Неизвестный сервис zeus-admin работает на моем сервере
3 ответа
Я создал сайт WordPress для своего клиента на своем собственном сервере. Когда я был готов передать его на его сервер, я заметил, что его хост использует Zeus вместо Apache. Я никогда раньше не использовал Зевса. Единственная проблема заключается в том, что Zeus не использует mod_rewrite, поэтому.
Это также имя по умолчанию, указанное в списке при nmap’ing. Фактическая служба, прослушивающая этот порт, не обязательно должна быть, это то, что обычно является службой по умолчанию, работающей на этом порту.
Веб-сервер Zeus-это проприетарный веб-сервер для платформ, подобных Unix и Unix.
ZWS, похоже, мертв, так как он не обновлялся с января 2010 года, и компания больше не предлагает аналогичное серверное решение.
Zeus иногда используется в качестве встроенного веб-сервера для таких вещей, как консоли администратора. Если у вас установлен сервер OpenFire XMPP, вы найдете инструменты конфигурации UI, работающие на порту 9090 ( http://localhost:9090 ).
Похожие вопросы:
> zeus start Starting Zeus server ready : boot died : boot :После этого он не уходит, он просто кажется висящим. Зевс похож на Спорка только больше. Он позволяет.
Я работал на codeigniter с jquery validate plugin и upload plugin, он отлично работает на локальном сервере, но не работает на моем сервере http, он правильно получает путь jquery, но не работает.
К сожалению, один из моих клиентов использует веб-сервер Zeus в хостинговой компании, которую он использует. Я никогда не пользовался им раньше. Мне нужно настроить простые 301 редиректы, но Zeus не.
Я создал сайт WordPress для своего клиента на своем собственном сервере. Когда я был готов передать его на его сервер, я заметил, что его хост использует Zeus вместо Apache. Я никогда раньше не.
Я пытался перенести сайт wordpress, созданный на сервере godaddy linux & после того, как все будет завершено при попытке перенести сайт на хостинг register 365 на сервере zeus, сайт выдает.
Я использую zeus ruby gem на a vagrant для разработки проблема заключается в том, что выполняется любая из следующих команд zeus start env ZEUSSOCK=/home/vagrant/zeus.sock zeus start env.
Пожалуйста у меня есть небольшая проблема на моем сервере : Когда я использую функцию php header, она не работает : header(‘location: /index.html’); Я попробовал эту строку на другом сервере с той.
Я пытаюсь интегрировать кнопку g+ share на свой сайт. Если я помещаю его на статическую часть страницы, все работает нормально. Но если я помещаю его на модальный, он не открывается, и я получаю.
У django есть модуль по умолчанию с именем admin. Красная рамка-это приложение, созданное мной самим. Могу ли я создать APP с именем admin в своем проекте? Я имею в виду, если я это сделаю, то.
Неизвестный сервис zeus-admin работает на моем сервере
3 ответа
Я создал сайт WordPress для своего клиента на своем собственном сервере. Когда я был готов передать его на его сервер, я заметил, что его хост использует Zeus вместо Apache. Я никогда раньше не использовал Зевса. Единственная проблема заключается в том, что Zeus не использует mod_rewrite, поэтому.
Это также имя по умолчанию, указанное в списке при nmap’ing. Фактическая служба, прослушивающая этот порт, не обязательно должна быть, это то, что обычно является службой по умолчанию, работающей на этом порту.
Веб-сервер Zeus-это проприетарный веб-сервер для платформ, подобных Unix и Unix.
ZWS, похоже, мертв, так как он не обновлялся с января 2010 года, и компания больше не предлагает аналогичное серверное решение.
Zeus иногда используется в качестве встроенного веб-сервера для таких вещей, как консоли администратора. Если у вас установлен сервер OpenFire XMPP, вы найдете инструменты конфигурации UI, работающие на порту 9090 ( http://localhost:9090 ).
Похожие вопросы:
Terminal выход: joe@peteimac:
> zeus start Starting Zeus server ready : boot died : boot :После этого он не уходит, он просто кажется висящим. Зевс похож на Спорка только больше. Он позволяет.
Я работал на codeigniter с jquery validate plugin и upload plugin, он отлично работает на локальном сервере, но не работает на моем сервере http, он правильно получает путь jquery, но не работает.
