Security Teams



Damage Lab ::: .:[KZ TeaM]:. ::: X-Hack Team ::: :::
  Ответ в темуСоздание новой темы

> Получение информации с удаленного компьютера, (c) Boffin
Boffin
Дата 22.03.2007 - 03:29
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


Boffin ©

boffin@security-teams.net
https://www.security-teams.net

icq#: 666396

Способы защиты и меры предосторожности в сети.
Анонимность и способы получения информации с удаленного компьютера

________________________________________________________________

Для начала скажу, что эта статья больше ориентированна на новичков в данной области, при этом я руководствуюсь принципом «Информация должна быть свободной для тех, кто её достоин».
Во-вторых, я всего лишь пытаюсь скомпоновать наиболее волнующие информационные моменты в единый FAQ часто задаваемых вопросов.
В-третьих, всё изложенное ниже предназначено только для ознакомления с возможной опасностью и ни в коем случае не должно быть использовано, если это причинит ущерб каким-либо физическим или юридическим лицам. Это может повлечь за собой административную или уголовную ответственность в соответствии с действующим законодательством.
В-четвёртых, я не придерживаюсь мнения «защищай свои системы, уничтожай чужие». Если вы склонны к вандализму, то эта информация не для вас. При написании этой статьи, я руководствовалась единым справедливым правилом: «Обладая знаниями в области защиты, поделись этой информацией с другими».

С чего начать?

В жизни люди знакомятся, спрашивая у друг друга имя… В сети «знакомятся», узнавая ip-адрес собеседника или целевой машины, информация о которой вас привлекает в данный момент. Ну, начнём с того, что такое IP, потому как со знакомства этого протокола всё и начинается.

IP - (англ. сокр. Internet Protocol)
Каждый компьютер, имеющий доступ в интернет, обязательно имеет IP-адрес. IP пользователя записывается в логи посещаемого им сервера. Поэтому подсчет количества уникальных IP дает оценку количества уникальных посетителей данного сайта.
На точность этой оценки существенно влияют два обстоятельства:
- в случае модемного соединения с провайдером IP-адрес выдается динамически и может измениться при следующем подключении того же пользователя к интернету;
- компании часто организуют корпоративные прокси-сервера, тогда все компьютеры, выходящие в интернет через этот прокси, будут иметь для внешнего мира один и тот же IP-адрес.
На основе IP-адресов можно оценивать географию аудитории, то есть то, в каких городах и странах находятся пользователи, заходящие на ваш сайт.

Кто такой провайдер?

Провайдер - (англ. provider, ISP)
Провайдер - это компания, предоставляющая услугу доступа в интернет и, возможно, другие услуги, такие как хостинг, e-mail и др. Большинство провайдеров продают доступ по модему частным лицам - dialup. Провайдеры, которые обеспечивают корпоративный доступ в интернет, часто предлагают выделенные высокоскоростные линии связи, в том числе оптоволокно, радиодоступ и т.п.

Что такое прокси-сервер?

Прокси - (от англ. proxy - право действия от имени)
Промежуточный, транзитный веб-сервер, используемый как посредник между браузером и конечным веб-сервером. Основная причина использования прокси-сервера - экономия объема передачи информации и увеличение скорости доступа за счет кеширования (см. Кеш). Например, если большинство сотрудников компании часто пользуются одним и тем же веб-сервером, содержащим актуальный курс валют, то эта информация сохранится в прокси и, таким образом, страницы будут запрошены с оригинального сервера всего один раз. Второй причиной использования прокси-сервера может являться экономия IP-адресов - при использовании прокси компании нужен всего один публичный IP-адрес.

Итак, с этим вроде бы понятно?

Следующим шагом будет выбор Интернет-браузера для безопасного и удобного просмотра web-страниц. Общепринятый пользовательский стандарт – это использование продуктов Microsoft, а в частности, MSIExplorer. Я бы не рекомендовала даже начинающим пользователям использовать этот браузер. Он имеет множество уязвимых мест, медленную скорость в работе и слабую защищённость, несмотря на то, что кампания Microsoft постоянно выпускает для него тонны заплаток и обновлений. Я бы рекомендовала такие программные продукты, как Mozilla, Netscape, Mozilla FireFox, Opera. Заострять внимание на каждом из этих продуктов, я не буду, ибо моя статья не об этом. В сети существует достаточно информации и поисковых машин, при помощи которых поиск этой информации оптимизируется. Назову несколько лучших поисковых ресурсов сети: google.com, rambler.ru, yandex.ru. Вам достаточно в адресной строке вашего браузера ввести один из этих адресов и вы окажетесь на нужном поисковике. И ещё один момент для тех, кто не понимает значения <адресная строка> или <URL web-ресурса>, приведу следующее определение:

Понятие URL:

URL - (от англ. Universal Resource Locator, как правило, произносится "урл")
URL - это адрес страницы в интернете. URL состоит из доменного имени, пути к странице на сайте и имени файла страницы.
Например: www.comptek.ru/telephony/success_stories/story013.html. Здесь www.comptek.ru - доменное имя сайта, /telephony/success_stories/ - путь и story013.html - имя файла. Как правило, файлы, содержащие веб-страницы, имеют расширения .htm или .html. Обычно, когда говорят "адрес сайта", имеют в виду его доменное имя, при обращении к которому грузится стартовая страница сайта.

Вы спросите, что такое Домен?

Домен - (от англ. domain - область, территория)
По международному соглашению каждой стране выделено некоторое кодовое обозначение длиной 2-3 буквы, которое называется доменом первого уровня или доменом этой страны. Так, например, если адрес сайта заканчивается на .ru - значит, сайт находится в домене России, .fr - Франции, .jp - Японии. Кроме того, существуют несколько доменов первого уровня, связанных не с географией, а с направленностью сайта - например, .com для коммерческих, .org для некоммерческих, .edu для образовательных организаций. Домен первого уровня также называют "зоной".
Домены второго уровня выдаются предприятиям и частным лицам в аренду, как правило, с ежегодной оплатой. В каждой зоне домены второго уровня выдает специально уполномоченная организация. В России этим занимается РосНИИРОС. Домен второго уровня, также как и любого другого, должен состоять из цифр и букв латинского алфавита, например mp3.ru, yahoo.com, b2b.ru. Выбирая домен второго уровня для своего сайта, обычно стараются найти слово, которое будет соответствовать названию организации, товара или направления деятельности, а также легко читаться и запоминаться, например, gazeta.ru, generalmotors.ru, narod.ru.
Обладатель домена второго уровня имеет возможность создавать неограниченное количество адресов третьего и далее уровней. Так, например, владелец домена pupkin.ru может создать для себя домен vasya.pupkin.ru, а для своей собаки - sharik.pupkin.ru.

