Люди.
Підкажіть, як захиститися від радміна!
У нас в мережі він ну дуже поширений.
Запихають в усі файли (ехе), і кладуть в папку C: /windows/system32/Explorer.exe, як системний файл. я його бачу, коли він видає довідку про те, як запускати його з командного рядка.
Проблема не в тому, щоб його видалити, проблема в тому, щоб якось назавжди його обмежити назавжди (він використовує своє порт, який призначить господар, і ім'я файлу з розташуванням може змінюватися.)
Є якісь програми, що дозволяють знаходити його де завгодно?
: Sos:
Відповідь до жаху банальний. Більшість антивірусів "палять" його як вірус. Просто дай Антив (якщо він є) зробити свою справу. Є ще пара варіантів, але ти спочатку опиши ситуацію докладніше (які права є у твого користувача, яка версія RAdmin).
він ніби як в реєстрі зберігає інфу про себе, можна встановити його і запустити r_server / setup, потім поставити пароль і ограінченія по IP, ну і лог включити в файл.
Vinni_incorp, Такий файрвол як Outpost, та в принципі як і будь-який інший, перевіряє файл і його права доступу не по його назві, а по його вмісту))), так що додай Radmin.exe в карантин і все буде добре.
у мене стоїть каспер-Антівір і керіо-фаірвол
вони його не палять!
Як можна додати його (радмін) в базу.
і ще лажа в тому, що він старої версії і біля годинника не відображається. + Кожен може налаштувати його на певний порт, назвати як захоче (Explorer.exe), і кинути куди хотіт.
а запускати кілька радміна помоему можна.
виходить якщо я запущу свій, це не завадить працювати чужому.
Швидше за все відповідь в тому, щоб додати його в базу поганих програм Каспера або керіо. тільки так?
Мда. Грохні нафіг свій Керіо (до речі, класний файр. Був. До появи Agnitum Outpost Firewall PRO 4.0).
Так ось, у Агнітума є модуль Anti-SPYWare, який радміна палить. А ось як з антивирь розібратися. DrWEB палить. Решта теж, по-моєму.
ставь оутпост і пароль на зміну параметрів. блокуй нафіг і ніяких проблем.
Швидше за все відповідь в тому, щоб додати його в базу поганих програм Каспера або керіо. тільки так?
Керіо ні разу не бачив навіть, але думаю, що як у всіх поважаючих себе файроволов повинен бути список дозволених і заборонених програм.
У Agnitum Outpost Firewall PRO це зробити можна так:
Параметри-Додатки Далі будуть "Заборонені додатки" "користувача рівень" "Довірені програми". Вибираєш "Заборонені додатки" -Додати і шукаєш Radmin.exe в папці радміна, далі рекомендую додати всі .exe з цієї директорії.
Не завадить зазирнути в налаштування "Anti-Leak" там буде досить таки примітивний інтерфейс з питаннями про дії в тих чи інших випадках. Але нас повинна хвилювати вкладка "Виключення" раптом там вже прописалася "непотрібна" нам програма типу Radmin, так її в терміновому порядку необхідно видалити з цього списку. Також, для профілактики, вибравши будь-який .exe внизу ми побачимо опис дій, якщо стоїть "успадковувати", то необхідно уважно подивитися, на що варто спадкування дії. Наприклад: у мене стоїть спадкування в програмі Cain.exe / модуль програми CainAbel / на "критичні значення реєстру" це було б погано, якщо програма була б мені погано знайома, даний вид спадкування припускає, що всі критичні значення, які вносить програма до реєстру , файрволом сприймається як "Так воно і повинно бути" і якщо у мене Cain підчепить / доцільно заразять / троян, яка не палится, і той внесе зміни до реєстру, файрвол схаває ці зміни, навіть не пискнувши.
Також не завадить зазирнути і в "Компоненти". Налаштувавши під себе рівень безпеки. У мене стоїть на максимумі, щоб я був завжди в курсі, що у мене оновлюється, що запитує другорядний доступ в мережу, і що збирається зробити програма в мережі.
вобщем, я зрозумів, що треба робити - знести керіо і Каспера, і поставити оутпост і Др.ВЕБ.
Але питав я не про те, як занести канкретна файл в список виключень, а як знайти його в системі не по назві файлу, не по порту, а по вмісту.
Вообщем, я зрозумів, спасибі за поради!
Дуже вдячний.
:)
боротися з Radmin просто. поставив ZoneAlarm він з будь-якого запитує як тільки відбувається з'єднання говориш прибити і всё..по замовчуванням radmin юзает порт 4899 прибити його і все. Так само можна послухати порт Каторі активні і які очікують підключення. команда netstat + ключі їх не пам'ятаю так як під лінуксом сіжу..І останній варіант але як альтернатива. Поставити самому серверну частину і згенерувати пароль по максимому символів навіть якщо проб'ють пароль навіть з 8 символів зламати складно який не несе ніякої логіки ..
поміняй настройки радміна в реєстрі, в частині дозволених сесій айпі. наклади заборону на гілку всім, крім система.
Я борюся з радміна елементарно просто.
Після завантаження компа пишу в командному рядку:
r_server / stop
І все!
Так я через виконати і запускаю. А якщо все ж треба, щоб адміни в комп'ютер зайшли (щось по роботі зробити, наприклад), то пишу:
r_server / start