 Автор |
Сообщение |
Arkan
Гуру
 |
|
сижу я значит горя нечая и решил в логах сквида покапаться
и вижу что довольно часто мелькают такие строчки
TCP_MISS/503 0 CONNECT 64.12.26.160:443 - DIRECT/- -
TCP_MISS/200 14573 CONNECT 64.12.26.161:443 - DIRECT/64.12.26.161 -
TCP_MISS/200 23137 CONNECT 64.12.30.88:443 - DIRECT/64.12.30.88 -
начал разбираться
прикрутил даже авторизацию на прокси сервере
по auth_param basic program /usr/local/libexec/squid/ncsa_auth
ну все думаю тип топ ниодин троян непроскочет
но что самое интересное эти соединения только в момент загрузки компа
в автозагрузке квипа нету - (также нету ничего кроме самого необходимого)
может кто мне ответить сможет
почему квип щемится самостоятельно по 443 на 64.12.0.0/24
не смешно же
то что это квип - проверенно |
|
 |
|
 |
pepper
Продвинутый форумчанин
 |
|
| |
|
|
sog
Гуру
 |
|
| пользователь xNIX должен семафорить, ну флажками там, мегафоном |
|
| |
|
|
woddy
Гуру
 Предупреждений : 1
|
|
| Arkan писал(а): |
то что это квип - проверенно |
8080 или 90хх ? |
|
| |
|
|
BorPas
Девелопер
 |
|
| |
|
|
Arkan
Гуру
|
|
| woddy писал(а): |
| 8080 или 90хх ? |
8080
завтра точнее уже сегодня будет продолжение - буду дампить весь трафик в разных вариациях
Мне кстати на следующий день после выпуска 8080 намекнули что с этим квипом не все в порядке |
|
| |
|
|
BorPas
Девелопер
|
|
| я повторяю, ЭТИ ПОДСЕТИ ПРЕНАДЛЕЖАТ AOL !!! |
|
| |
|
|
weer
Гуру
 Предупреждений : 2
|
|
"родному" клиенту аськи можно вообще не указывать порт и сервер. в таком случае она будет пытаться поочередно открыть случайные порты из указанных ниже подсетей.
т.е. серверы аськи слушают весь диапазон портов, а не только 443 и 5190. и IP адресов у них не 1 и не 2, а как минимум 250000.
Подсети серверов ICQ:
205.188.0.0/16
64.12.0.0/16
152.163.0.0/16
61.12.0.0/16
именно по этой причине для "закрытия" аськи необходимо запретить всякий доступ клиента до указанных выше подсетей.
а QIP дейявительно является трояном, причем даже никто и не скрывает этого факта.
при попытке подключиться к аське клиент квипа создает на xmpp сервере qip.ru jabber-аккаунт icq_uin@qip.ru. пароль на аккаунт совпадает с паролем аськи. по этому адресу дублируются все сообщения по аське.
смысл типа такой, что если аська перестанет работать - пользователи qip все равно будут болтать между собой через сеть jabber.
по факту они просто хранят 100% истории сообщений пользователей. это достаточно ценная информация  |
|
| |
|
|
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
weer
У меня почему-то не подключается к этой из джаббер сети |
|
| |
|
|
BorPas
Девелопер
|
|
| это QIP Infinum работает через Jabber, а 80xx нет |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| |
|
|
Arkan
Гуру
|
|
Кстати есть очень даже интересная фишка - часа три потратил на нее
Соединения типа
1231324486.157 843 172.18.1.3 TCP_MISS/200 314 CONNECT login.icq.com:443 qwe DIRECT/205.188.153.121 -
1231324509.706 23546 172.18.1.3 TCP_MISS/200 14924 CONNECT 64.12.26.160:443 qwe DIRECT/64.12.26.160 -
1231324509.707 18837 172.18.1.3 TCP_MISS/200 26804 CONNECT 64.12.30.88:443 qwe DIRECT/64.12.30.88 -
работают при загрузке компа все стабильно и стандартно
но
только до тех пор пока не сменить пароль админа в винде
при смене пароля даже на 1 с какогонибудь сананинского как у меня более 30 знаков
то все соединения при загрузке компа пропадают
я еще раз повторяю квип у меня не находится в автозагрузке на автоматический запуск при включении винды |
|
| |
|
|
BorPas
Девелопер
|
|
| мож у тебя модули от обычной ICQ в системе остались |
|
| |
|
|
Arkan
Гуру
|
|
Эксперименты проводил на полностью голой винде без единого выхода в просторы WWW
Также на винде полностью отсутствуют какие либо программы кроме драйверов
отличный пост с одного форума:
| Цитата: |
Да насамом деле на данном этапе всем наплевать , есть ли бэкдор в QIP или нет. Не наплевать станет когда если он есть его начнут использовать, и вот тут уже будет наплевать детектируют его антивиры или нет, и в каких пропорциях... Как это может так туго доходить до некоторых!