К сожалению, один из моих клиентов использует веб-сервер Zeus в хостинговой компании, которую он использует. Я никогда не пользовался им раньше. Мне нужно настроить простые 301 редиректы, но Zeus не.
Я создал сайт WordPress для своего клиента на своем собственном сервере. Когда я был готов передать его на его сервер, я заметил, что его хост использует Zeus вместо Apache. Я никогда раньше не.
Я пытался перенести сайт wordpress, созданный на сервере godaddy linux & после того, как все будет завершено при попытке перенести сайт на хостинг register 365 на сервере zeus, сайт выдает.
Я использую zeus ruby gem на a vagrant для разработки проблема заключается в том, что выполняется любая из следующих команд zeus start env ZEUSSOCK=/home/vagrant/zeus.sock zeus start env.
Пожалуйста у меня есть небольшая проблема на моем сервере : Когда я использую функцию php header, она не работает : header(‘location: /index.html’); Я попробовал эту строку на другом сервере с той.
Я пытаюсь интегрировать кнопку g+ share на свой сайт. Если я помещаю его на статическую часть страницы, все работает нормально. Но если я помещаю его на модальный, он не открывается, и я получаю.
У django есть модуль по умолчанию с именем admin. Красная рамка-это приложение, созданное мной самим. Могу ли я создать APP с именем admin в своем проекте? Я имею в виду, если я это сделаю, то.
Symantec Endpoint Protection Manager (SEPM) uses this port for initial HTTP communication between a remote management console and the SEPM to display the login screen.
RTSP proxy for Novell BorderManager 3.6 SP 1a allows remote attackers to cause a denial of service via a GET request to port 9090 followed by a series of carriage returns, which causes proxy.nlm to ABEND. References: [CVE-2002-0781]
Multiple HP Intelligent Management Center products could allow a remote attacker to execute arbitrary code on the system, caused by an error in the iNOdeMngChecker.exe component. An attacker could exploit this vulnerability to execute arbitrary code on the system with SYSTEM-level privileges. References: [XFDB-68348]
WebSM (IANA official)
SG
9090
udp
applications
MPM SIP HP-180W Wireless IP Phone WE.00.17 allows remote attackers to obtain sensitive information and possibly cause a denial of service via a direct connection to UDP port 9090, which is undocumented and does not require authentication. References: [CVE-2006-0360], [BID-16285], [SECUNIA-18512]
ZyXel P2000W VoIP 802.11b Wireless Phone running firmware WV.00.02 allows remote attackers to obtain sensitive information, such as MAC address and software version, by directly accessing UDP port 9090. References: [CVE-2006-0302] [BID-16285] [SECUNIA-18511] [OSVDB-22516]
SG
9090
tcp
Openfire Administration Console (unofficial)
Wikipedia
9090
tcp
SqueezeCenter control (CLI) (unofficial)
Wikipedia
9090
tcp
trojan
Aphex’s Remote Packet Sniffer
Trojans
9090
tcp
zeus-admin
Zeus admin server
SANS
9090
tcp
zeus-admin
Zeus admin server
Nmap
9090
tcp,udp
websm
WebSM
IANA
8 records found
Notes: Port numbers in computer networking represent communication endpoints. Ports are unsigned 16-bit integers (0-65535) that identify a specific process, or network service. IANA is responsible for internet protocol resources, including the registration of commonly used port numbers for well-known internet services. Well Known Ports: 0 through 1023. Registered Ports: 1024 through 49151. Dynamic/Private : 49152 through 65535.
TCP ports use the Transmission Control Protocol, the most commonly used protocol on the Internet and any TCP/IP network. TCP enables two hosts to establish a connection and exchange streams of data. TCP guarantees delivery of data and that packets will be delivered in the same order in which they were sent. Guaranteed communication/delivery is the key difference between TCP and UDP.
UDP ports use the Datagram Protocol. Like TCP, UDP is used in combination with IP (the Internet Protocol) and facilitates the transmission of datagrams from one computer to applications on another computer, but unlike TCP, UDP is connectionless and does not guarantee reliable communication; it’s up to the application that received the message to process any errors and verify correct delivery. UDP is often used with time-sensitive applications, such as audio/video streaming and realtime gaming, where dropping some packets is preferable to waiting for delayed data.
