Скрываем свое прибывание на дедике - ICQ

**f4kedude** · 26.08.2008, 00:35

В этой теме я предлагаю постить\обсуждать советы по маскировке на взломанных дедиках. Ибо все мы знаем, что самое неприятное - это потерять хороший дедик, спалившись по глупости. Рано или поздно паливо приходит(плановая переустановка системы, мониторинг акков, админ захотел использовать комп под другие нужды и прочее), так давайтеж поделимся способами продления беспалевного юзанья дедика! Как топик-стартер постараюсь побольше\попонятней и самое основное написать.Вобщем вот мои 5 копеек

1) Мультиюзерность:

если ломаем winxp sp2\sp3, то сразу после создания акка (или во взломанном акке) сливаем на дедик этот патч (естественно предварительно залитый на файлообменник) и запускаем его. спросит перезагрузить вконце установки - жмем НЕТ и переходим к пункту 2 ->

2) Ныкаем свой созданный акк из вин-логона:
пуск->выполнить->пишем regedit клацаем Enter->переходим в HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon\Spe cialAccounts\UserList и создаем там новый параметр DWORD, название параметра=название нашего акка, численное значение 0. Всё теперь в винлогоне наш ник не палицо =)

. Теперь ребутим дедик, дабы активировать мультиюзерность.

3) Ныканье файлов и прог
Дабы не смущать админа новой папкой акка в документз энд сеттингс скрываем её со всеми файлами и подкаталогами

(свойства -> атрибуты: ставим птичку на "скрытый" и применить). Все свои файлы можно лить на десктоп, ибо он теперь скрытый, но я бы посоветовал создать для них папку какую-нить (скажем inst) например в c:\windows\system32 и тож скрытые атрибуты ей поставить :). Есть еще способ - программка Hide Folders XP (с помощью неё можно более глубже скрыть файл, или вобще доступ к папке\файлу запретить\запоролить). Теперь насчет прог. Если установили какое\либо ПО, чтоб заныкать его от назойливых админских глаз, идём в реестр: пуск->выполнить->пишем regedit клацаем Enter->переходим в HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Uninstall\ и там ищем название установленной проги трём все данные о ней :). Всё, теперь в Add or Remove programms нашей проги нету...

4) Запуск прог под админским акком или под алл юзерс
Ну во-первых кидаем нужную прогу в документз энд сеттингс\Акк админа(или, если хотите чтоб по запускалось от любого пользователя - All Users)\Главное меню\Программы\Автозапуск (можно автозапуск проги через реестр сделать), ставим скрытые атрибуты опятьже. Теперь надо как-то сныкать прогу из вин-панели и трея, а ещё желательно в процессах маскирнуть как-нить =). Для этого есть много прог

(я предпочитаю PS Tray Factory, Ибо есть русский язык, легка в управлении, очень функциональна(не забываем в меню выбрать чтоб сама прога свой значек из трея и винбара скрывала!). А для сокрытия в процессах юзаем ResHacker, который позволяет переименовывать процесс, описание к нему делать, от кого запущен и т.д. (как юзать гуглите сами, небуду расписывать подробно ибодолго). Основная идея - поставить процессу проги название типа svhost, описание какого-нить системного проца и запуск от имени system.

5) ОБЩИЕ рекомендации
Низя оч сильно нагружать систему

, где-то на 30-40% проца и 1\3 памяти (макс на 50-60% проца и половину памяти) ибо это будет заметно. Очень рекомендую залезть в панель управления-> инструменты админа-> службы и врубить там службу telnet (служба терминального доступа к компу), поставив ек в режим автозапуска. Даже если не умеете её юзать - потеряв ценный дедик научитесь (погуглив естессьно). Это как черный ход на комп, если парадный запечатали. (конечно заранее надо разрешить в фаерволе 23 TCP порт, если дедик с фаером работает). Также можите в службах поискать внц\радмин и вырубить (и перевести в ручной запуск, ибо в дисейбл если переведёте то как-то немного палевно, имхо). Мона ещё прошерстить группу Remote Administrator Users на наличие других хакеров на компе :) (их легко определить - обычно в их папках всякие проги для создания бот-сетей, внц-сканеры, гидры, тсс-гриндеры и прочий софт для хакка) Только осторожно

- не удалите случайно легальных юзеров (я так 1 раз удалил юзера на которого был комп зареган - вот палево-то было...

).

Все указанное в моём посте можно осуществить разными способами, возможно я указал где-то самые корявые, а где-то самые лучшие, вобщем на вкус и цвет... ДА И ЕЩЕ: возможно что-то из предложенного мной бред и бессмыслица (если так, то корректируем и объясняем как лучше\правильнее, а не просто вопим "афтор, кг\ам" или "жри гавно, баян". Разумную и полезную критику я всегда поддерживал и буду поддерживать!