Вопрос заключается в том что на данный момент McAfee детектирует в 8080 билде вирус, и не важно есть он там или нет на данном этапе, а важен сам факт невозможности нормальной работы QIP на компах, где стоит McAfee ( всем с мудрыми советами снести McAfee и поставить ваш любимый антивирь прошу идти сами знаете куда).
На самом деле даже если в QIP и используются какието скрытые дыры для доступа к вашему ПК, то скрыть это от антивируса для програмиста раз плюнуть, переписать алгоритм исходника, даже тупо добавив пару строчек ненужного кода в определенном месте, и все, анивирус уже ничего не увидит. Бесит упортсво и непробиваемость супорта QIP, возомнивших себя пупом софтверной индустрии, на продукцию которых должны все равняться...
|
| Цитата: |
Есть плохо документированная, включенная по-умолчанию функция отсылки паролей на сервер. Это троянское поведение.
А что думают антивирусы - лично мне пофигу. |
|
|
| |
|
|
Arkan
Гуру
|
|
Кстати а как ломануть эти данные ???
Хоть чуток
tcpdump -vv -i rl0 А дальше.............ХБЗ
Фишка по смене пароля локального админа полностью подтвердилась
после смены паса никаких посторонних соединений замечено небыло
вот правда на долголь ? |
|
| |
|
|
Tt002
Форумчанин
|
|
| weer писал(а): |
...
а QIP дейявительно является трояном, причем даже никто и не скрывает этого факта.
при попытке подключиться к аське клиент квипа создает на xmpp сервере qip.ru jabber-аккаунт icq_uin@qip.ru. пароль на аккаунт совпадает с паролем аськи. по этому адресу дублируются все сообщения по аське.
смысл типа такой, что если аська перестанет работать - пользователи qip все равно будут болтать между собой через сеть jabber.
по факту они просто хранят 100% истории сообщений пользователей. это достаточно ценная информация |
Не говорите ерунды. Регистрация обязательна (кстати под любым логином), но включать этот модуль потом не обязательно. И уж тем более никакая переписка не отсылается. |
|
| |
|
|
Arkan
Гуру
|
|
Давно создавал эту тему но назрело тут немного
В конторе за проксей народ использует ICQ QIP и так далее
очень часто замечаю что квип блокирует работу с интернетом - именно квип
как выяснил:
Не открывается поиск яндекса или гугл вообще - браузеры разные
Папку с квипом просто переношу в другую директорию, ребут, и все работает
квипа в автозагрузке нету и не было
просто поменял месторасположение самой программки квип |
|
| |
|
|
k0stE
Гуру
|
|
Arkan, ну не совсем верно, я думаю.
У qip есть еще софтина, которая переводит поисковые запросы на свой поисковик и авторизует в своих сервисах.
Как-то так. |
|
| |
|
|
Arkan
Гуру
|
|
| k0stE писал(а): |
Arkan, ну не совсем верно, я думаю.
У qip есть еще софтина, которая переводит поисковые запросы на свой поисковик и авторизует в своих сервисах.
Как-то так. |
Вот и я о том же
Вобщем наконец то я понял в чем дело:
Сервера квипа у меня забанены по IP для всей конторы
Манагеры пытаются в яндексе набрать в поиске какую либо фигню и почему то происходит перенаправление запросов на сервера QIP - собирают статистику поиска наверное
А всвязи с тем что сервер квипа забанены то вылитает ошибка при поиске
а в google вообще даже в поиск войти невозможно
QIP сливает по самое немогу |
|
| |
|
|
kc_duke
Гуру
 Предупреждений : 1
|
|
| Интересно, а в "изолированном" режиме тоже сливает? Попробуй запустить с ключем /isolated |
|
| |
|
|
|