Как нам подсказывает англо-русский словарь, zeus переводится как Зевс, Громовержец, главный бог древне-греческого пантиона. Назвав свое творение zeus в далеком уже 2007 году, неизвестный автор трояна взял на себя определенные обязательства, обязывающие быть если не главным, то как минимум в числе первых, и надо признать, он выполнил, и даже перевыполнил эти обязательства. Zeus-троян стал уже легендарным на просторах Интернета и даже за его пределами за последние несколько лет. Ни один из троянов не зацвел таким буйным цветом, не распространился так широко, как этот, а по широте охвата zeus ненамного отстает от печально знаменитого червя Kido/Conficker.
Изначально zeus позиционировался как бансковский троян, то есть программа, которая каким либо образом проникает на компьютер жертвы и передает своему хозяину конфиденциальную информацию — логины, пароли, номера кредитных карт, CVV2/CVC2 коды и так далее. Но со временем стали появляться и модификации для кражи корпоративных данных, заражения исполняемых файлов, рассылки спама и так далее. Расскажу немного о бизнес — схеме, которая используется при работе с zeus. Автор zeus (или авторы), заботливо расширяет и совершенствует свое детище вот уже много лет, но у этого парня хватает ума самому не заниматься распространением трояна — он продает конструктор для создания модифицированных версий всем желающим, с более или менее понятными инструкциями, также можно купить и тех. поддержку. Ну а поиском Дедиков как центров управления, созданием и распространением трояна — клиента, обработкой полученных номеров кредиток, обналичкой и прочим криминалом занимается всякая низкоинтеллектуальная “школота”. Самый показательный пример такого рода – это задержание в начале октября 2010 года в США группы студентов из России, которые погорели скорее всего из-за своей неуемной жадности и тупости. Вот их имена: Илья Карасев, Кристина Извекова, Софья Дикова и иже с ними. Взято отсюда. Впрочем, вся школота на удивление дешево отделалась — каждому дали меньше года тюрьмы и мизерный денежный штраф, хотя в США за такие преступления можно сесть на 40 лет.
Хотя надо отметить, что автор zeus принимал активное участие в работе существующих крупных ботнетов, видимо в рамках тех. поддержки пользователям, ибо он пишет в рекомендациях по использованию своего детища, что дедик, на котором должна крутится адмика, должен быть достаточно мощным, с конкретными указаниями конфигурации. Недавно zeus засветился еще в одной атаке – кто то перед рождеством разослал поздравительные рождественские открытки якобы из Белого дома по правительcnвенным учреждениям США. При переходе по ссылке или открытии прикрепленного файла zeus тупо сканировал винчестер в поисках Word, Exel, PDF файлов и отсылал их на некий сервер в Белоруссии.
Вообще, очень много ниточек от zeus ведут в страны постсоветского пространства, что дает основания подозревать, что родом он из России или Украины, что в последствии и подтвердилось, ибо комментарии в исходниках и инструкции по работе были написаны на русском. Да и сам GUI Сервера zeus содержал всего два языка — английский и русский.
Возможности
-Язык и IDE программирования:
-Поддерживаемые ОС:
-Принцип действия:
-Процесс установки:
-Защита:
-Получение важных данных из программ пользователя:
Логинов из FTP-клиентов: FlashFXP, CuteFtp, Total Commander, WsFTP, FileZilla, FAR Manager, WinSCP, FTP Commander, CoreFTP, SmartFTP. «Кукисов» Adobe (Macromedia) Flash Player. «Кукисов» wininet.dll, Mozilla Firefox. Импорт сертификатов из хранилища сертификатов Windows. И слежение за их дальнейшим добавлением. Слежение за нажатием клавиш клавиатуры.
Сделаю несколько своих комментариев по поводу высказываний автора zeus: та версия, которая попала ко мне, была откомпилирована на компьютере автора с помощью MS Visual Studio 10.0, так что файл комментов несколько устарел. Толи автор не удосужился их обновить для того юзера, которому продал сорсы, толи еще что.