ЗЫ: ОТЧЕТЫ ВИРУСТОТАЛА

- 1, 2, 3, 4

lamer007 · 26.08.2008, 00:39

f4kedude, cпасиба за статейку, сам писал? есть нет - то нужно ставить копирайт

**ТЕМА!!!** · 26.08.2008, 01:13

если сам писал то определёно плюс

**f4kedude** · 26.08.2008, 01:24

Сам... это не статейка даже яб сказал, а просто развёрнутый пост =)

DarkHack · 26.08.2008, 02:08

ну и молодец... спасибо!

**Andrew777** · 26.08.2008, 02:32

Не знал, что хп мона на мультиюзерность пропатчить. Держи плюсик за старания :)

**$Atlet$** · 26.08.2008, 10:53

автору респект!!!)))

**snakezx** · 26.08.2008, 10:56

молток ТС, что-то зналось,что-то нет, но в куче и более красиво,естественно приятнее лицезреть!

**C@rBoFo$$** · 26.08.2008, 11:04

f4kedude ты где раньше то был со своим мануальчиком?

(плачу по дедеку)

**qvazimodka** · 26.08.2008, 11:19

про хп можно никуда не лазить создаю учетку так
net user helpassistant /delete
net user helpassistant password /add
net localgroup administrators helpassistant /add
net localgroup "Remote Desktop Users" helpassistant /add
net accounts /maxpwage:unlimited
exit

**dimon878** · 26.08.2008, 11:32

РЕспеКт ТЕбЕ и УваЖуХА!!!!

новое узнал

**BuG_4F** · 26.08.2008, 12:02

Спс , некоторых фишек не знал !

**final2** · 27.08.2008, 01:43

Цитата:

Сообщение от C@rBoFo$$

f4kedude ты где раньше то был со своим мануальчиком?
(плачу по дедеку)

аха :( йа тоже :( автору респект!!! :)

**No4Fear** · 27.08.2008, 21:38

Ну автору большое спасибо!

**Andrew777** · 27.08.2008, 21:52

Чтото у меня патч на мультакк не пашет. Вроде нормально пропатчил, а когда заходит админ , меня кикает.

**f4kedude** · 27.08.2008, 22:43

Цитата:

Сообщение от Andrew777

Чтото у меня патч на мультакк не пашет. Вроде нормально пропатчил, а когда заходит админ , меня кикает.

хм... мне тоже 1 дед в своё время попался, который мультиюзерный патч не смог "излечить". Я не стал возиться и забил на него, хотя теоретически такие деды надо после патча запускать в безопасном режиме(дабы системные файлы оригинальные не возвращал) и "ручками" менять библиотеку termsrv.dll в C:\windows\system32\dllcache на её старую версию

(которая поддерживает мультиюзерность), ИМХО.

**Severe** · 29.08.2008, 09:58

Хороший пост - статья. Кое что помогло в сохранении дедов. А то до этого палили часто.

**M0dul** · 29.08.2008, 10:28

терь срок жизни нашых дедов рискует возрасти + для себя узнал много нового. аффтар спс за статейку)

**4yBaK** · 06.09.2008, 19:44

А 2000 винда поддерживает мультиюзерность???

Capcha · 06.09.2008, 19:50

4yBaK, Хоть виста)))))

Ааааа, давно на асечке не был, сам хотел подобную написать (((

**4yBaK** · 06.09.2008, 21:17

Подскажите как???

**CooCkie** · 06.09.2008, 21:25

Цитата:

Сообщение от 4yBaK

Подскажите как???

что тебе подсказать?

**Ctulhu** · 06.09.2008, 21:42

хороша статейка +1

Capcha · 06.09.2008, 21:58

4yBaK, win2k без мультиюзерности?? Аааа чё реал?......
)))) Чел ты сначало попробуй а потом ~~чушь~~ пиши

