|
|
Регистрация | << Правила форума >> | FAQ | Пользователи | Календарь | Поиск | Сообщения за сегодня | Все разделы прочитаны |
|
Опции темы | Поиск в этой теме | Опции просмотра |
#1
|
|||
|
|||
Использует ли Delphi XE3 порт 30000
У кого стоит Delphi XE3, посмотрите у себя, использует ли сама среда порт 30.000. У меня почему-то она на этом порту слушает по UDP.
PS. Для того, что бы посмотреть открытые порты, надо из под Command Prompt, запущенного с правами администратора, выполнить команду: Код:
netstat -a -b PPS. Поставил Delphi XE3 Lite "на посмотреть" (ну мало мне месяца триала), вот теперь непонятно, это сама среда для чего-то этот порт использует, или там троянчик зашит... |
#2
|
||||
|
||||
XE3 нет, в XE2 этот порт прослушивается по UDP.
Je venus de nulle part 55.026263 с.ш., 73.397636 в.д. |
#3
|
|||
|
|||
Цитата:
Хм... и что же Дельфя на этом порту слушает?.. А у тебя откуда версия? |
#4
|
||||
|
||||
Код:
[svchost.exe] UDP 0.0.0.0:30000 *:* [bds.exe] UDP 0.0.0.0:30001 *:* [bds.exe] UDP 127.0.0.1:1900 *:* SSDPSRV Цитата:
Качал с рутрекера (там вроде с оф сайта уперто). У тебя плагины какие-то сторонние с ней стоят? — Как тебя понимать? — Понимать меня не обязательно. Обязательно меня любить и кормить вовремя. На Delphi, увы, больше не программирую. Рекомендуемая литература по программированию Последний раз редактировалось M.A.D.M.A.N., 04.12.2012 в 09:25. |
#5
|
|||
|
|||
Madman,
Нет, ничего не стоит. Моя тоже примерно оттуда же (автор сборки - какой-то там китаец). Собственно, у тебя тоже открыт этот порт на прослушиваение (у тебя даже 2). Именно это и смущает. Нафига среде разработки слушать на каком-то UDP порту. Странно это. К сожалению, триал XE2 (на другой машинке стоит) уже сдох... немогу проверить открывает ли они тоже это дело... Вообще, порт открыт только если запущена сама BDS. Вот хрен его знает что бы это все значило... |
#6
|
||||
|
||||
Я и не помню отукда скачивал. Обещали, что полная и чистая. А так кто его знает.
Je venus de nulle part 55.026263 с.ш., 73.397636 в.д. |
#7
|
||||
|
||||
ХМ, вот у меня не ломиться пока, хотя когда то лезло, щас, на всякий, заблокировал в фаерволе исходящие и входящие по 30000 порту.
Предположу, что таким образом среда проверяет валидность лицензии. |
#8
|
||||
|
||||
По UDP то? Он же односторонний.
— Как тебя понимать? — Понимать меня не обязательно. Обязательно меня любить и кормить вовремя. На Delphi, увы, больше не программирую. Рекомендуемая литература по программированию |
#9
|
|||
|
|||
Ну, походу, подкладывает троянчик эта версия.
По классификации DrWeb это BackDoor.Siggen.815. CureIt находит. Но не факт, что нет еще чего-нить... Цитата:
Ну дык на прослушку ему и в одну сторону достаточно. Типа просто получить команду. А далее запустится все остальное и полезет в разные места... Последний раз редактировалось lmikle, 05.12.2012 в 00:56. |
#10
|
||||
|
||||
Цитата:
— Как тебя понимать? — Понимать меня не обязательно. Обязательно меня любить и кормить вовремя. На Delphi, увы, больше не программирую. Рекомендуемая литература по программированию |
#11
|
|||
|
|||
Цитата:
Не, вроде обнаруженные хвосты не от Дельфи. Другая прога положила файлики. Теперь вот нужен способ проверки, что машинка чистая, а то больно все еще раз переставлять не хочется. CureIt ничего не находит. Какие еще сканеры можно попробовать?.. Но вопрос "нафига среде слушать UDP порт?" все еще в силе. Я этого просто не понимаю... |
#12
|
||||
|
||||
Похоже на бекдор. Я бы попробовал запустить среду под идой и поставить бряк на recv/recvfrom, после чего послать туда несколько раз какие-нибудь данные.
UPD: У меня слушает порт 30001. Команда, которую он ждет: "ping,COMP_NAME,y;" COMP_NAME - имя компьютера. Y - по всей видимости, ключ. Если ключ не верен - при каких-то обстоятельствах выкидывает из делфы на сайт ембаркадеро. Один раз выкинуло, повторить не удалось. Что интересно - можно добавлять новые имена компов и ключи. Если имя еще не существует, то оно добавляется. Так что не бекдор. Кстати вокруг этого кода много строчек типа "TLicenseInfo", "szSystemStatus", и даже где-то на ключик натыкался. jmp $ ; Happy End! The Cake Is A Lie. Последний раз редактировалось Bargest, 05.12.2012 в 20:28. |
Этот пользователь сказал Спасибо Bargest за это полезное сообщение: | ||
poli-smen (05.12.2012)
|
#13
|
||||
|
||||
Попробуй FortiNet, IObit
Последний раз редактировалось Vayrus, 05.12.2012 в 21:21. |
#14
|
|||
|
|||
Цитата:
Не совсем так. Порт любого типа (TCP|UDP) может работать как на прием, так и на передачу. Весь вопрос - как он открыт. ЗЫ. Лицензионная Delphi XE 3 тоже слушает на этом порту, так что походу действительно контроллер лицензий. Видимо, при старте эта хрень шарашит широковещательным всем, до кого дотянется, те отвечают и соотв. принимается решение о легитимности запушенной копии. ЗЗЫ. Как уже писал ранее, троянчина подсаживала другая программа. Походу, версия довольно старая, так что под 64-битной семеркой оно скопировалось, но не прописалось на запуск. Весь вопрос теперь только в том, как проверить, что ничего кроме этого там небыло (хотя судя по размеру дистрибутива, из которого эта гадость поставилась, места на еще одну там быть не должно). ЗЗЗЫ. Все-таки огромные бинарники создет последняя Дельфя. Не сложный проект (правда с DevExpress) в релизе 32-бит весит 5 метров, 64-бит - 6 метров. На Delphi 7 - меньше 3,5... и то исколючительно за счет DevExpress. Убиться тапком... ап стену |
#15
|
||||
|
||||
21.12.12 эмбаркадеро начнет слать UDP пакеты...
— Как тебя понимать? — Понимать меня не обязательно. Обязательно меня любить и кормить вовремя. На Delphi, увы, больше не программирую. Рекомендуемая литература по программированию |