Сайт - (от англ. site - место, синонимы: веб-сайт, ресурс)
Сайт - это место в интернете, которое определяется своим адресом (см. URL), имеет своего владельца и состоит из веб-страниц, которые воспринимаются как единое целое. Строгого определения сайта не существует - например, некоторые разделы больших сайтов вполне могут восприниматься и даже определяться их владельцами как отдельные сайты. Стартовую страницу, которая появляется при обращении к доменному имени сайта (см. домен), часто называют "мордой" сайта.

Кратко о том, что такое сервер.

Сервер - (от англ. server, web-server, синоним - веб-сервер)
СерверТермин "сервер" применяется в трех различных значениях.
1. То же, что и сайт. "У нас на сервере появилась новая информация".
2. Компьютер, который обеспечивает работу сайта. "Наш сайт теперь быстрее работает - мы усовершенствовали серверное ПО".
3. Основная программа, которая обеспечивает работу веб-сайта. Главная задача сервера - передача страниц сайта браузеру по протоколу HTTP. При необходимости сервер запускает скрипты для динамического создания страниц сайта. Действия сервера обычно протоколируются в логах и служат основанием для подсчета статистики сайта. "Какой мне лучше веб-сервер поставить?
4. Почтовый сервер. "Что-то сегодня почта плохо работает, видимо почтовый сервер перегружен".

Способы общения в сети.

Представим себе, что у вас есть друг, знакомый, с которым вам бы хотелось пообщаться виртуально, обсудить деловые вопросы, поболтать о проблемах насущных. Что для этого нужно? Всё очень просто и доступно, но главное, это определиться в способе общения. На данный момент существует множество интернет пэйджеров типа ICQ, Miranda, Trillian и других IM-клиентов. Этот способ общения считается наиболее популярный, потому как информация, отправленная вами, достигает вашего собеседника за считанные секунды. Также вы можете использовать для виртуального общения интернет-чаты. Но как правило, этот способ не имеет особой популярности среди занятой аудитории, т.к. он отнимает много времени и ресурсов. Да и контингент участников не всегда приемлем по возрасту либо интересам. Форумы – это более информативный способ общения, но он имеет существенный недостаток – ответ на заданный вами вопрос, может быть получен через много дней или даже недель. Существуют также и другие способы общения, например, та же электронная почта (mail). Вы посылаете письмо на электронный адрес вашего друга и через какое-то время получаете ответ. Вы также, можете пересылать таким способом вложения в виде фотографий, аудио-файлов, программ и прочего. Все эти способы имеют свои плюсы и минусы. Нужно всегда помнить о том, что сеть – это такой же мир, как и среди живых людей, со своими законами и правилами этикета (Netiquette). В этом мире также существует множество опасностей и нарушений закона, друзей и недругов. Разница лишь в определении – это виртуальная реальность.

* Далее я расскажу о правилах безопасности в сети, а также о способах предотвращения сетевых атак. Другим аспектом моей статьи будет то, что я также расскажу о самых известных способах нарушения этих законов, обходов сетевых защит и проникновения в чужие системы.
Перед тем, как я начну повествование, хочется сказать следующее… Эта статья не для тех, действия которых направлены только на то, чтобы слепо разрушать, убивать…. Ведь сам компьютер и информация, которую он содержит – это совершенное логическое творение, которое было создано не одним талантливым программистом, математиком и просто человеком. И уничтожать это чудотворение, я считаю даже недостойно человеческого существа.
PMСайт пользователяICQ
Top
Boffin
Дата 22.03.2007 - 03:53
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


Способы защиты своей системы.

Следующим немаловажным шагом будет выбор антивирусного ПО и сетевого экрана (firewall). Это такие же необходимые вещи, как воздух, вода и еда для человека. По статистическим данным, «голая» система выживает в открытой сети не более 20-30 минут. Ради интереса я провела короткий эксперимент. Вот, что из этого получилось:
Тестирование проводилось без какого-либо PFW (фаервол) и антивирусного ПО. Умышленно был открыт общий доступ к каталогу \Temp

Тестируемая система: Win2k/SP4;
Конфигурация используемого оборудования: Intel Ce ~700, 192 mb (cd-ram)
Действия: 10 мин. полного бездействия, 5 мин. посещения ресурса cracks.am

Результат:
1) найдены 3-ри шпионских модуля:

*WINT/Sysytem32/cd_clint.dll
*WINT/Sysytem32/cd_htm.dll
*software/cydoor_services

2) в таблице висячих sys-процессов добавлен tftp.exe

3) в зашаренный (общий) ресурс /Temp/ добавлен файл Bluecave_Winamp_Slider_(Winamp_PlugIn).zip

4) загрузка ЦП -100%, вывод времени ядра -95%

5) /Document and Settings/Temporary Internet Files/Content.IE&/ --- обнаружен вирус TrojanDownloader.JS.Gen

6) полный даун системы, вызов taskmgr.exe невозможен, вынужденный перезапуск компьютера.

Выводы делайте сами =) я лишь дам некоторое разъяснение вышеупомянутой терминологии.

PFW (персональный фаервол)/ Брандмауэр (межсетевой экран) - это система или группа систем, реализующих правила управления доступом между двумя сетями. Фактические средства, с помощью которых это достигается, весьма различны, но в принципе брандмауэр можно рассматривать как пару механизмов: один для блокирования передачи информации, а другой - для пропуска информации. Главное, что нужно знать о брандмауэрах, это что они реализуют правила управления доступом. Если не вполне понятно, какого рода доступ необходимо обеспечить или запретить, тут брандмауэр вам не поможет. Также важно знать, что конфигурация брандмауэра, определяет правила для всех систем, которые он защищает. Поэтому на администраторов брандмауэров, управляющих доступом к большому количеству хостов, возлагается большая ответственность.
В отличие от аппаратных брандмауэров, персональные (PFW) представляют собой относительно дешевое ПО, которое инсталлируется непосредственно на каждый ПК организации. Они осуществляют контроль за сетевыми устройствами и выполняют те же основные функции, что и корпоративные брандмауэры: обнаружение вторжения, контроль доступа, выполнение правил безопасности, регистрация событий. Такой брандмауэр фильтрует весь сетевой трафик, разрешая только санкционированные соединения.
Возможно ли "взломать" firewall?
В общем случае - нет. Единственный способ, какой может быть, это если злоумышленник знает, что за файрвол у вас стоит, какие в этом конкретном файрволе есть ошибки, а также сможет воспользоваться этими ошибками для получения доступа к компьютеру. Проще говоря, все зависит от конкретной реализации файрвола, но в общем случае "взломать" его практически сложно... В лучшем случае, можно просто вызвать его "падение".
Шпионские модули ("спонсорские" службы) – как правило, они появляются после установки программ, имеющих статус "adware" (т.е. бесплатно, но с баннером в окне программы). В лучшем случае такие "спонсорские" модули просто подгружают баннеры, в худшем - шпионят за пользователем и отправляют собранную информацию своим создателям. Я перечислю самые известные:
Adware, Alexa, Aureate, Comet Cursor, Cydoor, Doubleclick, DSSAgent, EverAd, Gratisware, OnFlow, Flyswat, Gator, Hotbar, NewDotNet, TimeSink, Web3000, Webhancer, Expedioware, EzUla и некоторые другие.
Для поиска и уничтожения таких модулей-шпионов, рекомендую использовать программы, типа: Ad-Aware и Spyware-Cop.

