Клиент-сервер

Привет всем кул-хацкерам! Можете по-подробнее про подседки рассказать. Пишу троян на основе TClientSocket & TServerSocket возможно ли там вообще такое, как вхождение в подсети? А то троянить могу тольку Dial-Up. А свой родной салон никак. Вот например, идёт IP www.estpak.ee (Это предоставитель услуг кабельного инета) , далее идёт сервак уже в салоне, и IP компа. Вобщем три IP. Чё с ними делать?
Заранее спасибо всем.

А чо твой троян делать собирается ?
От этого зависит что тебе от сетки надо...

Он посылает команды, сервак анализирует и выполняет определённые функции. Похоже на удалённое администрирование. Вот.

То есть есть комп с загруженным трояном, который сидит и ждет команд извне, к примеру из интернет, и есть злой хацкер, который может посылать некие команды этому трояну, заставляя его выполнить нечто...
Я правильно понял?
Конкретно - где сервер, где клиент, что и сколько собираешься посылать...

И так, клиент на твоём компе, сервер на компе жертвы. Посылаешь например, dir , он высылыает список каталогов, restart перезагружает комп. Например я даю его под фидом fotos.exe с иконкой Zip архива, когда его запускают, он высылает мне на мыло IP жертвы.

ну так что делать?

Ну, тут возможно несколько вариантов расположения сервера:
1) Лох на диалапе
2) Профи на диалапе
3) Лох на выделенке
4) Профи на выделенке
5) Все равно кто за брендмауром
---------------------------------
1) Естественно никакой защиты не стоит, по тому как он даже не знает как пишется слово Internet и постоянно мучается вопросом "Я еще в Интернет или уже нет?"... Его IP доступен напрямую из внешней сети, излишняя активность компьютера по траффику подозрений не вызывает, с удовольствием кликает по всем баннерам, что у него появляются и подписыватся на все мыслимые и немыслимые расылки по e-mail и пр. и пр.
В таком бардаке полное раздолье, за исключением одного НО - IP динамический, т.е. при каждом коннекте он новый. Ежели успеешь за один коннект сделать свое грязное дело, то ок и никто этого не заметит...
Ставишь сервер, ну что-нибудь из набора FastNet, и рулишь...
Сервер при коннекте соединяется с твоей машиной и высылает свой IP, далее открывает какой либо порт и слушает команды... Какие команды и как их передать - дело техники, хошь TCP, хошь UDP...
2) С этим фокус скорее всего не пройдет, т.к. фаервол у него на компе тут же покажет пальцем на задачу, файл и по какому IP и порту она собралась в интеренет... В лучшем случае не получишь ничего, в худшем наживешь неприятностей - по IP тебя можно найти, до фамилии и адреса, у провайдеров всегда логи ведутся...
3) То же что и 1, но IP фиксирован, никого искать не надо, да и компьютер часто не выключают, так что можно порулить и в отсутствие хозяина... Одно НО, если вдруг он заподозрит что-то неладное и у него хватит словарного запаса, чтобы объяснить своему провайдеру, что же все-таки происходит, то у его провайдера в 90\% случаев ведется лог...
Последствия см. п2.
4) См. п.2
5) Чаще всего провайдеры работающие по выделенке своим юзерам IP доступного из интернет не дают... И самим спокойнее и юзеры не балуют... Стоит бренмауэр, то есть штука, которая знает, что инициатором транзакции (сеанса обмена) всегда является комп внутри сети и на каждый посланный пакет за ее пределы должен прийти всего один ответ.. Все что ломется с наружи непущает ни под каким предлогом, и в лог пишет, если сисадм жаждет мести... Послать-то жертва IP сможет, да вот IP будет липовый, внутренний для их подсетки и командный пакет ты ему послать не сможешь, потому как инициатор транзакции будет компьютер извне...
Можно команды передавать по email... Ну тогда не понятно как сделать, чтобы юзер эти "письма" вдруг не причитал...
В общем идея удаленного управления безнаказанно может пройти только на пп.1 и 3,
если это действительно окажется лох...

Vot-Vot! Spasibo. U menja imenno 5-ij variant. Ja uzhe davno dumal administrirovat' pri pomoshi E-Mail. No kak loh mozhet pisma prochitat'? Na primer koimmandy prihodjat na server@trojan.com. Pri pomoshi POP3 ih prochitat', na primer kommanda v Subject'e i udalit eto soobshenie, konechno esli ne lamak za kompom, to etu lavochku tut zhe prikrojut.