По поводу принципа действия – автор решил не заморачиватся написанием драйверов, поднятием привилегий и прочими boot-time фишками, которые очень популярны у вирусописателей в последнее время, и не случайно — эта олд-скульность весьма оправдана, так как бот работает предельно стабильно на всем семействе операционок Windows, функционален даже из под гостевого аккаунта, и имеет минимально возможную вероятность запалиться антивирусом. Тем более что в операционках семейства Windows после выхода XP SP2 для поддержки технологии “горячего патча” пролог каждой функции был сделан постоянной длинны в 5 байт, что избавло zeus от того, чтобы таскать с собой дизассемблер BeaEngine, и это несомненно пошло на пользу трояну, ибо автор zeus называет дизассемблер “довольно громоздким, хоть и универсальным”.
Узкое место то, что клиентская программа трояна прописывает себя в каждом пользовательском процессе, и этим ее можно детектировать. Например, техника определения, инфицирован ли данный процесс, используется самим ботом-клиентом для отрисовки окна при работе встроенного vnc сервера – проверяется, создан ли в процессе мутекс со специальным именем. Если создан – значит данный процесс инфицирован. Но имя скорее всего уникально для каждого экземпляра программы-клиента, так что так просто это в правила антивиря запихать не удастся. Вот еще интересные строчки “При установке, бот создает свою копию в домашней директории пользователя, В данный момент не производиться скрытие файлов бота через WinAPI” что дает нам отличный способ детектирования именно этого бота. И вообще – в корне домашнего каталога юзера не должно быть никаких левых подозрительных файлов! Особенно выполняемых, странно что антивирусы об этом не знают. Вообще, схема распространения данной версии zeus довольно примитивна – пользователь переходит по ссылке, пришедшей в спамерском письме, или через инфицированный pdf документ, и запускает программу-инсталятор zeus, которая шифрует уникальным шифром вирус под каждого отдельного пользователя, после чего инсталлятор удаляется, а вирус сможет исполнятся только на этом данном компе под данным юзером. Никаких распространений через сканирование сети, через флешки, и прочих новомодных штучек. Все это безусловно ограничивает распространения трояна, зато делает его гораздо более устойчивым к антивирусам, что, судя по степени распространения zeus более чем оправдано.
По поводу “Получение важных данных из программ пользователя”- чистая правда, такая функциональность есть. Правда, автор забыл написать, что грабилка паролей CuteFTP в текущей версии закоментарена, то есть в билд она не попадает, судя по тому что не доделана, а расшифровка пароля для WsFTP вообще не реализована, что отражено в коментах сорсов, но это все мелочи 😉 Странно, что автор не потрудился на пароли аськи, скайпа, сохраненные пароли от соц. сетей и т.д., другие Трояны с радостью крадут все эти данные. Судя по всему, алгоритмы расшифровки многих паролей были получены методами реверсивного инжиниринга, то есть дизассемблированием. Кстати, среди браузеров автором не упомянут Google chrome, вдруг его данные троян не грабит, так что возможно лучше всего пользовать браузер от Google, хотя я этот вопрос не исследовал.
Ну как ясно из всего вышеперечисленного – zeus необычайно широко распространен, качественно сделан, устойчив и скрытен в работе, легко адаптируется под различные новые задачи, кроме всего прочего, работает под подавляющим большинством операционных систем семейства Windows, в том числе и в 64-битных. В общем, в своем роде просто уникальный продукт.
Ну и напоследок — исходники этого самого знаменитого трояна таки утекли в сеть, то есть его создатель попал на те же грабли, что и его законопослушные коллеги-программисты: кто то из покупателей толи потерял, толи намеренно выложит сорсы в сеть, благодаря чему все желающие получили возможность познакомится со зловредом так сказать изнутри.
Анализ
Как известно, разработка программного обеспечения, в том числе написание кода – работа очень творческая, тут нет каких то единых стандартов и раз и навсегда проторенных дорожек, это как спорт, когда у каждого великого спортсмена со временем вырабатывается свой стиль игры, как изобразительное искусство, когда картины мастера можно узнать по характерному подчерку, как литература, например, если маленький мальчик попал в лапы к нелюдям – это Лукьяненко, а если все люди перемерли и герой расследует преступление, бегая по руинам городов – это Филлип Дик. Так же и с исходным кодом ПО и сопутствующими ему деталями – у каждого профессионального программиста есть свой характерный почерк, который очень много может сказать о своем авторе. И никакие корпоративные шаблоны, типа документов по стилизации кода, использованию характерных языковых конструкций и так далее не может помешать автору кода изменить своему стилю, ибо это сидит уже в подсознании, в подкорке головного мозга. Вот я и попробую, анализируя исходный код трояна zeus, попытаться кое что разузнать о его авторе.