Итак, определились с терминологией? Следующий момент, если вы ещё в сомнениях, это выбор платформы ОС (операционная система). На этой теме мне также не хотелось бы заострять внимание, потому как (повторюсь) информации в сети достаточно, а мне откровенно жаль своего времени на описание недостатков и преимуществ той или иной системы. Тем более, что любая тематика такого плана может нести, как рекламную, так и навязчивую, ни чем не обоснованную информацию. ИМХО, каждый пользователь должен сам определиться с выбором своей платформы, если ещё учитывать, что назначение в использовании может быть разносторонним: то ли это будет ОС для домашнего использования, то ли как серверный вариант.

* Если вы всё же определились в выборе своей ОС, тогда ниже изложенное будет вам доступно для понимания. Далее информация будет сугубо для опытного пользователя или специалиста данной области.
* На данном этапе я расскажу основные способы защиты своей ОС как для пользователей Windows, так и для пользователей *nix.

Правила безопасности в Windows 2K/XP:

1. Перво-наперво, как и со всеми операционными системами нужно установить самый последний SP (патч, заплатка).
2. Выключить все неиспользуемые сервисы (особенно это касается Internet Services, таких как FTP, WWW, сервиса удаленного управления реестром и др.).
3. Установите файловую систему NTFS, которая позволяет разграничить доступ к каждому файлу, находящемуся у вас на диске.
4. Удалить все упоминание о пользователе Guest (Гость) или группе Everyone в установках на корневую и системную директории, запретить локальный и сетевой вход, для всех пользователей оставив только используемых на данной машине, и желательно запретить доступ по сети для пользователя Администратор.
5. Не использовать для повседневной работы пользователя Администратор, проводить аудит, если есть возможность, всех действий Администратора и периодически проверять их на наличие несанкционированных.
6. Установить фильтрацию TCP/IP пакетов оставив открытыми только используемые порты (например, для того, чтоб работал www сервер достаточно оставить открытым только 80 порт).
7. Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор.

Общие рекомендации:

1. На данный момент существует множество интернет пэйджеров типа ICQ, IRC и других. ПОМНИТЕ, что ваши собеседники не обязательно относятся к вам мирно и лояльно поэтому, не убедившись в этом, не выдавайте личной информации, которая может быть использована против вас или для взлома вашего компьютера, почтовых ящиков и так далее. Желательно указывать о себе как можно меньше информации только то, что необходимо и не более, иначе, основываясь на ваших данных, можно будет провести атаку на пароль того же ICQ с помощью составленного словаря по принципу брутфорса. Скрывайте все, что только можно и, конечно же, свой IP. Не используйте дополнительных сервисов (таких, например как личная страничка в ICQ) или указания в личной информации примари-мыла, так как в них тоже очень много лазеек.
2. Многие сайты созданы специально для получения данных о посещающих их людях….вывод - не ходите туда, куда вам не надо или включите в обозревателе максимальную защищенность, т.е. без cookies и скриптов (про ActiveX вообще помолчим, J последние проблемы с безопасностью браузеров Netscape и IE, как раз были основаны на ошибках в ActiveX). Стоит задумываться, какие сайты могут заслуживать вашего доверия, а какие нет, потому что веб сервер, используя множественные ошибки операционной системы от Microsoft может делать с вашим компьютером практически все, что угодно. Без проблем может выкачать у вас любой файл или отснифать ваш ip-адрес и получить полные сведения о вашей системе, и вы даже об этом можете так никогда и не узнать, что конфиденциально важная информация стала достоянием общественности. По возможности используйте при выходе в интернет анонимные прокси сервера (в любом поисковике по ключевому слову proxy) либо поднимайте свои приватные.
3. Необходимо также установить какой-нибудь firewall, который закроет доступ к лишним портам и сервисам, висящим на них.
4. Ни в коем случае не нужно забывать о таких элементарных вещах как обычный антивирус, вроде Dr.Web, AVP, Norton Antivirus и прочие. Очень рекомендую AVG Antivirus (Copyright © 2005, GRISOFT, s.r.o.)
5. Самое опасное, что может ожидать вас в интернете это конечно обыкновенная почта, иногда несущая в себе "смерть". Уже достаточно давно, в компьютерном мире, существуют вирусы и трояны, которые распространяются с огромной скоростью, посредством интернета и электронной почты. Например "I Love You", за считанные дни вывел из строя десятки тысяч компьютеров. Вирус считывал вашу адресную книгу и отправлял от вашего имени письмо содержащее в себе некоторый текст и скрипт который оседал в вашей системе, используя ошибки в почтовом клиенте Outlook Express (вирус написан на языке Vbscript, технически его может реализовать практически любой студент, изучающий этот язык программирования), Outlook Express автоматически запускает файлы, которые идут с письмом в attachment, не надо иметь много фантазии, чтобы понять, чем это грозит. Также стоит упомянуть вирус Klez, который использовал уязвимость в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений. Предотвратить это можно, установив заплатку любезно предоставленную Microsoft. Чтобы вылечить уже зараженный компьютер можно воспользоваться утилитой для лечения Klez (всех версий) предоставленную Лабораторией Касперского.
Ваш почтовый клиент - это следующая ступень вашей защиты после firewall и антивируса, я могу рекомендовать почтовый клиент TheBat, который является одной из лучших программ своем классе, но не стоит забывать, что и в нем были обнаружены уязвимости, которые использовал вирус - Stator.
6. Если у вас есть локальная сеть и есть зашаренные (для общего доступа) диски значит вы больше чем потенциальная жертва. Самые примитивные сканеры обнаружат отрытые соединения и смогут подключить ваши ресурсы как сетевые диски. Вот такой сервис можете по незнанию оказывать взломщикам. А что бы этого не случилось обратите внимание на привязку tcp/ip - dial up adapter и оставьте там только привязку к клиенту microsoft network и все будет ок.
7. Не стоит забывать о снифферах, с помощью которых ваши пароли могут стать достоянием общественности. Чтобы защитить конфиденциальную информации нужно использовать программы шифрования трафика, такие как PGPNet которая входит в комплект программы PGP Freeware.
8. Если Вы пользуетесь каким-либо IM-клиентом, а также, почтовой клиентской программой, то изначально нужно устанавливать эти приложения только на шифрованный PGP диск.
9. Если же Вы работаете в крупной фирме и корпоративная политика кампании не предусматривает самопроизвольной установки дополнительного ПО, тогда не сохраняйте логи, не ведите icq-историю, паролируйте почтовые аккаунты в своих почтовых программах. Отключайте хранение контактов на сервере.
10. Используйте надёжные IM-клиенты, которые имеют надёжную структуру и возможность подключения дополнительных модулей безопасности. Например, к miranda есть неплохой плагин SecureIM, который генерирует случайный ключ для шифрования пересылаемых сообщений и любой сниффер, перехвативший пакет сообщения, видит текст лишь в зашифрованном виде, вот пример:
Цитата

