ahccc FAQ
--[ DEFENDING ]--
Q) Come mi proteggo da un attacco
+++ATH0??
A) Devi inserire nelle impostazioni avanzate del
modem la stringa di inizializzazione "ATS2=255"
Q) Come posso controllare se
sono stato infettato tramite una backdoor?
A) Devi controllare i file che forzano windows
all'avvio ad eseguire un determinato programma, e questi sono:
1) c:\windows\win.ini
Controlla nella sezione [windows] le
voci:
load=
run=
2) Controlla il registro di configurazione (usa l'editor c:\windows\regedit.exe) nelle chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Se vedi qualche voce equivoca, potrebbe essere quella la responsabile.
Inoltre, quando il computer e' disconnesso, prova a fare un
netstat -na
per vedere se c'e' qualche processo in attesa dell'ospite indesiderato (lo si riconosce dallo stato LISTEN del "servizio") In ogni caso non disdegnare l'utilizzo di un antivirus aggiornato, o se vuoi scaricare qualcosa di piccolo che controlli solo le backdoor piu' conosciute (ma garantisco che non sono poche) potresti usare il Cleaner che dovresti trovare su
http://www.dynamsol.com/puppet
Inoltre tramite programmini tipo W95win_top.exe o AVP System
watcher (http://www.avp.it) puoi tenere
sotto controllo la lista dei processi in esecuzione, comodo per togliersi
(o farsi venire!) qualche dubbio.
Ultima cosa: una controllatina all'autoexec.bat potrebbe sembrare banale,
ma a volte salva i tui dati :-)
Q) E' sicuro ICQ dal punto
di vista della sicurezza informatica?
A) Dai un'occhiata qui:
http://blacksun.box.sk/icq.txt
(ICQ Security tutorial)
http://www.student.nada.kth.se/~d95-mih/icq/
(The ICQ Protocol Site)
http://www.globalserve.net/~jphowe/icq/
(Meistern's ICQ Hacking page)
[dalla mailing list VULN-DEV presso SECURITYFOCUS.COM]
Q) Come funziona un nuke? un
flood? un ping of death?
A) Seppur si usi il termine nuke per intendere
qualsiasi metodo per far crashare un sistema operativo, quello propriamente
detto e' l'attacco OOB (Out Of Band), il primo e piu' diffuso per far tacere
windows e far vedere al suo utente una bella schermatina blu (il famigerato
BLUE SCREEN). Non lo fa crashare, ma blocca la comunicazione, e sara' necessario
un riavvio per ripristinare il tutto.
Il programma che lo fa e' il famosissimo Winnuke, che manda
un particolare pacchetto che windows, causa qualche piccola svista nella
sua programmazione, non riesce a gestire, e tace :)
Il ping of death causa invece il blocco totale che solo il riavvio "brutale" tramite apposito tastino del case riesce a ripristinare. Il tutto a causa di un ping di dimensione errata.
Il flood invece e' letteralmente una inondazione di dati che
la linea utente connesso in dial-up non riesce a gestire, e quindi gli
spreca tutta la banda rendendo necessaria una nuova connessione con ip
diverso. Inutile dire che un flood da una connessione telefonica 56.6 kpbs
non fa nulla, deve venire da una banda molto maggiore per essere sicuri
che sortisca il suo effetto.