Quandu un ghjornu u patronu pone a quistione: "Perchè certi persone anu accessu remotu à un computer di travagliu senza avè ottene permessi supplementari per l'usu?",
ci hè un compitu per "copertu" una lacuna.
Ci hè parechje applicazioni per u cuntrollu remotu nantu à a reta: Chrome remote desktop, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, etc. Se u desktop remote Chrome hà un manuale ufficiale per cumbatte l'accessu à u serviziu, TeamViewer hà restrizioni di licenza à tempu o dumande. da a reta è l'utilizatori "gritting their denti" in qualchì modu "brillanu" cù l'admins, allora u favuritu di parechji per l'usu persunale - AnyDesk hà sempre bisognu d'attenzione particulari, soprattuttu se u capu hà dettu "No!".
Se sapete quale hè u bloccu di un pacchettu di rete da u so cuntenutu è vi cunvene, allora u restu di u materiale
micca intesu per tè.
Pruvate di andà da u cuntrariu, in fatti dice ciò chì deve esse permessu per u prugramma di travaglià, rispettivamente, u record DNS hè statu bluccatu *.net.anydesk.com. Ma AnyDesk ùn hè micca simplice, ùn importa micca di bluccà un nome di duminiu.
Una volta aghju risoltu u prublema di bluccà "Anyplace Control" chì hè ghjuntu à noi cù qualchì software dubbitu, è hè stata risolta da bluccà solu uni pochi IP (aghju assicuratu l'antivirus). U prublema cù AnyDesk, dopu avè raccoltu manualmente più di una decina di indirizzi IP, pruvucatu alluntanassi da u travagliu manuale di rutina.
Hè statu ancu trovu chì in "C: ProgramDataAnyDesk" ci sò una quantità di schedari cù paràmetri, etc., è in u schedariu. ad_svc.trace Eventi nantu à cunnessione è fallimenti sò culligati.
1. Osservazione
Comu digià citatu, bluccà *.anydesk.com ùn hà micca datu risultati in u prugramma, hè statu decisu di analizà u cumpurtamentu di u prugramma in situazioni stressanti. TCPView da Sysinternals in manu è vai!
1.1. Pò esse vistu chì parechji prucessi di interessu per noi sò "impiccatu", è solu quellu chì cumunicà cù l'indirizzu da l'esternu hè di interessu per noi. I porti à quale si cunnetta sò spustati, da ciò chì l'aghju vistu: 80, 443, 6568. 🙂 80 è 443 definite ùn pudemu micca bluccà.
1.2. Dopu avè bluccatu l'indirizzu attraversu u router, un altru indirizzu hè sceltu in silenziu.
1.3. A nostra cunsola hè TUTTI! Determinemu u PID è dopu aghju avutu un pocu furtunatu chì AnyDesk hè statu installatu da u serviziu, rispettivamente, u PID chì cercava hè l'unicu.
1.4. Determinemu l'indirizzu IP di u servitore di serviziu da u PID di u prucessu.
2. Preparazione
Siccomu u prugramma per scopre l'indirizzi IP prubabilmente travaglià solu in u mo PC, ùn aghju micca restrizioni à a cunvenzione è a pigrizia, cusì C#.
2.1. Tutti i metudi per identificà l'indirizzu IP desideratu sò digià cunnisciuti, resta per esse implementatu.
string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//переводим ответ в массив
pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}In listessu modu, truvamu u serviziu chì hà stabilitu a cunnessione, daraghju solu a linea principale
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";U risultatu di quale serà:
Da a linea, simile à u passu precedente, estrattemu a 3a colonna, è sguassate tuttu dopu à ":". In u risultatu, avemu a nostra IP desiderata.