19.10.2005 11:42:19 192.168.10.100->хххххх ----Secured@hell----BТ2874B5D6239E79AF9ED522241EB895
19.10.2005 11:42:21 хххххх ->192.168.10.100 ----Secured@hell----D9FA2D7645E98DA9878E5FABC1AC8028A
19.10.2005 11:42:25 хххххх ->192.168.10.100 ----Secured@hell----532BК7E20CEF0E6A0227637CC487ABFD
19.10.2005 11:42:38 192.168.10.100-> хххххх ----Secured@hell---- 314B591A3F270EAB5A710794CCE43C14E55AD02F762A1670ECB4B43E90B16BE95AB17C40798BF95480EA6CD88C15FB56C8C2
A4AE206CE692F3CB70DF5F6C5AF1

Человеческий фактор (социальная инженерия)
Часто при попытках проникновения на компьютер, почтовый ящик и т. д., используются:
1) Не верьте письмам присланным от лица администрации каких либо сервисов в интернете с просьбой выслать им пароль в следствии его утери или еще по какой причине (им проще поменять его и выслать вам новый);
2) Ни в коем случае не запускайте файлы присланные вам по почте, ICQ и т.д. без предварительной проверки на вирусы (и даже после таковой, файлы от сомнительных людей лучше подвергнуть тщательной проверке, например с помощью антивируса с последним обновлением). Стоит очень хорошо подумать, прежде чем запускать что-то пришедшее "от туда", вот один из самых примитивных способов:
3) В ICQ, методом социальной инженерии, "хакер" прикидывается девушкой и вступает с жертвой в разговор. Заинтересовав разговором, он под каким либо предлогом устроит обмен фотографиями, только жертва ему пошлет нормальную фотографию, а "хакер" пошлет обыкновенный троян, склеенный с jpg форматом и будет выглядеть как обыкновенная картинка. Как только жертва запустит эту картинку-программу, троян выполнит свое черное дело, заразив систему и распаковав из своего тела небольшую фотографию. Жертва скорее всего не сразу догадается, о том что произошло, ну а последствия могут быть очень серьезными...

Правила безопасности в *nix:

1. Ни в коем случае не работать в системе под логином суперпользователя, когда это требуется - использовать команды su, sudo.
2. Закрыть ненужные сервисы.
3. Нужные сервисы прикрыть superdemon xinetd для xinetd.
4. Отредактировать файлы /etc/host.allow и /etc/host.deny.
5. Оптимизировать ядро под ваши конкретные потребности, перекомпилировав ядро.
6. Регулярно обновлять компоненты системы и отслеживать баги (ошибки) вашей системы.
7. Навечно отключить сервисы RPC и telnet (telnet нужно заменить на ssh и включить через xinetd).
8. Включите подробное логирование важных сведений в системе. Используйте программы обнаружения вторжения, например SNORT (Snort – облегченная система обнаружения вторжения. Snort обычно называют “обгегченным” NIDS, - потому что это он разработан прежде всего для
маленьких сетей. Программа может исполнять анализ протокола и может использоваться, чтобы обнаружить разнообразные нападения и исследовать проблемы, типа переполнения буфера, скрытых просмотров порта, CGI нападения, попыток определения OS и т.п. Snort использует 'правила' (указанные в файлах 'правила'), чтобы знать какой трафик пропустить а какой задержать.)
9. Запретить удаленного root`a (т.е. отключив удалённого рута (система ограничивает простых пользователей, контролируя их действия) и когда это необходимо, переключайтесь в режим суперпользователя командой su, sudo -s)
10. Научитесь планировать, устанавливать и настраивать межсетевые экраны, проектировать системы обнаружения вторжения, анализировать сигнатуры проникновения, выполнять анализ рисков, создавать политику безопасности.

Старайтесь не выдавать сообщения при входе в систему вообще, а тем более с информацией о вашей системе. Знание версии и дистрибутива могут существенно облегчить задачу взломщику.
Запомните, root - единственный пользователь в системе, права которого система не ограничивает. Находясь в системе под этим аккаунтом, вы подвергаете систему серьезному риску, все программы, которые вы запустите, унаследуют неограниченные права. Если злоумышленник взломает одну из запущенных вами программ, то он может получить неограниченные полномочия. Для большей безопасности используйте пользовательский доступ. Программа, которая использует уязвимость для разрушения защиты другой программы, называется эксплойт. Обычно эксплойты предназначены для получения доступа к уровню суперпользователя или, другими словами, повышения привилегий.
Ограничьте, до минимума, список пользователей которые, могут пользоваться командами sudo. Заблокируйте вход рута для всех удаленных сервисов, ограничьте список локальных консолей, в которые может зайти суперпользователь (/etc/seccure). Также подредактируйте /etc/login.defs, там проставляются параметры входа в систему посредством терминалов.

