Är du med i ett botnet?
n/a Borttagen
15 apr 2008   #0
Hejsan!

I denna guide ska jag förklara vad ett botnet är och hur man undviker sig ifrån ett, och hur man tar reda på ifall filer innehåller en 'bot'. Du kommer även få reda på hur man kan undvika sig bli infekterad av virus / trojaner / maskar.

Botnet?

Som ni vet så finns det flera typer av lustiga typer där ute som vill få åt era uppkopplingar till att DDoSa folk, använda era internet protokoll (ip) att sätta sig bakom för att dölja sin egna identitet när dom gör illegala saker på internet och annat trams, läsa & skriva information i era egna material som tillhör er.

Ett botnet är ett nätverk av en mängd datorer som är infekterade. Datorerna styrs av självaste Botnet ägaren.
Datorerna ansluts till ett central nätverk, och kan - av Mr.X få uppgifter att göra såsom: Brutala DDoS attacker, sniffa, flooda, fortplanta sig (sprider boten över nätverk för att samla in fler datorer), användas till som identitet vid illegala handlingar m.m
Ett botnet är upplagt på ett irc nätverk (porten 6667 oftast).
Jag ska inte gå in så mycket mer på det där, men bara så att ni får ett litet hum om vad det kan innebära.

Är jag med i ett botnet?

Kanske, det vet du inte förns du kollat upp vart du är ansluten till. Det finns flera vägar att gå tillväga för att kolla upp det.
Jag har valt att göra det genom min router. Jag har en D-Link router (DI-524), och ska förklara hur jag även går tillväga för att kolla upp det.

Jag öppnar min webbläsare (firefox använder jag just nu), skriver in min gateway ip-adress som jag har (till min router), som är i detta fall '192.168.0.1' , nu får jag upp en ruta som säger att jag måste logga in. Jag skriver in mina inloggningsuppgifter och loggar in. Nu är jag inne i routern (ni kanske har öppnat portar, då vet ni hur man gör).

Då går jag in på fliken 'Status' sedan trycker jag på 'Active session' som betyder 'Aktiva sessioner'.
Min ser då ut såhär:

192.168.0.130:1037 TCP 207.46.107.25:1863 60133 3592
192.168.0.130:1061 UDP 72.165.61.188:27017 60881 297
192.168.0.130:1112 TCP 88.80.5.114:6665 60971 3593
192.168.0.130:1979 UDP 207.46.26.253:33884 62241 224
192.168.0.130:1707 TCP 87.96.148.215:8000 62355 3600
192.168.0.130:1987 TCP 207.46.113.220:443 63033 10
192.168.0.130:1048 UDP 195.54.122.198:53 63073 275


1. 88.80.5.114 är Gotserved, så inget jag behöver oroa mig över.
2. 207.46.26.253, 72.165.61.188207.46.107.25, 207.46.113.220, 195.54.122.198 är säkra adresser (Steam, MSN, BBB)
3. 87.96.148.215 , med porten 8000 då? Det är radio (SoundicRadios)

Jag har konstaterat att jag inte är ansluten till något botnet.

Hur kan jag kolla ifall filen innehåller botnet då?

Mina kunskaper säger att man skall använda programet 'Sandboxie' och 'Hexedit workshop'.
Jag kortfattar Sandboxie såhär: Du öppnar en fil som innehåller mängder virus & trojaner, det skadar inte ditt system utan alla filer som tvingas köras sparas i C:\Sandboxie\~ . Efter du har öppnat den farliga filen så dödar du allt som tvingas köras genom att högerklicka på Sandboxie och välja "Terminate" & "Disable all forced". Nu har du allt sparat och du behöver bara kolla i mappen "C:\Sandboxie\~", där alla farliga filer som tillhör filen ligger.

Härom dan så hittade jag en fil på Thepiratebay som sades vara en keygen, jag öppnade den med Sandboxie. Då såg jag i Sandboxie att filen keygen.exe kördes, MEN - en fil under keygen.exe kördes även! Filen hette stub.exe.

Då blev jag genast glad att jag använde just Sandboxie. Jag gjorde som ovanstående och hexeditade filen för att sedan granska den. (Jag ska gå in mer på hexedit strax). Tröck CTRL + F och valde "Text", och sökte först på 'mine.nu' (DNS, oftast använder botnet ägare en DNS till sitt nätverk).
Nej, han använde inte något 'mine.nu', så då sökte jag på olika siffror med '.' och till slut kom det fram en ip-adress samt porten 6667 och där stod det bland annat login och lösenordet till kanalen och kanalen. Vad jag gjorde sen ska vi inte gå in på.

Vadå hexedit? Vad är det för något?

Jo, en hexeditor är ett program som används för att redigera binära filer. De kallas så för att de visar datan som hexadecimala tal. Jag ska visa en bild hur det kan se ut när man "hexeditar" en fil som inte är krypterad (ska förklara vad krypterad är strax).
Med hexedit kan man även redigera hex och spara.

