alcuni mesi e' disponibile anche in Italia il CLI, ovvero l'invio del numero
del chiamante; questo significa che chi riceve la vostra chiamata e' in grado
di vedere in tempo reale il numero del chiamante.
Per evitare che questo avvenga, e' disponibile il "Blocco identificazione chiamente",
che disabilita (parzialmente) questa possibilita'.
Mettendo il numero 1793 (o *67#) davanti al numero da chiamare, si inibisce
la possibilita' di visualizzare il nostro numero sul display del ricevente,
ma non l'invio dello stesso alla centrale Telecom; questo significa che
comunque sui tabulati della telco sara' registrata la telefonata dalla vostra
utenza all'ISP, quel giorno a quell'ora...
0x00.2 Account falsi
--------------------
Scenario: voi state "hackerando" con l'account dell'abbonamento che vi hanno
regalato; vi siete registrati con il vostro nome (Mario Rossi) e vi siete
collegati al computer del Pentagono... il sysadmin si accorge di un ip strano
collegato al sistema (il vostro ip!), esegue un traceroute sul vostro ip,
prende nota del penultimo hop e si collega sulla porta 79 di quell'host
(il vostro gateway):
users online
---------------
mrossi@tin.it 212.216.200.123
Mezz'ora dopo l'FBI e' a casa vostra e suona il campanello...
Questa storiella ci insegna che non e' buona abitudine hackerare con l'abbonamento
che abbiamo registrato con il nostro nome e i nostri dati anagrafici.
Da quando sono nati i free-internet provider (Libero,Tiscali) la situazione e'
alquanto migliorata (non che prima fosse fosse molto piu' complicata...); si
possono creare fake-account a volonta', utilizzando un generatore di
identita'(tipo quello di Cavallo de Cavallis).
Naturalmente per effettuare l'abbonamento on-line, si dovranno rispettare alcune
regole auree: una l'abbiamo gia' vista, ovvero la "disabilitazione" del CLI
mettendo il numero 1793 prima del numero da chiamare, l'utilizzo di proxy.
0x00.3 Proxy
------------
Uno dei problemi principali del newbie e del wannabe e' come nascondere o
cambiare il proprio ip durante la navigazione o per entrare in IRC.
I browser (Explorer, Netscape) prevedono l'uso di "proxy", ovvero computer che
si frappongono tra noi e il resto della rete; quando cerchiamo di recuperare
una pagina sul web, il nostro browser contattera' il proxy, e sara' quindi
quest'ultimo a "prelevare" il documento html e a inviarlo a noi; vantaggio di
questa operazione e' che l'ip loggato dal server di destinazione (dove
abbiamo prelevato la pagina) sara' quello del proxy e non il nostro.
Attenzione pero': non tutti i proxy sono anonimi. Questo significa che in alcuni
casi il proxy lascia "filtrare" il nostro ip reale che restera' nei log del
server. Prima di usare un proxy, ci si doverebbe sempre assicurare che si tratta
di un proxy anonimo che non rivela il nostro ip. Questo testo puo' essere
effettuato collegandosi a http://www.anonymizer.com/snoop.cgi, una pagina
che fa un test sul grado di anonimato del nostro sistema.
Comunque anche utilizzando un proxy anonimo non vi dovete sentire sicuri, anzi.
Sarebbe opportuno concatenare due o piu' proxy prima di collegarsi al vero
obbiettivo. Come ? Innanzitutto questa tecnica funziona solo con alcuni tipi
di proxy, i Delegate; quando avete trovato alcuni Delegate, dovete mettere
nella barra del browser la seguente stringa:
' target='_blank'>http://proxy1.url:port/-_-http://proxy2.url:port/
dove proxy1,proxy2 e proxy3 sono gli indirizzi dei proxy Delegate che avete trovato.
Ricordate: piu' proxy mettete, piu' diminuiscono le probabilita' di essere
rintracciati, ma aumenta anche il tempo di latenza, rallentando la
navigazione.
Ma anche i proxy loggano...
0x00.4 Socks
------------
Nelle reti protette da firewall gli host interni entrano in Internet attraverso
un servizio speciale: Socks.