Linux - система класса SYSTEM 4. Это значит, что работа системных сервисов делится на 6 уровней (runlevel) и каждый уровень соответствует директории, которые активируются и деактивируются симлинками. Подробную информацию вы найдете в соответствующем руководстве.
От вас требуется запустить программу setup и выбрать системные сервисы которые вам нужно загружать на текущем уровне, все остальные нужно отключить.
xinetd демон контролирует указанные порты, при обращении на какой либо, он проверяет права доступа к данному сервису. При положительном исходе он активирует данный сервис. Сервисы ssh, ftp, dhcp, sendmail/qmail, imap, pop3, portmap, nfs и некоторые другие можно запускать через сервис xinetd, соответственно настроив файл xinetd.conf. Настраивая сервис, четко прописывайте, кто имеет право доступа к данным сервисам и по возможности запускайте его не из под root.
Для демона xinetd есть дополнительная защита в файлах host.deny, пропишите all:all, это запретит доступ всем ко всем сервисам тем, кто не разрешен в файле host.alow. Доступ следует прописывать соответственно: название сервиса и кому он будет доступен. Не открывайте сервис если это вообще не требуется, прописывайте доступ только тем, кому это требуется.
Перекомпилируйте ядро в соответствии с вашими аппаратными требованиями. Не включайте в него необязательные или лишние компоненты, старайтесь переносить большую часть ядра в модули для уменьшения его объемов. Используйте стабильные версии ядра.
Навечно выключите и забудьте о таких сервисах как, telnet, rpc, rsh, rlogin эти сервисы уязвимы для примитивного прослушивания пакетов, информацию и пароли они передают в незашифрованном виде. Обыкновенный сниффер с легкостью перехватит любую информацию и пароли, которые вы будете передавать посредством этих демонов. telnet замените на ssh, inetd замените на xinetd.
Включите точное логирование всех опасных событий в системе. Используйте сканеры проникновения в систему, анализаторы сетевого трафика, и программы типа tail, например root-tail.
Система обнаружения вторжения с использованием встроенных средств Windows.
Представим себя на месте злоумышленника, который хочет проникнуть в вашу сеть. С чего бы он начал? Скорее всего, сначала он бы попытался собрать как можно больше информации о структуре вашей сети. Предположительно, что он бы использовал инструменты типа whois, dig, nslookup, tracert, а также доступные источники информации в Интернет. Предположим, что он сумел найти маленькую часть вашей сети, которая не была защищена межсетевой защитой. К примеру, он проводил сканирование портов и заметил, что у некоторых компьютеров открыты 135, 139, 389 и 445 порты – самая опасная лазейка в Windows 2000. Он мог также заметить, к примеру, что у одного из компьютеров открыты 80 и 443 порты, которые, скорее всего, относятся к Web серверу IIS 5.0.
Как мы можем обнаружить злоумышленника при этих действиях? Прежде всего, легко заметить сканирование портов. Также можно заметить внезапное увеличение сетевого трафика. Обычно для этого можно использовать специальные инструменты, но в Windows 2k вы можете просто добавить предупреждение в мониторе производительности (performance monitor), когда превышен определенный предел. Хорошими индикаторами сетевого трафика являются счетчики TCP-Segments/Sec. или Network Interface-Packets/Sec. Сканирование портов обычно проявляется как устойчивое увеличение трафика в течение нескольких минут, в зависимости от количества просмотренных портов. Другой простой индикатор сетевого трафика на вашем компьютере – это значок на панели задач, который показывает деятельность вашего сетевого адаптера. Для включения индикатора, зайдите в панель задач, и отметьте опцию "Show icon in taskbar when connected". И, наконец, есть встроенный инструмент командной строки netstat. Если вы подозреваете просмотр ваших портов, вы можете использовать команду:
Netstat -p tcp -n
Если ваши порты в настоящее время действительно сканируют, то в зависимости от используемого инструмента, вы получите результаты, аналогичные этим:
Цитата

Active Connections
Proto Local Address Foreign Address State
TCP 127.13.18.201:2572 127.199.34.42:135 TIME_WAIT
TCP 127.13.18.201:2984 127.199.34.42:1027 TIME_WAIT
TCP 127.13.18.201:3106 127.199.34.42:1444 SYN_SENT
TCP 127.13.18.201:3107 127.199.34.42:1445 SYN_SENT
TCP 127.13.18.201:3108 127.199.34.42:1446 SYN_SENT
TCP 127.13.18.201:3109 127.199.34.42:1447 SYN_SENT
TCP 127.13.18.201:3110 127.199.34.42:1448 SYN_SENT
TCP 127.13.18.201:3111 127.199.34.42:1449 SYN_SENT
TCP 127.13.18.201:3112 127.199.34.42:1450 SYN_SENT
TCP 127.13.18.201:3113 127.199.34.42:1451 SYN_SENT
TCP 127.13.18.201:3114 127.199.34.42:1452 SYN_SENT


Заметьте последовательность портов, связанных с местным и внешним адресом. Также заметьте большое количество SYN_SENT входов. Некоторые средства просмотра могут отображаться как ESTABLISHED или TIME_WAIT. Ключевой индикатор - последовательность портов и большое количество подключений с одного хоста.

Управление безопасностью
Цель управления безопасностью - контроль за доступом к ресурсам сети согласно локальным руководящим принципам для того, чтобы предотвратить диверсии (преднамеренные и непреднамеренные) и исключить доступ к служебной информации без соответствующей авторизации. Например, подсистема управления безопасностью может заведовать регистрацией пользователей, производящих доступ к сетевым ресурсам, отказывая при этом тем, кто вводит неверный код доступа.
Подсистема управления безопасностью разделяет сетевые ресурсы на авторизованные (санкционированные) и неавторизованные (несанкционированные) области. Для некоторых пользователей доступ ко всем ресурсам сети запрещен. Такими пользователями, как правило, являются не служащие компании. Для других пользователей (внутренних) закрыт доступ к информации, выходящей из определенных подразделений. Например, доступ к файлам, содержащим информацию о кадрах, для многих пользователей кроме кадрового подразделения закрыт.
Подсистемы управления безопасностью обеспечивают несколько функций:
Идентификация важных сетевых ресурсов (включая системные, файлы и другие объекты).
Определение соответствия между важными сетевыми ресурсами и установками пользователя (может ли пользователь иметь доступ к этим ресурсам).
Управление доступом к важным сетевым ресурсам.
Регистрация попыток доступа к важным сетевым ресурсам.

// Следите за информацией bugtraq и обновляйте свои компоненты, следите за патчами.

