8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 69 70 71 72 73 74 75 ... 169

GoIZilla (USER anonymous, PASSPASV, LIST)

ReGet (USER anonymous, PASS User@x-x-x-xxx.ReGet.Com, SYST).

Telnet

Протокол telnet предписывает обмен определенными параметрами между серверной и клиентской сторонами при установке соединения. Различные реализации имеют различные наборы параметров и их порядок в наборах, что позволяет определить клиентское программное обеспечение.

SMTP/P0P3/NNTP

Служебные заголовки сообщений электронной почты дают обильную информацию об источнике и процессе пересылки письма. Анализируя их, исследователь может получить список хостов внутри сети исследуемой системы, участвующих в процессе пересылки почты, и сделать некоторые предположения относительно правил маршрутизации почты в исследуемой подсети. В заголовках всегда фигурирует ip или hostname источника письма. Рассмотрение таких полей, как Message-ID, X-Mailer, User-Agent, дает возможность определить клиентское программное обеспечение, использованное при написании и отсылке письма (вплоть до номера версии) и, часто, операционную систему клиента. Например:

Message-ID: (это Linux, Pine

X-Mailer: QUALCOMM Windows Eudora Version 4.3.2 X-Mailer: Microsoft Outlook Express 5.00.3018.1300

Аналогичную информацию можно получить, анализируя заголовки новостных сообщений (NNTP). Здесь наиболее выразительными являются User-Agent, X-Http-User-Agent, X-Mailer, Message-ID, X-Newsreader, X-Operating-System.

Кому же и зачем нужны подобные алгоритмы? Сегодня спектр их применения весьма широк:Pot и IDS системы оборудуются

софтом, работа которого основана напроизводящим

отслеживание и идентификацию злоумышленников.

Используя специальное программное обеспечение, администра-

218

торы сетей могут быстро обнаруживать аномальные явления (такие, например, как появление Linux-машины в сети Windows-машин).

Опытные злоумышленники могут, используя подобные методы, определить версии ОС и ПО удаленной машины с тем, чтобы затем, найдя наиболее уязвимое место, произвести целенаправленную атаку.

Script-kiddies, наоборот, ищут системы, уязвимые для имеющихся у них инструментов. В любом случае знание и понимание подобных механизмов может пригодиться читателю как при повседневной деятельности в сети, так и в чрезвычайных ситуациях.

Троянская конница

Дистрибутивы NTWS4.0 и NTS4.0 включают утилиту rollback. ехе, предназначенную для настройки пользователями предустановленной системы. Ее запуск приводит к очистке реестра (без предупреждения) и возврату к концу Character Based Setup (часть установки до появления GUI). Запуск ее из-под рабочей системы приводит к тем же невеселым последствиям (потеря аккаунтов, настроек протоколов, пользовательских настроек и т. п.). Найти ее можно на CD-ROM с NT в каталоге:

Support\Deptools\<system>\ Подробности:

http://support.microsoft.com/support/kb/articles/Q14 9 /2/83.asp

Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию право доступа Change для Everyone. Это может привести к самым разнообразным последствиям типа замещения части системных (111 «троянскими» и т. п. При этом они могут быть вызваны из самых разных программ — в том числе из программ, работающих с си стемными правами доступа.

Для защиты достаточно грамотно установить права доступа. Кстати, программапозволяет вывести права доступа для

различных объектов — файлов, реестра, принтеров и т.п. в общий спп-сок, удобный для просмотра.

В реестре есть ключ

219

<HKLM\SYSTEM\CurrentControlSet\Control\Lsa> со значением

<Notificatior Packages: reg multi sz: fpnwclnt>

Эта DLL существует в сетях, связанных с Netware.

Поддельная FPNWCLNT.DLL в каталоге %systemroot%\sys-tem32 вполне может проследить все пароли. После копирования и перезагрузки все изменения паролей и создание новых пользователей будут отслеживаться этой (111 и записываться (открытым текстом) в файл c:\temp\pdwchange.out.

Для защиты достаточно удалить этот ключ и защитить эту часть реестра от записи. Исполняемые файлы могут быть переименованы в файлы с любым расширением (или без расширения), но они все равно запустятся из командной строки (например, переименуйте notepad.exe в notepad.doc и запустите «start notepad.doc»).

Ну и что, спросите вы? . Тогда попробуйте представить процесс прочтения файла roll-back.exe, переименованного в readme.doc. Очень эффективно.

Большая часть реестра доступна для записи группе Everyone. Это же относится и к удаленному доступу к реестру. Может оказаться опасным, особенно в сочетании с автоматическим импортом reg-фай-лов. В реестрепоявился ключ

ControlSet\Control\SecurePipeServers\winreg>, при наличии которого доступ к реестру открыт только администраторам.

В NT Server этот ключ существует по умолчанию, в NTWS может быть добавлен.

Подробности:

http://support.microsoft.com/support/kb/articles/Q155 /3/63.asp

Проблемы приложений

В FrontPage 1.1 пользователь IUSR * имеет право доступа Full Control к каталогу vti bin и Shtml. ехе.

Если взломщик узнал пароль

220



0 ... 69 70 71 72 73 74 75 ... 169