Ağustos 98 de,bazı Windows backdoorları teker teker ortaya
çıktı.Backdoor,hedef belirtilen sistemde kendini saklayan programlara
denilir.Bu programlar genellikle,sisteme izinsiz remote olarak girilmesini
sağlarlar.
"Cult Of Dead Cow" adındaki bir hacker grubu bir süre önce Windows 95/98 için
"BackOrifice" isminde bir backdoor geliştirdi.Bu backdoor bir kere sisteme
yüklendiginde,izinsiz kullanıcıların sisteme girmelerini ve sistemde tam yetki
almalarını sağlıyor.
BackOrifice da bir çok backdoor gibi sistemden silinebilir.Ama silmeyi
öğrenmeden önce, gelin hedef seçilen sistemde nasıl çalıştığını görelim.
"BackOrifice Server" karşı sisteme gönderilip çalıştırıldığında şunları
yapıyor;
* B.O Server,ilk olarak kendisini bulunduğu yerden silerek,Windows sistem
directorysine kopyalıyor. (c:\windows\system)
* Daha sonra, "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
altında server programınında belirtildiği bir kayıt anahtarı oluşturuyor.
* Bundan sonra,sistem 31337 numaralı yeni bir UDP portu açıyor.
BO gerçekten,gerek Netbus,gerek Masterz Paradise,gerekse başka bir Remote
Administrative programına göre çok daha karmaşık.Onun için kullanıcı,çoğu
zaman BO Server i kendi makinesinde çalıştırabilir.Bunun olup olmadığı şu
şekilde öğrenebilirsiniz,
* Regedit programını açın,
* "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
deki anahtarda boyutu 124,928 olan bir dosya görürseniz,sisteminiz de
BackOrifice yüklü :)
Bundan başka NetStat programını kullanarak sisteminizde BO nun yüklü olup
olmadığını ögrenebilirsiniz.
'netstat -an' komutu sistemdeki tüm açık portları dinler.Eğer ortada açık bir
UDP portu varsa sistemde BO yüklü.
C:\WINDOWS>netstat -an | find "UDP"
UDP 0.0.0.0:31337 *:*
Gördüğünüz gibi 31337
nci port açık bir UDP portu.Aslında bu port 31337 olmak zorunda değil.
31338,31331 de olabilir.Ama hepsi şüpheli tabi :) BO dan kurtulmak hakkında
,daha fazla bilgi için
http://www.nwi.net/~pchelp/bo.html
ye bakın.
Şimdi BO dan nasıl kurtulacağımızı öğrendik,biraz da olayı diğer taraftan
izleyelim,Attacker biziz yani :) Şimdi,BO paketini aldığınızda,Readme
dosyalarını ilk önce okumanızı öneririm,çünkü ortada bir çok dosya
göreceksiniz,hangisinin server,hangisinin client olduğunu bilmek gerek :)
Cult Of Dead Cow(cDc) grubu ,BO için dört tane plug-in yapmış.İlk bunları
gösteriyim.
- Speak Easy - Bu Plug-in'i IRC kelekleri üzerinde kullanıyoruz.Gizlice
karşıya geçiyor,ve kendini çalıştırıyor.
- Silk Rope - Kendini ,bir programın içine gizliyor.
- Saran Wrap - Kendini,herhangi bir Install programının içine gizliyor.
- Butt Trumpet - Backdoor bir maile bağlanıp gidiyor.Kurban,maili açtığında,backdoor
aktivite oluyor.
İşte plug-inler
bunlar.Bunları kullanarak BO yu daha kolaylaştırabilirsiniz.BO yu
http://www.cultdeadcow.com
den download edebilirsiniz.Fakat oradaki bazı programların da güvensiz
olduğunu söylemek zorundayım. Mesela BOSniffer adında bir program dan
bahsedildiğini göreceksiniz.O bir backorifice,onun için download etmeye
kalkmayın.Ayrıca "theipspoof.zip" gibi bir dosya bulursanızda sakın Unzip
etmeyin, çünkü o da ayrı bir backorifice.İşte Back Orifice efsanesi bu.
(Hangi Komut Ne İşe Yarar?)
Help: yardım
Copy: kopyalama
Dir: dosyaları listeler
Cd: klasörler arasında geçiş (cd windows)
Md:klasör yaratma (md mehmet)
Del: silme (del ahmet.exe)
Reboot (sistemi resetleme)
Passes (ADAMIN BÜTÜN PASSWORDLERİNİ ALMA)
Sound mound gibi daha onlarca komutu help yazarak örenebilirsiniz!
(Adamın bilgisayarına Boclient i çalıştırmadan yine programla gelen BoGui adlı
programlada girebilirsiniz.BoGui grafiksel arabirimlidir.Target host yerine
adamın ip numarasını yazın ve istediğiniz tümleci seçin ve send e basın .)
Ana Sayfaya Dön