* Теперь логичным будет рассказать о том, как защитить себя от нежелательного «знакомства» в сети.
PMСайт пользователяICQ
Top
Boffin
Дата 22.03.2007 - 04:06
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


Типы IP- адресов

Для начала, поговорим о том, как узнать ip человека, хоста и какую информацию о системе несёт ip-адрес.
В сети интернет у каждого компьютера есть свой уникальный IP - адрес. Он состоит из 4 цифр, каждая цифра может быть от 0 до 255. Весь адрес состоит из идентификатора сети и идентификатора хоста.
Существуют 5 классов IP - адресов, отличающиеся количеством бит в сетевом номере и хост - номере. Класс адреса определяется значением его первого соккета.

Адреса класса A - предназначены для использования в больших сетях общего пользования. Они допускают большое количество номеров узлов.

Адреса класса B - используются в сетях среднего размера, например, сетях университетов и крупных компаний.

Адреса класса C - используются в сетях с небольшим числом компьютеров.

Адреса класса D - используются при обращениях к группам машин.

Адреса класса E - зарезервированы на будущее.

Стоит сразу отметить, что свой IP в интеренете имеет каждый компьютер. Будь то какой либо сайт или пользователь. Но есть и одно отличие: каждый web-сайт имеет свой IP адрес. Т.е. по IP адресу находят сервер где находится этот сайт. Пользователи диалапного (модемного) соединения обычно имеют динамически выделяемые IP адреса. То есть при дозвоне провайдеру, человеку выделяется один из свободных IP адресов, который принадлежат провайдеру. Провайдер же их берет в аренду и платит за это деньги, поэтому информацию о том, кому принадлежит какой либо диапазон IP адресов можно узнать вплоть до телефона владельца этого диапазона. Пользователи выделенных линий имеют статические IP, что несомненно удобнее, как для возможного злоумышленника, так и для своих собственных нужд.

Присоединённое изображение
Присоединённое изображение
PMСайт пользователяICQ
Top
Boffin
Дата 22.03.2007 - 04:19
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


Как узнать свой собственный IP адрес

В Windows есть командная консоль CMD, войдя в которую достаточно набрать след.: ipconfig /all. Таким образом, вы узнаете информацию не только об ip-адресе, но и MAC-адрес (физический адрес сетевого адаптера), адреса шлюза и DNS-сервера.
В *nix нужно набрать команду вида ifconfig

Что можно узнать по IP

Рассмотрим самый простой пример.
Вы общаетесь с жертвой по ICQ. Сделав пару манипуляций и пропатчив свой клиент специальной утилитой, вы получаете возможность видеть IP жертвы.
Использовав другую утилиту, типа UIN2IP.exe, вы можете видеть и внутренний IP своей жертвы если например человек находится за проксёй, сидя в большой локальной сети. Что из этого следует?
Вы берёте какой-нибудь сканер (например, для платформ *Win – XSpider, ShadowScan; для платформ *nix - nmap) и начинаете сканирование на наличие уязвимостей или открытых портов своей жертвы.
Получаете вот такой результат (пример был взят из отчёта сканера безопасности XSpider):
--------------------------------------------------------------------------------
Цитата

Имя компьютера "82.194.xxx.xxx": vasya.pupkin.com.ua
Компьютер находится в сети  (TTL = 121) 
  TOS = 8
  Cеть класса  A  (максимальное число компьютеров 16.777.214)

TCP порты
- открытые    : 27
- закрытые    : 2784
- недоступные : 119
--------------------------------------------------------------------------------
- порт 80/tcp - http
  сервер HTTP  : Microsoft-IIS/5.0 
    состояние  : 403 (Access Forbidden)
    текущие  дата и время  :  (Mon, 05 Apr 2004 08:14:49 GMT)
    формат содержимого    :  (text/html)

    определение следующей информации находится пока в тестовом режиме
    реальное имя http-сервера совпадает с указанным в его ответе
    сервер HTTP : Microsoft IIS HTTP Server 
-------------------------------------------------------------------------------
- порт 25/tcp - smtp
  сервер SMTP    - отправка почты  (работает)
    uconsnet.kiev.ua ESMTP MDaemon 6.8.5; Mon, 05 Apr 2004 11:19:24 +0300 
--------------------------------------------------------------------------------
- порт 110/tcp - pop-3
  сервер POP3    - получение почты  (работает)
    uconsnet.kiev.ua POP MDaemon 6.8.5 ready <MDAEMON-F200404051120.AA2053440MD7832@pupkin.com.ua > 
--------------------------------------------------------------------------------
- порт 143/tcp - imap2
  сервис IMAP    - Internet Message Access Protocol
IMAP4rev1 MDaemon 6.8.5 ready 

    подозрение на существование уязвимости
    возможна DOS-атака в версии x.x.x - 3.5.6 
    --------------------------------------------------------------------------------
- порт 3306/tcp - mysql
  сервис MySQL
    версия : 
    сервер вероятно не работает
--------------------------------------------------------------------------------
- порт 22/tcp - ssh
  сервис SSH    - Security Shell
    SSH-2.0-VShell_2.03 VShell 
    версии поддерживаемых протоколов:  1.99  2.0
--------------------------------------------------------------------------------
- порт 3389/tcp - msrdp
  сервис RDP    - Terminal Service Client
    состояние  :  <работает>   
--------------------------------------------------------------------------------
- порт 21/tcp - ftp
--------------------------------------------------------------------------------
- порт 42/tcp - nameserver
--------------------------------------------------------------------------------
- порт 366/tcp - odmr
  сервер SMTP    - отправка почты  (работает)
    uconsnet.kiev.ua ESMTP MDaemon 6.8.5; Mon, 05 Apr 2004 11:29:02 +0300 
--------------------------------------------------------------------------------
- порт 443/tcp - https
  ответ на Ms SQL запрос:
    Ђ #5  #5  #0  #3  #0  #0   
--------------------------------------------------------------------------------
- порт 465/tcp - smtps
--------------------------------------------------------------------------------
- порт 993/tcp - imaps
--------------------------------------------------------------------------------
- порт 995/tcp - pop3s
--------------------------------------------------------------------------------
- порт 1000/tcp - cadlock
  сервер HTTP  : <неопознан> 
    состояние  : 200 (OK)
--------------------------------------------------------------------------------
- порт 1025/tcp - listen
  сервис стандарта Win RPC 
--------------------------------------------------------------------------------
- порт 1720/tcp - h323hostcall
--------------------------------------------------------------------------------
- порт 1723/tcp - pptp

