Duda con un troyano.

Iniciado por RogerSmith, 16 Enero 2012, 19:07 PM

0 Miembros y 2 Visitantes están viendo este tema.

RogerSmith

Cita de: DNK en 28 Enero 2012, 17:35 PM
investigalo, sino si el troyano es configurable elegí el puerto que mas tu guste (preferiblemente uno alto para mas seguridad) y abrilo desde la cofiguracion online del router.

El troyano yo lo creaba por el puerto 80, o al menos ese le asignaba en el spy net, para que al tratarse de ese puerto, no levantara sospechas, no sñe si estaría haciendo bien o mal...
Gracias.

int_0x40

Nada más por curiosidad:

"Perdona, pero según tengo entendido, el cliente sería YO, mientras que el servidor sería el ordenador de la víctima, ya que la información pasaría desde su pc al mio propio."

"jaja tenes razón, me equivoque es al revés vos sos el cliente y el otro el servidor "

¿Si hablamos de una conexión inversa no será de casualidad desde el punto de vista del proceso opuesto  a como se hacía la conexión a un troyano en mis tiempos, por ejemplo con el Netbus, BO y SubSeven o como puede hacerse en una LAN con ellos?

Antes la víctima se infectaba con el servidor que el atacante controlaba desde casita a través de su cliente. En otras palabras era el atacante el que iniciaba la conexión a la víctima remota, en cuyo equipo estaba corriendo el server (troyano) en los puertos TCP 12345 y 12346 por ejemplo en el caso del Netbus (el razabus creo que eran otros, no recuerdo jajaj).

Entonces en el caso de una conexión inversa ¿No es el cliente (la víctima) el que inicia ésta, mandando request sin que la víctima se percate al server, como cuando desde su navegador se conecta a este foro? ¿No es el atacante el que está redireccionando puertos en su propio router para el servicio que tiene corriendo en el puerto 80, que por cierto es un well-known port?

Así entonces, mi última duda es, si el cliente se conecta a nosotros en una conexión inversa y nuestra IP pública no es del tipo estática ¿cómo le harán nuestras víctimas para localizarnos? ¿Ahí entrará el asunto de asociar nuestra IP dinámica a un subdominio?

Espero que a través de mis dudas aclaren las propias. Saludos.
"The girl i love...she got long black wavy hair "

RogerSmith

Como dije en mi anterior mensaje estuve probando el no-ip, supuestamente configuro todo perfecto, pero sigue sin funcionarme, estoy casi 100% seguro que el problema está en los puertos, he tratado de abrirlos a través del "Portal Alejandra" (para los que tenemos imagenio de Movistar), pero cuando los escaneo con alguna web de puertos me aparecen cerrados los que supuestamente abrí. Si alguien sabe que puerto exactamente hay que abrir para Spy net y qué parámetros poner, le estaría muy agradecido.
Gracias.

DNK

ya con el tema de como abrirlos no puedo ayudarte por que varia entre router y router, pero vos podes hacer que se conecte al puerto que quieras de tu router.

RogerSmith

No sé la verdad estuve probando y no me iba, mi router es Zyxel de Movistar.
Pero, ¿es qué nadie ha tenido estos problemas o nadie ha conseguido hacer funcionar el spynet o qué?.
Gracias.

DNK

Cita de: int_0x40 en 28 Enero 2012, 21:10 PM
Nada más por curiosidad:

"Perdona, pero según tengo entendido, el cliente sería YO, mientras que el servidor sería el ordenador de la víctima, ya que la información pasaría desde su pc al mio propio."

"jaja tenes razón, me equivoque es al revés vos sos el cliente y el otro el servidor "

¿Si hablamos de una conexión inversa no será de casualidad desde el punto de vista del proceso opuesto  a como se hacía la conexión a un troyano en mis tiempos, por ejemplo con el Netbus, BO y SubSeven o como puede hacerse en una LAN con ellos?

Antes la víctima se infectaba con el servidor que el atacante controlaba desde casita a través de su cliente. En otras palabras era el atacante el que iniciaba la conexión a la víctima remota, en cuyo equipo estaba corriendo el server (troyano) en los puertos TCP 12345 y 12346 por ejemplo en el caso del Netbus (el razabus creo que eran otros, no recuerdo jajaj).

Entonces en el caso de una conexión inversa ¿No es el cliente (la víctima) el que inicia ésta, mandando request sin que la víctima se percate al server, como cuando desde su navegador se conecta a este foro? ¿No es el atacante el que está redireccionando puertos en su propio router para el servicio que tiene corriendo en el puerto 80, que por cierto es un well-known port?

Así entonces, mi última duda es, si el cliente se conecta a nosotros en una conexión inversa y nuestra IP pública no es del tipo estática ¿cómo le harán nuestras víctimas para localizarnos? ¿Ahí entrará el asunto de asociar nuestra IP dinámica a un subdominio?

Espero que a través de mis dudas aclaren las propias. Saludos.

Las conexiones son básicamente asi:

Conexión directa (el cliente se conecta al servidor).
Nosotros (cliente nos conectamos a ellos)

Conexión inversa (el servidor se conecta al cliente).
Ellos (server) se conectan a nosotros.

La conexión directa queda descartada por que el router bloquearía tus conexiones, salvo que abras un puerto y hagas otras cosas, pero es mas facil uno de conexión inversa y listo.

Como vos dijiste en la conexión inversa tenemos que configurar nuestro router para que no bloquee las conexiones de la maquina infectada y usar el Noip para dejar la ip "estática"


Cita de: RogerSmith en 29 Enero 2012, 13:46 PM
No sé la verdad estuve probando y no me iba, mi router es Zyxel de Movistar.
Pero, ¿es qué nadie ha tenido estos problemas o nadie ha conseguido hacer funcionar el spynet o qué?.
Gracias.

Yo creo que el problema es de configuración de tu router o de configuracion del troyano, en ambos casos tenes que investigar por que router movistar nunca tuve.
Si podes pone acá como configuras tu troyano así te guío un poco.