При первом взгляде на сорсы бросается в глаза их предельно четкая структурированность, что говорит о большом опыте автора в разработке ПО. Не заметно никаких следов какой либо системы контроля версий, и это лишний раз подтверждает предположение о том, что это не была утечка исходников от их создателя, а в сеть попал пакет сорсов, который был продан какому-то клиенту. Ведь врятли автору удалось работать 4 года и дожить до версии 2.0.8.9 без source-контроля. Для начала хотелось бы отметить, что сам пакет zeus, попавший в мои руки, состоит из нескольких модулей: common — общие для всех проектов файлы, в которых содержится реализация большинства абстракций, необходимых для работы, таких как менеджер памяти, работа со строками, файловой системой, процессами, потоками, объектами синхронизации и прочее. В общем, набор крайне полезных и нужных базовых сервисов. client — непосредственно сам вирусный клиент или бот, который проникает и поселяется на компьютерах жертв. Самый большой по объему код находится тут, ибо трояну надо много чего уметь делать. builder — построитель новых версий вирусного клиента на основе скомпиленного содержимого каталога “client” bcserver — сервер для работы на дедике, к которому будут бак-коннектится боты. server[php] – веб интерфейс для управления ботнетом. bin – немногие 3rdparty, которые использует проект zeus. Все остальные сторонние компоненты были переписаны под zeus API, как то vnc, дизассамблер на движке BeaEngine. В этом каталоге лежат fasm, php, 7zip, upx. Первое что бросилось в глаза — это билд система. Хотя zeus и собирается под Visual Studio 10, билд система написана на php. Это очень необычно и редко встречающееся решение, так как разработка системы билда на php не свойственно для Windows систем, и вообще не свойственно ни для каких систем. Это может говорить о том, что автор взял уже готовую подобную систему и модифицировал для своих целей. А где он мог ее взять? Только на своей предыдущей или нынешней работе, и скорее всего он участвовал в разработке данной системы.
Код написан почти полностью на С, только там где используются COM интерфейсы, неорхотно используется С++. Хотя автор регулярно пишет TODOшки, что какие то части надо переписать с использованием COM.
Еще раз — я категорически утверждаю, что весь С-код zeus писал один человек, ни о какой команде хакеров, ни о какой передаче исходников zeus разработчикам SpyEye, которым так пугали нас в СМИ, не идет и речи, все стилистически и функционально настолько четко выверено и рассчитано, что даже еще не видя кода до конца, примерно представляешь, что же там будет.
Сам код меня в некотором смысле даже порадовал — никаких больших закомментариных кусков, нет даже не отформатированных кусков, все лаконично, четко и красиво, сразу видно что код регулярно ревьюится автором.
Еще одной отличительной особенностью является высокая степень абстракии кода от системных вызовов и вообще работы с конкретной операционной системой. Почти все, что только можно, вынесено в отдельные программные модули, которые разработаны по единой архитектуре, похожую на структуру классов языка с++. Также удивляет очень высокая степень унификации программных компонентов, многие из них сделаны по единому шаблону, несмотря на крайне различсную функциональность, что говорит о высоком профессионализме автора программы.
Эпилог
Говорят, что у орудий, предназначенных для убийства есть своя потаенная эстетика, изгиб линий и очертания форм предают таким предметам скрытое очарование, вызывающее смесь восхищения и ужаса у наблюдающего их. Схожие чувства я испытал в процессе знакомства с исходниками zeus, этим одним из самых совершенных орудий всеобщей кибернетической эпохи, когда никто не может чувствовать себя в безопасности от невидимых но цепких лап троянов и руткитов. Может, пока Вы читаете эти строки, за Вами пристально следит через vnc один из очередных хозяев ботнета, терпеливо ожидая, пока Вы залогинетесь в свой банковский аккаунт? Но не все так плохо, пример автора zeus говорит нам, что нет ничего невозможного для опытного и целеустремленного одиночки – программиста, пусть он и вынашивает самые низкие и коварные замыслы.