2.2. Bloccu IP in Windows. Se Linux hà Blackhole è iptables, allora u metudu di bluccà un indirizzu IP in una linea, senza usà un firewall, hè diventatu inusual in Windows,
Ma chì arnesi eranu...
route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -pParametru chjave "si 1" Mandate a strada à Loopback (Pudete visualizà l'interfacce dispunibuli eseguendu a stampa di a ruta). È IMPORTANTE! Avà u prugramma deve esse eseguitu. cù diritti di amministratoreperchè cambià a strada richiede elevazione.
2.3. A visualizazione è a salvezza di l'indirizzi IP identificati hè un compitu triviale è ùn hà micca bisognu di spiegazione. Se pensate à questu, pudete processà u schedariu ad_svc.trace AnyDesk stessu, ma ùn aghju micca pensatu immediatamente + forsi ci hè una restrizione.
2.4. U stranu cumportamentu ineguali di u prugramma hè chì quandu u prucessu di serviziu hè "taskkilled" in Windows 10, si riavvia automaticamente, in Windows 8 finisci, lascendu solu u prucessu di cunsola è senza reconnecting, in generale, hè illogicu è imprecisu.
Sguassà un prucessu chì hà cunnessu à u servitore permette di "furzà" una reconnection à u prossimu indirizzu. Hè implementatu in modu simile à i cumandamenti precedenti, cusì dugnu solu:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";Inoltre, lanciate u prugramma AnyDesk.
//запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5. Avemu da verificà u statutu di AnyDesk una volta per minutu (o più spessu?), È s'ellu hè cunnessu, i.e. cunnessione ESTABLISHED - bluccà sta IP, è di novu tuttu - aspittà finu à ch'ellu si cunnetta, bluccà è aspittà.
3. Assault
U codice hè statu "scrittu", hè statu decisu di visualizà u prucessu "+" Specificate IP trovu è bluccatu, è "."- verificatu ripetutu senza cunnessione successu da AnyDesk.
→
Di cunsiguenza…
U prugramma hà travagliatu in parechji computers cù Windows OS differenti, cù e versioni AnyDesk 5 è 6. Circa 500 indirizzi sò stati cullati in iterazioni 80. Per 2500 - 87 è cusì ...
À u tempu, u nùmeru di IP bluccati hà righjuntu 100+.
Link à u finale schedariu di testu cù l'indirizzi: и
Hè fattu ! Un gruppu di indirizzi IP hè aghjuntu à e regule di u router principale attraversu un script, è AnyDesk simpricimenti ùn pò micca creà una cunnessione esterna.
Ci hè un momentu stranu, sicondu i logs iniziali, hè chjaru chì l'indirizzu hè implicatu in u trasferimentu di l'infurmazioni boot-01.net.anydesk.com. Avemu di sicuru bluccatu tutti l'ospiti *.net.anydesk.com in regula generale, ma ùn hè micca a stranezza. Ogni volta un ping normale da diverse computers stu nomu duminiu dà un IP differente. Verificate in Linux:
host boot-01.net.anydesk.com
cum'è DNSLookup, dà solu un indirizzu IP, ma questu indirizzu hè variabile. Quandu analizà una cunnessione TCPView, avemu torna PTR records di indirizzi IP cum'è relay-*.net.anydesk.com.
In teoria: postu chì u ping à volte va à un host sbloccatu scunnisciutu boot-01.net.anydesk.com pudemu truvà queste ip è bluccà, fate sta implementazione un script regulare sottu Linux OS, quì ùn avete micca bisognu di stallà AnyDesk. L'analisi hà dimustratu chì questi IP sò spessu "intersecà" cù quelli truvati da a nostra lista. Forse questu hè solu questu òspite, à quale u prugramma si cunnetta prima ch'ellu principia à "ssortisce" l'IP cunnisciuti. Probabilmente dopu aghjustà l'articulu cù a 2a parte di e ricerche di l'ospiti, ancu s'ellu à u mumentu. u prugramma stessu ùn stalla micca l'unione esterna in generale.
Spergu chì ùn avete micca vistu nunda illegale in u sopra, è i creatori di AnyDesk trattanu e mo azzioni in modu sportivu.
Source: www.habr.com