    подозрение на существование уязвимости
    возможна DOS-атака 
--------------------------------------------------------------------------------
- порт 3001/tcp - nessusd
  сервис стандарта Win RPC 
  "mstask.exe" - Task Scheduler Engine 
--------------------------------------------------------------------------------
- порт 3022/tcp - unknown
  сервис стандарта Win RPC 
  "ntfrs.exe" - File Replication Service 
--------------------------------------------------------------------------------
- порт 3023/tcp - unknown
  сервис стандарта Win RPC 
--------------------------------------------------------------------------------
- порт 3025/tcp - unknown
  сервис стандарта Win RPC 
  "lserver.exe" - Microsoft Terminal Services Licensing 
--------------------------------------------------------------------------------
- порт 3128/tcp - squid-http
--------------------------------------------------------------------------------
- порт 3372/tcp - unknown
  ответ сервиса на http запрос:
    р! #11 $xш 

  ответ на Ms SQL запрос:
    р! #11  #0 xш 
  --------------------------------------------------------------------------------
- порт 3390/tcp - unknown
--------------------------------------------------------------------------------
- порт 6699/tcp - napster
  ответ сервиса:
    1 
--------------------------------------------------------------------------------
- порт 161/udp - snmp
  сервер SNMP (протокол управления сетью)

    учетная запись "public" доступна 
    инфо : Hardware: x86 Family 6 Model 11 Stepping 1 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.0 (Build 2195 Uniprocessor Free)

Теперь, как мы видим, получено достаточно информации для того, чтобы пойти на какой-нибудь ресурс по описаниям этих уязвимостей, портов и системных сервисов отсканированной системы. Затем дело останется за малым - воплотить это в действие. Для опытного специалиста достаточно и этого отчёта, чтобы успешно атаковать удалённую систему.
Как второй пример, представим, что сканер обнаружил на компьютере открытые порты известных троянов (т.е. можно взять клиента и подключиться к удаленному компьютеру), хотя во многих троянах появилась возможность устанавливать пароль на подключение к серверу и произвольный порт (что затрудняет определение "троянского коня"). В таком случае можно просканировать все порты определенного IP. Многие порты открыты стандартными сервисами, а к подозрительным портам можно попробовать подключиться например с помощью утилиты RawTCP входящей в состав Essential Net Tools 3.0. Тогда при определении подключения к порту троян на другом конце просто может "представиться" как это делает например NetBus.
А еще, раз уж речь зашла о работе троянских программ, хочу предупредить тех кто использует такие программы в благих целях (например для контроля своей локальной сети и.т.п.) Даже установка пароля на подключение к серверу наверняка не сможет защитить от несанкционированного подключения. Например, в Internet без труда можно найти программу RAT Cracker с помощью которой легко обойти парольную защиту самых распространенных троянов.
Cейчас много домашних компьютеров объединены в локальные сети и некоторые на своем компьютере открывают папки или диски для совместного доступа. При подключении этого человека к интернету, в эти папки можно заглянуть, если они не запаролены. Для этого надо воспользоваться любой программой для поиска расшаренных данных (xSharez, ESS NetTools, Shared Resource Scanner) И в этом случае установленный пароль не даст надежной защиты вашему компьютеру. Для взлома паролей к таким ресурсам существует множество эффективных программ. Например xIntruder.
В этой ситуации есть много и противоположных моментов. Например, ваша жертва установила на свой компьютер персональный фаервол, который срезает все ваши запросы при попытке сканирования. Или сам провайдер закрыл потенциально опасные порты, поэтому ваш сканер расшаренных ресурсов ничего не находит.

Третий пример.
Вам нужно узнать IP адрес человека, побывавшего на вашем сайте. Начнем с того, что при обращении к какому либо серверу (в нашем случае - серверу предоставляющему хостинг этому сайту), в логах сервера всегда фиксируется с какого IP адреса поступил запрос. Ниже приведу часть лога программы Small HTTP Server:
Цитата

!->18/09 13:19:40 [194.29.16.182:>80] (t1 23) дата, время, IP адрес и порт, номер запроса
HEAD /images/pic.gif HTTP/1.1 Что запрашивается, протокол
Connection: close
From: admin@provider.com Е-Mail адрес для связи
Host: 195.232.27.17 кому был послан запрос
Referer: https:// mpeg4.nightmail.ru /index. htm откуда поступил запрос
Accept-Language: ru язык сделавшего запрос
Accept-Encoding: gzip, deflate кодирование
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows2k; MyIE2 0.3) информация о программе сделавшей запрос
Connection: Keep-Alive связь: проложить соединение

Из этого видно, что при запросе любого документа сервер фиксирует обращение даже к каждой картинке входящей в этот документ, иначе как бы он узнал, что и куда отправлять. Поэтому можно составить полную картину обмена информацией между пользователем и сервером, и узнать IP адрес не составляет труда. Труда может стоить получение этой информации с сервера, но такой метод возможен.
Конечно, иногда бывает все гораздо проще. Часто сервер, предоставляющий хостинг сам ведет статистику, и вы как пользователь их услуг, получить эту информацию можете. Но многие пользуются услугами сервисов бесплатного хостинга, порой таких услуг не предоставляющих. Тогда, если на сайте установлен какой-нибудь счетчик посетителей (RamblerTOP100, HotLog и т.д.) вы легко можете узнать IP адрес посетителя и время визита из его отчета.
Также, почти всегда при создании сообщений в гостевых книгах и форумах фиксируется и IP адрес отправителя, который обычно доступен только администраторам этого форума. Если администратор - вы, вам не составит труда его узнать. Если нет, вы можете обратиться за помощью к администратору.
Ещё один способ получения IP человека. Для этого нужно заманить свою жертву на некий ресурс под предлогом, показать свою фотографию (например). А по этому адресу уже висит скрипт-сниффер, который оперативно считывает информацию об ip жертвы, а также некоторые системные характеристики используемой ОС и тип web-браузера. Примеры таких On-Line снифферов, можно найти по адресу: https://tools.tehnofil.ru либо вы пишите свой скрип и вешаете его на веб-шелл.
Иногда бывает необходимо узнать IP адрес отправителя письма. Получить его можно из его служебного заголовка почтовой программы. Заголовки почтовых программ несут достаточно полезной информации для злоумышленника, это ваш IP, имя почтового клиента, версия, IP и имя вашего прокси сервера.

Перейдём к следующему моменту: как получить данные о "владельце" IP:
Итак, если вам известен IP адрес, вы можете узнать много полезной информации о его владельце. Для этих целей нужно воспользоваться специальным сервисом - Whois .