**4yBaK** · 06.09.2008, 21:58

Как сделать мультиюзерность на 2000 сервере

26.08.2008, 00:35	#1
f4kedude Участник Регистрация: 09.08.2008 Сообщений: 59 Репутация: 71	Скрываем свое прибывание на дедике В этой теме я предлагаю постить\обсуждать советы по маскировке на взломанных дедиках. Ибо все мы знаем, что самое неприятное - это потерять хороший дедик, спалившись по глупости. Рано или поздно паливо приходит(плановая переустановка системы, мониторинг акков, админ захотел использовать комп под другие нужды и прочее), так давайтеж поделимся способами продления беспалевного юзанья дедика! Как топик-стартер постараюсь побольше\попонятней и самое основное написать.Вобщем вот мои 5 копеек 1) Мультиюзерность: если ломаем winxp sp2\sp3, то сразу после создания акка (или во взломанном акке) сливаем на дедик этот патч (естественно предварительно залитый на файлообменник) и запускаем его. спросит перезагрузить вконце установки - жмем НЕТ и переходим к пункту 2 -> 2) Ныкаем свой созданный акк из вин-логона: пуск->выполнить->пишем regedit клацаем Enter->переходим в HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon\Spe cialAccounts\UserList и создаем там новый параметр DWORD, название параметра=название нашего акка, численное значение 0. Всё теперь в винлогоне наш ник не палицо =) . Теперь ребутим дедик, дабы активировать мультиюзерность. 3) Ныканье файлов и прог Дабы не смущать админа новой папкой акка в документз энд сеттингс скрываем её со всеми файлами и подкаталогами (свойства -> атрибуты: ставим птичку на "скрытый" и применить). Все свои файлы можно лить на десктоп, ибо он теперь скрытый, но я бы посоветовал создать для них папку какую-нить (скажем inst) например в c:\windows\system32 и тож скрытые атрибуты ей поставить :). Есть еще способ - программка Hide Folders XP (с помощью неё можно более глубже скрыть файл, или вобще доступ к папке\файлу запретить\запоролить). Теперь насчет прог. Если установили какое\либо ПО, чтоб заныкать его от назойливых админских глаз, идём в реестр: пуск->выполнить->пишем regedit клацаем Enter->переходим в HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Uninstall\ и там ищем название установленной проги трём все данные о ней :). Всё, теперь в Add or Remove programms нашей проги нету... 4) Запуск прог под админским акком или под алл юзерс Ну во-первых кидаем нужную прогу в документз энд сеттингс\Акк админа(или, если хотите чтоб по запускалось от любого пользователя - All Users)\Главное меню\Программы\Автозапуск (можно автозапуск проги через реестр сделать), ставим скрытые атрибуты опятьже. Теперь надо как-то сныкать прогу из вин-панели и трея, а ещё желательно в процессах маскирнуть как-нить =). Для этого есть много прог (я предпочитаю PS Tray Factory, Ибо есть русский язык, легка в управлении, очень функциональна(не забываем в меню выбрать чтоб сама прога свой значек из трея и винбара скрывала!). А для сокрытия в процессах юзаем ResHacker, который позволяет переименовывать процесс, описание к нему делать, от кого запущен и т.д. (как юзать гуглите сами, небуду расписывать подробно ибодолго). Основная идея - поставить процессу проги название типа svhost, описание какого-нить системного проца и запуск от имени system. 5) ОБЩИЕ рекомендации Низя оч сильно нагружать систему , где-то на 30-40% проца и 1\3 памяти (макс на 50-60% проца и половину памяти) ибо это будет заметно. Очень рекомендую залезть в панель управления-> инструменты админа-> службы и врубить там службу telnet (служба терминального доступа к компу), поставив ек в режим автозапуска. Даже если не умеете её юзать - потеряв ценный дедик научитесь (погуглив естессьно). Это как черный ход на комп, если парадный запечатали. (конечно заранее надо разрешить в фаерволе 23 TCP порт, если дедик с фаером работает). Также можите в службах поискать внц\радмин и вырубить (и перевести в ручной запуск, ибо в дисейбл если переведёте то как-то немного палевно, имхо). Мона ещё прошерстить группу Remote Administrator Users на наличие других хакеров на компе :) (их легко определить - обычно в их папках всякие проги для создания бот-сетей, внц-сканеры, гидры, тсс-гриндеры и прочий софт для хакка) Только осторожно - не удалите случайно легальных юзеров (я так 1 раз удалил юзера на которого был комп зареган - вот палево-то было... ). Все указанное в моём посте можно осуществить разными способами, возможно я указал где-то самые корявые, а где-то самые лучшие, вобщем на вкус и цвет... ДА И ЕЩЕ: возможно что-то из предложенного мной бред и бессмыслица (если так, то корректируем и объясняем как лучше\правильнее, а не просто вопим "афтор, кг\ам" или "жри гавно, баян". Разумную и полезную критику я всегда поддерживал и буду поддерживать! ЗЫ: ОТЧЕТЫ ВИРУСТОТАЛА - 1, 2, 3, 4

26.08.2008, 10:56	#8
snakezx Участник Регистрация: 05.10.2007 Сообщений: 102 Репутация: 24	молток ТС, что-то зналось,что-то нет, но в куче и более красиво,естественно приятнее лицезреть! __________________ Жить надо так, чтобы тебя помнили и сволочи Если есть сомнения (да или нет), значит - НЕТ