Questo protocollo la cui porta di default e' la 1080, permette alle applicazioni
che lo supportano di collegarsi a Internet in modo indiretto, con il firewall
che fa da tramite. Il principio e' lo stesso del proxy per http, ma il range
di applicazioni e' piu' vasto. In pratica ogni applicazione che supporta Socks,
puo' collegarsi a Internet tramite Socks. Il vantaggio e' come al solito che
l'ip che appare non e' piu' il nostro ip reale, ma quello del firewall; inoltre
nuke & DoS vari del lamer di turno saranno diretti al firewall, lasciando
del tutto indifferente la nostra macchina!
L'utilizzo dei Socks e' classico nel mondo di IRC, ma puo' essere utilizzato
anche con altre applicazioni; Volete proprio usare il Netbus? Ok, ma almeno
non fatevi beccare subito con il vostro ip vero... usate un Socks. Volete
fare del port-surfing manuale con il Telnet? Usate Socks...
Certo, non tutti i programmi prevedono l'uso di Socks (per esempio, il Telnet di
serie di Windows non lo supporta), ma grazie a un programma tipo SocksCap si
puo' fare in modo che TUTTI i programmi di rete (compreso il Telnet standard di
Windows) possano collegarsi in modo "anonimo". In questo modo e' possibile
anche inviare email tramite Outlook o Eudora senza la paura di esporre il
nostro ip reale, ma quello per esempio di un computer del governo di Taiwan...
0x00.5 Wingate
--------------
Wingate e' un porgramma per Windows che permette di collgare piu' macchine
tramite una sola connesisone Internet, tramite le funzioni di proxy http,
Socks, proxy ftp, telnet...
In Internet si trovano molti Wingate mal configurati che permettono l'accesso
anche a utenti non autorizzati (noi!). Il meccanismo e' quello visto il precedenza
per i proxy e i Socks (ovvero l'ip che viene lasciato in giro e'quello del
Wingate e non il nostro), ma ha una modalita' di utilizzo diversa.
Lanciate il Telnet e collegatevi alla porta 23 del Wingate, se tutto e' Ok
avrete un prompt del genere:
Wingate>
a questo punto mettete l'indirizzo dell'host al quale vi volete collegare, segutio
dal numero di porta:
Wingate>bill.whitehouse.gov 23 (Naturalmente sto scherzando: lasciate stare i
.gov...)
a questo punto il vostro ip e' al sicuro (relativamente, come sempre).
Anche nel caso dei Wingate e' buona norma concatenare piu' Wingate tra di
loro, cosi:
quando avete il prompt del Wingate (Wingate>) inserite l'indirizzo di un altro
Wingate,e poi un altro... infine l'indirizzo dell'host da attaccare.
Certo aumenta il lag, ma e' sempre meglio che andare in galera...
0x00.6 Trovare Proxy, Socks & Wingate
-------------------------------------
Altro problema annoso del novello "hacker": dove li trovo i proxy & i Wingate ?
Esistono diversi modi per procurarsi questi indirizzi. Il piu' immediato
(e il meno redditizio) e' quello di andare su uno di quei siti che pubblicano
liste di proxy e socks (proxy4all.cgi.net, la sezione apposita in
www.cyberarmy.com e altri...). Il problema e' che questi proxy durano pochissimo
o non funzionano affatto... Conviene arrangiarsi in altro modo.
Procuriamoci uno scanner e lanciamolo in giro x la rete, prima o poi qualcosa
troviamo.
Per informazione, le porte su cui trovare qualcosa sono le seguenti:
8080 proxy http
3128 proxy http
81 proxy http
1080 Socks
Un altro modo efficace x trovare Socks e' quello di entrare in IRC e dare il
comando
/stats k
per avere la lista dei k-line, ovvero la lista di host "bannati". Molti host
della lista saranno Socks bannati da quel server ma perfettamente funzionanti
x altri scopi!
Siete pigri e non avete voglia di cercare? Aspettate che i Socks vengano a voi!
Lanciate il Nukenabber e navigate tranquillamente (oppure andate su un canale
molto frequentato in IRC); Alla fine della serata date uno sguardo al log del
Nukenabber: tra i vari tentativi di lamer con BO & Netbus, forse ci sara' anche
qualche indirizzo di Socks utilizzabile...