Oops...
Как ты собираешься забирать почту с внешнего POP3? Эта лазейка там тоже прикрыта...(ну или почти всегда прикрыта)
Комп внутри может только HTTP запросы через стоящий где-то рядом в этой же сети прокси-сервер кидать или почту отправлять через местный почтовик или получать ее через него же... Доступ наружу закрыт намертво ! Все обращения происходят только по локальным адресам, человек может годами работать и не узнать какой у него IP снаружи... да ему это и не надо...
Так что посылать можно письма только жертве лично, чтобы оно дошло...
Вопрос в том как сделать, чтобы троян их получил, а юзер - нет...
Кстати, если компания серьезная - то лог почтовый бежит...Типа вот этого. Это три минуты работы нашего сервака (WinRoutePro 4.1.25)...
(адреса намеренно почиканы...;-))
------------------------cut-----------------
[14/Jan/2002 12:15:48] SMTP Server: message (283988 bytes) received from <oksana@xxxx.yyyy.ru> to <info@videozzzzz.ru> put in outgoing mail queue
[14/Jan/2002 12:16:36] SMTP Server: message (188419 bytes) received from <oksana@xxxx.yyyy.ru> to <top10@videosssss.ru> put in outgoing mail queue
[14/Jan/2002 12:17:08] POP3 download: 1 message (2504 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_18#195.XXX.YYY.151"
[14/Jan/2002 12:17:12] POP3 download: 2 messages (24137 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_9#195.XXX.YYY.151"
[14/Jan/2002 12:17:36] POP3 download: 2 messages (1189608 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_13#195.XXX.YYY.151"
[14/Jan/2002 12:18:02] SMTP Server: message (192612 bytes) received from <oksana@xxxx.yyyy.ru> to <charts@interyyyy.ru> put in outgoing mail queue
[14/Jan/2002 12:18:09] POP3 download: 38 messages (460972 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_6#195.XXX.YYY.151"
[14/Jan/2002 12:18:14] POP3 download: 2 messages (3391 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_1#195.XXX.YYY.151"
[14/Jan/2002 12:18:25] SMTP Server: message (94952 bytes) received from <oksana@xxxx.yyyy.ru> to <filatov@eraxxx.ru> put in outgoing mail queue
-------------------cut-----------------------
Стоит один сервак у меня под ногами (10.0.2.7) он принимает и передает почту и является прокси, дальше все сливает-получает на-с 192.168.0.3 (это уже другая подсеть сервер находится через дорогу в другом доме...) у того тоже есть POP,SMTP и HTTP-Proxy, дальше проследить не удается...По некоторым косвенным признакам у них есть роутер 192.168.0.74, через который .3 с интернетом общается... Двойная буферизация...
Да, а на почтовике у меня под ногами стоит MailScan, который тороянов и вирусов под корень рубит и мне на почтовый ящик жалуется... Дальше по заголовку письма ищем гада, что трояна прислал... Работа такая...(точнее одна из обязанностей)...

А если админ лох и не смотрит логи? У меня почта на малоизвестном серваке.

Ну тут все на "авось"... Либо повезет, либо нет... Я же не сказал что не получится... Есть крутые компании, в которых стоит брэндмауэр и..... открыт роутинг пакетов...
Т.е. напрямую не попадешь, а через роутер можно всю их сетку почикать, вместе с сервером и базами данных... Баксов так тысяч на .....дцать.
В общем делов натворить можно, тока это уголовщина... Не советую...

Понятно... А что же всё-таки делать? Какой-то выход наверняка есть? Я конечно понима, что не первый об этом спрашиваю (надоели наверное уже ). Но уж узнать негде. Наверно в Инете где-нибудь можно найти. Но у меня нет к ниму доступа. В салон приходится ходить. (

Почитал тут вас. Молодцы. Заинтересовался. Слушай, а ты по конкретней задачу опиши,а ?
И скажи, а скока весит твой конь. Может чем помогу, я сам такое писал, но мой шутник прятался в других прогах, слал данные на один весёлый сайт, который кидал всё на мыло, а к нему я обращялся от отфанарный IP типа 100.010.011.001 и читал инфу. Команды отдавал тоже от отфонарного IP (советую его приравнивать IP чего-нибуть модного и большого, типа www.mail.ru или www.ericsson.com) - так тебя не найдут.

Если обобщить все, что раньше писалось, то назревает два вопроса:
1) Борьба за выживание трояна на чужом компе во враждебной обстановке.
2) Проблема скрытной доставки информации в неизвесной конфигурации сети.
К решению обоих проблем трояна придется снабдить некоторым количеством "мозгов". С чего начнем ?

Предлагаю начать с размеров.
Скока он весит(или должен). Чем меньше весит, тем лезче спрятать. Для оптимального прятанья надо взять книжку "Вирусный полиморфизм". А для обычного использовать что-нибудь типа хранения вира по частям и довешивать в концы *.com файлов на тачке атакуемого. Если пихать в *.ехе, то любой сраный AVP заорёт, что "_бать мой лысый череп да тут сидит засранец со структурой похожей на hhl вирусы." А согласитесь ни с того ни с сего странный файлы на компе..... Я бы какой-нибудь трассировщик бы запустил (по весеелее) и - ВСЁ накрылась коня на одном компе.
Что касается неизвестной cfg сети, то конь всё дело в протоколах. ТОчно не помню, но могу посмотреть, как правильно должен выглядеть IP с ETHERNET что-бы черет экраны спокойно на нужный IP в нете уходил, а далее, как я раньше писал, пусть этот пакетик (их серия) представляет собой простенькое мыло или ещё там что-нибудь. А от туда и читать можно в реал-тайме.