26.08.2008, 11:04	#9
C@rBoFo$$ Участник Регистрация: 23.06.2007 Сообщений: 192 ICQ: 7444222 Репутация: 381	f4kedude ты где раньше то был со своим мануальчиком? (плачу по дедеку) __________________ ICQ 7-444-222

26.08.2008, 11:32	#11
dimon878 Участник Регистрация: 05.08.2008 Сообщений: 192 Репутация: 587	РЕспеКт ТЕбЕ и УваЖуХА!!!! новое узнал __________________ «Мерило твоего Бога, - есть мерило твоего разума». Эта сущность есть, собственно говоря, совесть, ибо она говорит человеку, чем он должен быть, указывает ему, что он не таков.

06.09.2008, 21:42	#23
Ctulhu Участник Регистрация: 25.06.2008 Сообщений: 72 ICQ: 777568 Репутация: 23	хороша статейка +1 __________________ лучше по утру на Google Earth искать ГДЕ ты пил, чем на youtube КАК...

26.08.2008, 00:39	#2
lamer007 Участник заблокирован Регистрация: 20.07.2008 Сообщений: 29 ICQ: 441401175 Репутация: -29	f4kedude, cпасиба за статейку, сам писал? есть нет - то нужно ставить копирайт

26.08.2008, 01:13	#3
ТЕМА!!! Участник Регистрация: 29.04.2008 Сообщений: 50 Репутация: -22	если сам писал то определёно плюс

26.08.2008, 01:24	#4
f4kedude Участник Регистрация: 09.08.2008 Сообщений: 59 Репутация: 71	Сам... это не статейка даже яб сказал, а просто развёрнутый пост =)

26.08.2008, 02:08	#5
DarkHack Участник заблокирован Регистрация: 13.08.2008 Сообщений: 28 Репутация: -25	ну и молодец... спасибо!

26.08.2008, 02:32	#6
Andrew777 Участник Регистрация: 16.05.2008 Сообщений: 119 Репутация: 28	Не знал, что хп мона на мультиюзерность пропатчить. Держи плюсик за старания :)

26.08.2008, 10:53	#7
$Atlet$ Участник Регистрация: 27.01.2008 Сообщений: 138 Репутация: 312	автору респект!!!)))

26.08.2008, 11:19	#10
qvazimodka Участник Регистрация: 07.01.2008 Сообщений: 307 ICQ: 550077 Репутация: 690	про хп можно никуда не лазить создаю учетку так net user helpassistant /delete net user helpassistant password /add net localgroup administrators helpassistant /add net localgroup "Remote Desktop Users" helpassistant /add net accounts /maxpwage:unlimited exit

26.08.2008, 12:02	#12
BuG_4F Супер Модератор Регистрация: 11.04.2008 Сообщений: 490 ICQ: 324606 Репутация: 3207	Спс , некоторых фишек не знал !

27.08.2008, 21:38	#14
No4Fear Участник Регистрация: 18.08.2008 Сообщений: 1 Репутация: 1	Ну автору большое спасибо!

27.08.2008, 21:52	#15
Andrew777 Участник Регистрация: 16.05.2008 Сообщений: 119 Репутация: 28	Чтото у меня патч на мультакк не пашет. Вроде нормально пропатчил, а когда заходит админ , меня кикает.

29.08.2008, 09:58	#17
Severe Участник Регистрация: 28.06.2007 Сообщений: 91 ICQ: 482888 Репутация: 376	Хороший пост - статья. Кое что помогло в сохранении дедов. А то до этого палили часто.

29.08.2008, 10:28	#18
M0dul Участник Регистрация: 18.04.2008 Сообщений: 24 Репутация: 66	терь срок жизни нашых дедов рискует возрасти + для себя узнал много нового. аффтар спс за статейку)

06.09.2008, 19:44	#19
4yBaK Участник Регистрация: 10.11.2007 Сообщений: 75 Репутация: -14	А 2000 винда поддерживает мультиюзерность???

06.09.2008, 19:50	#20
Capcha Участник заблокирован Регистрация: 11.12.2007 Сообщений: 935 Репутация: 1508	4yBaK, Хоть виста))))) Ааааа, давно на асечке не был, сам хотел подобную написать (((

06.09.2008, 21:17	#21
4yBaK Участник Регистрация: 10.11.2007 Сообщений: 75 Репутация: -14	Подскажите как???

06.09.2008, 21:58	#24
Capcha Участник заблокирован Регистрация: 11.12.2007 Сообщений: 935 Репутация: 1508	4yBaK, win2k без мультиюзерности?? Аааа чё реал?...... )))) Чел ты сначало попробуй а потом ~~чушь~~ пиши