Backdoor no CenterICQ?

21-10-2003, 20:42

Olá pessoal, eu gostaria de mandar um alerta para voces que usam o cliente CenterICQ.

Houve uma pequena discussão entre o autor do programa e uma colega de trabalho, o qual a impediu de se conectar no icq usando o programa dele, bloqueando o uin dela (outras pessoas conseguiam usar o centericq normalmente, inclusive ela com um uin antigo).

Monitorando o comportamento do centericq, tive o resultado abaixo:

# nslookup 80.243.45.233
Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig´ or `host´ programs instead. Run nslookup with
the `-sil[ent]´ option to prevent this message from appearing.
Server: 200.2??.5?.?
Address: 200.2??.5?.?#53

Non-authoritative answer:
233.45.243.80.in-addr.arpa name = host2.beine-computer.de.

Authoritative answers can be found from:
45.243.80.in-addr.arpa nameserver = ns2.tzv.de.
45.243.80.in-addr.arpa nameserver = kommunikation.iz-plauen.de.
ns2.tzv.de internet address = 80.243.46.180
kommunikation.iz-plauen.de internet address = 80.243.45.80
-----------------------------------------------------------------------------------
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:x11 *:* LISTEN
tcp 0 0 *:ipp *:* LISTEN
tcp 0 0 localhost:smtp *:* LISTEN
tcp 93 0 200.2??.5?.3?:32927 host2.beine-compute:ftp CLOSE_WAIT
tcp 0 0 200.2??.5?.3?:32936 64.12.30.180:aol ESTABLISHED
tcp 0 0 200.2??.5?.3?:32931 host2.beine-compu:54570 CLOSE_WAIT
tcp 0 0 *:ssh *:* LISTEN
udp 0 0 *:sunrpc *:*
udp 0 0 *:ipp *:*
-----------------------------------------------------------------------------------
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 93 0 200.2??.5?.3?:32927 80.243.45.233:21 CLOSE_WAIT
tcp 0 0 200.2??.5?.3?:32936 64.12.30.180:5190 ESTABLISHED
tcp 0 0 200.2??.5?.3?:32931 80.243.45.233:54570 CLOSE_WAIT
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*

reparem, o centericq se conecta ao servidor host2.beine-computer.de (ip 80.243.45.233) utilizando duas portas, a 21 e a 54570.

conclusão: o pedido de login passa antes por um computador o qual o autor do programa tem controle sobre os UINs, e provavelmente a senha também.

vejam se voces concordam comigo, pois monitorei o YSM e o Licq, e ambos nao se conectam a servidores "obscuros".

Abraços pessoal!

Backdoor no CenterICQ?

Ferramentas de Tópicos

Backdoor no CenterICQ?