?

Vad är krypterad?

Krypterad, är en fil som är svårläst. Om vi säger att "Contact" (på bilden) var krypterad hade det stått i en massa olika tecken som inte vi hade förstått. För att kunna läsa filen behöver man dekrypterade den, dvs dekryptering. Ska inte gå in mer på det.

Nu hoppas jag att ni fått ett litet hum om det hela och förstår hur allvarligt detta egentligen är. Kanske glömde nämna detta, men om du är ansluten till ett botnet så har Botnet ägaren kontroll över alla dina material på datorn. Och med rätt tid så har han också alla dina login. Kanske till och med ditt internet bankkonto, kreditkort.. Ja du vet nog själv nu hur allvarligt det är.

Tack för mig, jag gjorde denna informativa guide helt själv.
0 poäng  
navea Oldschool
16 apr 2008   #1
Bra gjort robin, du har dragit igenom all basics som alla småungar behöver för att undvika ett nät! go :)
0 Poäng  
n/a Borttagen
16 apr 2008   #2
#1 tack
0 Poäng  
Rancid4321 Föreningsmedlem
25 maj 2008   #3
N1
0 Poäng  
koon Servertomte o<:)
25 maj 2008   #4
Bra, bra...

Är man lite lagomt paranoid räcker det rätt långt. Kör inte okända filer, använd antivirus och brandväggar, har senaste patcharna och kör okända program i Sandboxie... Det där med att kolla IP-adresser funkar också, men bara för att det är ett IP som går till BBB betyder det inte att det nödvändigtvis är "säkert" (är man osäker på ett IP kan man kolla upp det hos t.ex. www.ripe.net (för Europa) eller www.arin.org (för Nordamerika)).

Men som sagt, är man bara lite paranoid och inte kör varenda fil man hittar på klarar man sig rätt långt :]
0 Poäng  
n/a Borttagen
25 maj 2008   #5
Så sant!
0 Poäng  
Maryjane Föreningsmedlem
24 aug 2008   #6
KUNG robbin xD nu kan du juh göra en GUIDE om hur man får botnet ;)
0 Poäng  
Maryjane Föreningsmedlem
24 aug 2008   #7
Robbin e alltid söt btw när jag satt och googlade lite för skojjs skull hittade jag
http://www.dinguide.info/windows-operativ-system/40.htm ? kan det ha något sammanhang med denna tråd? (;
0 Poäng  
bamsegrill Bestefar
24 aug 2008   #8
Kaerra skrevRobbin e alltid söt btw när jag satt och googlade lite för skojjs skull hittade jag
http://www.dinguide.info/windows-operativ-system/40.htm ? kan det ha något sammanhang med denna tråd? (;


Som du ser är han skapare av båda trådarna. :)
0 Poäng  
saxen Föreningsmedlem
24 aug 2008   #9
OMG kerra du har visat din smarthet igen Myttaren
0 Poäng  
TheMupp Föreningsmedlem
13 jul 2009   #10
finns ett program som heter rubotted som kollar om man är inne på irc, väldigt smidigt framtills man vill sitta på irc då den börjar varna :P

men kan vara värt att checka om ni vill(jag stänger bara av det om jag ska ut på irc)

http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted
0 Poäng  
antwashere Föreningsmedlem
14 jul 2009   #11
Om det nu är flera datorer i nätverket så är det svårt att se i routern om det är ens egen dator eller någon annans som är infekterad.
Då är det bättre att skriva ipconfig /all i cmd.
0 Poäng  
Logga in


Från forumet
Permban.
Bannad? • Svar 8
Visningar 450 • Aktiv Idag, kl. 20:26
Bannad  
Bannad? • Svar 5
Visningar 377 • Aktiv 25 mar, kl. 20:34
Ha den äran på födelsedagen
Counter-Strike 1.6 • Svar 5
Visningar 294 • Aktiv 17 mar, kl. 18:51
Hörlurar
Counter-Strike 1.6 • Svar 3
Visningar 337 • Aktiv 6 mar, kl. 18:05
Fick nyss en ban
Bannad? • Svar 7
Visningar 593 • Aktiv 27 feb, kl. 18:46
Bannad??
Bannad? • Svar 0
Visningar 312 • Aktiv 20 feb, kl. 21:26
Patricius
Bannad? • Svar 4
Visningar 486 • Aktiv 13 feb, kl. 20:44
30 minuters bann, saknar förklaring
Bannad? • Svar 2
Visningar 649 • Aktiv 24 jan, kl. 12:49
ssban ikväll
Bannad? • Svar 5
Visningar 799 • Aktiv 19 jan, kl. 17:42
Bannad
Bannad? • Svar 1
Visningar 542 • Aktiv 13 jan, kl. 14:53

Playstars sponsorer
Bredband 2
Statsnät