Autor Tema: llamada desde la red a rpcss.exe  (Leído 4446 veces)

Desconectado Antonio de la Flor

  • Pro Member
  • ****
  • Mensajes: 562
    • http://www.adelaflor.com
llamada desde la red a rpcss.exe
« en: 30 de Enero de 2004, 08:47:05 pm »
Hola
No sé si este mensaje debería ir aquí, movedlo según veáis.
Tampoco hay ni la más mínima prisa para la respuesta
Quisiera saber un mensaje del cortafuegos (firewall) de que "Se está intentando acceder DESDE la red al archivo c:\windows\rpcss.exe" en un windows millenium si sería indicador de algo en concreto
Tengo información en google sobre el archivo rpcss. exe y qué poco confiable resulta que microsoft lo incluya en sus windows así como tres mensajes en los foros de daboweb que lo mencionan, no obstante no consigo gran información.
Sin prisa ninguna de ninguna clase:es para un ordenador que va a estar bastantes días desconectado de la red.
Un abrazo
No les des el pez, dales la caña

www.editoresweb.com es mi web sobre edición web ("webmastering"), "Aprender haciendo webs" (y no aprender a hacerlas que eso es otra cosa) ;)

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
llamada desde la red a rpcss.exe
« Respuesta #1 en: 30 de Enero de 2004, 10:33:27 pm »
He encontrado esto, lo que pasa es que está en ingles

:arrow: Is rpcss.exe a Trojan horse? No. It's a server that provides RPC capabilities to the Windows operating system.
 
:arrow: Is rpcss.exe a security hole? The program itself is not known to be a security threat. However, like its UNIX brethren, it does provide a gateway through which security holes in programs that use it can be exploited. RPC, like most other IPC protocols, is only as safe as the programs that utilize it.

 :arrow: Can rpcss.exe be exploited by a malicious software author? Yes, but again, this has nothing to do with the program and more to do with what it does (namely, providing an IPC service). However, a smart author won't use it and will instead use "quieter" and lower bandwidth methods to keep his software hidden. A dumb author will probably be unaware of its existence. Either way, its abuse potential is pretty low.

 :arrow: What could an exploit using rpcss.exe do? On Windows 9x, if the author could plant a program that registers itself with the portmapper (rpcss.exe) and communicate with it remotely, it would have unlimited access to the machine. In other words, you'd have a full-blown Trojan horse on your hands, albeit one that would be very easy to detect.
On Windows NT/2000, the program would probably have to be a service and its powers would be limited based on the account under which it runs. In all likelihood, it would have to be installed by a member of the Administrators group to have any effect at all, although a lesser program (spyware, perhaps) could load itself for each user and register itself with the portmapper. In the end, RPC simply provides a conduit by which clients can execute predefined code on a server. Of course, a nasty programmer could conceive of a way to execute arbitrary code using RPC, but that's an exercise left to the reader (hint: think assembly language).

 :arrow: Should rpcss.exe be deleted? No. Under Windows 9x, a program may need it to communicate with other components of itself. Of course, you could delete the program, but various unpleasantries could result. Under Windows NT/2000, deleting this critical system component will disable your OS (although I believe Windows 2000's system file protection service will automatically replace it with a backup).


Igual ya te lo sabías, pero por lo menos la info se queda aqui :P

Desconectado Antonio de la Flor

  • Pro Member
  • ****
  • Mensajes: 562
    • http://www.adelaflor.com
llamada desde la red a rpcss.exe
« Respuesta #2 en: 31 de Enero de 2004, 12:23:44 am »
Gracias
El resumen es excelente y en verdad que no pensé que también podría llegar alguien que no estuviese al tanto de algunos detalles y necesitase una información más ámplia. Muy bien pensado
Algunos conceptos me los ha aclarado mucho este resumen, ya que no los tenía yo muy claros.
Un abrazo, gracias.
No les des el pez, dales la caña

www.editoresweb.com es mi web sobre edición web ("webmastering"), "Aprender haciendo webs" (y no aprender a hacerlas que eso es otra cosa) ;)

Desconectado Leandros

  • Member
  • ***
  • Mensajes: 421
llamada desde la red a rpcss.exe
« Respuesta #3 en: 31 de Enero de 2004, 12:57:04 am »
De nada hombre... a mandar ;)

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
llamada desde la red a rpcss.exe
« Respuesta #4 en: 31 de Enero de 2004, 02:07:04 am »
Antonio, una cosa, le pasas el Ad aware y nos copias los procesos que te dan en el TXT

la info de Leandros es buena pero te comento que cuando hay poca info es por tres cosas,

una, es una movida nueva, eso se ve por la fecha de los post

dos, no es nada malo, "entre comillas"

tres, es un proceso al cual se le ha cambiado el nombre, tipico de los troyanos

lo mejor ???


o el resumen de procesos, escaneo externo o incluso revisar

inicio-ejecutar.msconfig  y en inicio

alli veremos las huellas

lo muevo al de hacking y dejo marcado ok ?


pa lo que quieras  :lol:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
llamada desde la red a rpcss.exe
« Respuesta #5 en: 31 de Enero de 2004, 02:09:54 am »
repasando

esta claro que es un objeto que busca conectarse con el mundo exterior, bien, igual es algo que explota vuln RPC, llamada a procedimiento remoto, el maxi explotado puerto 135

me gustaria escanearlo si hay forma  8)
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado Antonio de la Flor

  • Pro Member
  • ****
  • Mensajes: 562
    • http://www.adelaflor.com
llamada desde la red a rpcss.exe
« Respuesta #6 en: 31 de Enero de 2004, 02:12:13 am »
Sin prisas, el miércoles o asi te envio la ip por mensaje privado y ya me avisas cuando puedes para tenerlo conectado
Un abrazo amigo :)
No les des el pez, dales la caña

www.editoresweb.com es mi web sobre edición web ("webmastering"), "Aprender haciendo webs" (y no aprender a hacerlas que eso es otra cosa) ;)

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
llamada desde la red a rpcss.exe
« Respuesta #7 en: 31 de Enero de 2004, 02:24:32 am »
a sus ordenes  :!:  :lol:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado Antonio de la Flor

  • Pro Member
  • ****
  • Mensajes: 562
    • http://www.adelaflor.com
llamada desde la red a rpcss.exe
« Respuesta #8 en: 31 de Enero de 2004, 02:28:14 am »
;) ¿No querrás que te pida escanear el lunes no? ;)
(uys)
No les des el pez, dales la caña

www.editoresweb.com es mi web sobre edición web ("webmastering"), "Aprender haciendo webs" (y no aprender a hacerlas que eso es otra cosa) ;)

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
llamada desde la red a rpcss.exe
« Respuesta #9 en: 31 de Enero de 2004, 02:30:02 am »
ostras  :!:

I don´t remember


el miercoles si el miercoles  :lol:  :lol:  :lol:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License