Altre tecniche potete trovarle nel mio articolo "Gabole nella Rete", reperibile
sul mio sito e sul numero 0 di "Lightz".
0x00.7 Pericoli
---------------
Per iniziare bisogna dire che NESSUNA tecnica qui esposta garantisce l'anonimato
assoluto, esiste sempre un margine di pericolo.
Dal momento della connessione dial-up con il provider alla connessione tramite
TCP/IP in Internet, lasciamo un mare di tracce ovunque.
La compagnia telefonica ha sempre e comunque il nostro vero numero, anche se
usiamo il BIC. I vari proxy che usiamo molto probabilmente (anzi, sicuramente)
loggano tutto il traffico, cosi'come i Socks: forse c'e' qualche speranza con
i Wingate. Assolutamente da evitare gli host "boservizzati" o cmq "trojanizzati".
Forse il metodo piu' sicuro e' quello di essere root su di un sistema e avere la
la possibilita' di "ripulire" per bene i log.
Da non dimenticare poi la possibilita' di mettere nei guai gli ignari possessori
di host compromessi (ancora una volta: trojan e backdoor varie) o i responsabili
dei sistemi che usiamo per "rimbalzare" (Wingate, proxy...).
Disattivare informazioni che vengono inviate, con xp a microsoft!!!
Il nuovo sistema di protezione introdotto da MS è a quanto pare tutt'altro che semplice da craccare. Sembra che windows XP si colleghi alla Microsoft e trasmetta informazioni personali quando siamo OnLine.
Allora proseguiamo come segue:
1] Start -> esegui -> regsvr32.exe -u c:\windows\system32\regwizc.dll
2] Start -> esegui-> regsvr32.exe -u c:\windows\system32\licdll.dll
3] Con il tasto destro, cliccare su: Risorse del computer -> Proprietà -> Aggiornamenti automatici -> "Disattiva l'aggiornamento automatico".
Poi elimina la spuntatura su: Connessione remota -> "Consenti invio inviti di Assistenza remota da questo computer".
Ancora su: Avanzate -> Segnalazione errori -> "Disabilita segnalazioni errori".
4] Aprire Media Player 8 e andare su: Stumenti -> Opzioni -> Lettore multimediale -> "Consenti ai siti internet di identificare in modo univoco il lettore multimediale" & "Acquisisci licenze automatiche". Disattivare le due voci.
5] Disattivare la seguente voce cliccando due volte sull'orologio -> Ora internet -> "Sincronizzazione automatica con serverdi riferimento ora"
6] Start -> Pannello di controllo (Versione classica) -> Strumenti d'amministrazione -> Gestione computer ->
Nel menù di sinistra: Utilità di sistema -> Utenti e gruppi locali -> User ->
Nel menù di destra: Eliminare il profilo "Microsoft support user" (E' una voce simile a questa)
7] Aprire Internet Explorer -> Strumenti -> Opzioni Internet -> Avanzate -> Deselezionare le seguenti voci: "Abilita autentificazione Windows integrata" & "Verifica automaticamente aggiornamenti di Internet Explorer"
8] Evitare di utilizzare "MSN Messenger" rinominando il file: C:\Windows\Messenger\msmsgs.exe, oppure disinstallarlo procedendo come segue:
Editare il file "SYSOC.INF" nella cartella: C:\Windows\Inf ed individuare la seguente voce:
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7
Eliminare la parola "HIDE", in modo da ottenere una stringa uguale a questa:
msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7
Salvare il file così modificato e riavviare il sistema, in questo modo al prossimo riavvio la voce Windows Messenger comparirà regolarmente nella sezione Installazione Applicazioni del Pannello di controllo.
9] Start -> Esegui -> Regedit -> Eliminare la chiave:
Hkey_Local_Machine\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b-00aa003c157a (Solamente l'ultima parte, ovvero: c95fe080-8f5d-11d2-a20b-00aa003c157a)
10] Bloccare il file: C:\Windows\System32\Oobe\msoobe.exe con un Firewall del tipo ZoneAlarm
Ora riavviare il computer e il gioco è fatto!