Подобных сервисов в интернете много:
https://www.antispam.ru
https://www.whoisinform.ru
https://www.web-tools.ru
https://www.iontail.com/?p=utils
https://www.all-nettools.com

Также можно воспользоваться программным Whois, типа Domain Info или набором утилит IP-Tools.
С помощью такого сервиса можно узнать имя человека на которого зарегистрирован данный IP адрес, его E-Mail, телефон и даже адрес. Также можно узнать когда был арендован данный диапазон, на какой срок и для какой организации.

Четвёртый пример.
Вам приходит на почтовый ящик сообщение вида: «Ваш почтовый сервер хххх.mail.com предоставляет всем своим клиентам новую акцию, в которой будут разыгрываться призы от ведущего производителя бытовой техники: «Samsung». Всем желающим, необходимо зайти на сайт ххх.com.ua и зарегистрироваться. На Ваш почтовый ящик будут отправлены условия для участия в розыгрыше призов.» Вы, как порядочный гражданин =) или просто из любопытства, пойдёте по указанной ссылочке, в поле регистрации обязательно введёте своё имя и пароль. И на этом ваша миссия оканчивается. Это был замечательный манёвр для того, чтобы высветить ваш возможный пароль и IP. По статистике известно, что у большинства пользователей пароли однотипные. Мне не раз приходилось убеждаться в этом. Человек имеет в своей фирме собственный аккаун и пароль. Этот же пароль он использует где попало, часто и логин. А вот какая удача... зашли вы на такой сайт без прокси, ввели пароль и логин.... всё и этого достаточно. IP ваш, логин и пароль ваш. Теперь злоумышленник идёт на сервер вашей организации и убеждается, что такой пользователь существует и пароль соответствует!

// Если вы получили сообщение с вложением вида exe, com, bat, то не открывайте его без антивирусной проверки. Не доверяйте адресам, типа postmaster@vinf.ru или webmaster@vinf.ru

// Службы поддержки никогда не рассылают программы своим пользователям, однако адрес отправителя очень легко подделать и многие этим пользуются, чтобы под видом службы поддержки рассылать вирусы.

// Старайтесь пользоваться самими свежими почтовыми программами. В любой из них периодически находятся "дырки" в безопасности, и злоумышленники тут же ими пользуются. В свежих версиях, как правило, эти ошибки исправляются.

Сокрытие IP- адреса

Начну с основ. Итак, как упоминалось выше, вы определились с web-браузером и решили начать путешествие по бескрайним просторам глобальной сети Интернет. Начинать свой сёрфинг нужно безусловно с сокрытия IP-адреса.

Способы анонимного web-Surfing:
1)В свойствах вашего браузера прописать какую-нибудь свежую проксю, которую можно найти на специализированных ресурсах, типа https://void.ru и тут же проверить её анонимность, лучше специальными онлайн сервисами: https://www.all-nettools.com или https://tools-on.net
2)Использовать специализированный софт, типа Steganos Internet Anonym Pro. Эта программа позволяет осуществлять просмотр web-страниц через цепь анонимных проксей, которые она сама автоматически пополняет в свой список. Также, программа позволяет менять периодичность смены проксей в цепи (1 сек. или 1 мин.)
3)Очень эффективным считается использование аномайзеров (Anonymous Surfing) – онлайн сервис, при помощи которого вы можете осуществлять анонимное посещение web-ресурсов. Адрес одного из таких сервисов: https://www.all-nettools.com/toolbox,privacy
4)А также желательно:
* запретить cookies
* запретить выполнение активных сценариев
* запретить Java
* запретить ActiveX
(4-й способ не совсем удобен, т.к. некоторые из перечисленных компонентов, вам могут понадобиться для посещения некоторых веб-ресурсов. Например, на почтовый сервер с отключенными cookies могут просто не пустить, а при отключении компонента Java вам может быть недоступна для просмотра та или иная веб-страница).
5) Лучший способ – это несомненно поднять свои собственные прокси на удаленных серверах и ходить только через них, лучше через цепь таких вот проксей, т.к это 90% уверенности в том, что вы остаётесь анонимны («Нет доверия тому, что болтается в сетевых помойках.» (прим. автора))

Способы анонимного использования сетевого ПО:
1)Традиционно, начну с азов. Если вы используете сканер безопасности или сканер поиска ресурсов общего доступа, то вам также необходимо скрыть свой IP-адрес. Для этих целей я могу рекомендовать самый простой метод - использовать SocksChain (программный продукт от UfaSoft). Программа позволяет подключить любое приложение и через цепь 1000 проксей, вывести его в сеть. Перед началом работы программы, необходимо пополнить список свежих проксей, которые программа способна найти сама и обновить. Минус этого способа – медленная скорость, т.к. используемые прокси на 70% не «первой свежести» и низкого качества.
2)Если ваш сетевой сканер имеет функцию подключения и работы через анонимный прокси, тогда задача облегчается. Вы просто прописываете в нужную строку свежий адрес прокси-сервера и запускаете в работу.
3)Если вы находитесь в большой локальной сети, в которой имеется прокси-сервер, то ваша деятельность может быть скрыта, но лишь на уровне внутреннего ip-адреса. Внешний IP – это адрес вашего прокси-сервера . Поэтому, этот способ наиболее примитивен, я бы сказала, он не должен вообще использоваться, т.к. при обнаружении ваших действий, можете пострадать не только вы, но и вся ваша организация.
4)Наиболее сложный способ сокрытия (в данном случае метод основывается на подмене IP-адреса) – это Spoofing. Основной принцип этого метода: машина нападающего подставляет себе IP-адрес промежуточного компьютера в сети, другими словами "доверенного" компьютера, обычно сервера, имеющего право на выполнение каких-либо нужных вам операций в сети. Подробно об этом я расскажу позже.

Способы анонимной отправки почты:
1)Первый простой способ, это использование анонимных ремейлеров. Например, вы заходите на ресурс, типа:

https://boomer.hobi.ru/mail.htm
https://www.businessland.h14.ru/E-mail/mail.htm
https://www.spichki.com
где в поле адресата указываете нужный вам адрес. Сообщение отправляется анонимно, ваш IP остаётся анонимным. Минус этого метода – нельзя использовать массовую рассылку и прикреплять вложения.
2) Второй способ использовать работу почтового клиента через SocksChain (как вариант), но этот способ не всегда работает, т.к. большинство почтовых серверов отфильтровывают сообщения с анонимных прокси. Вероятность удачной попытки будет лишь в том случае, если вы пользуете приватную (не публичную) анонимную проксю.

На заметку: любой proxy сервер (а тем более бесплатный) ведет лог-файл (протокол своей работы), в котором подробно расписано, какой IP адрес в какое время куда обращался. И человек (или организация), который располагает соответствующими полномочиями (доступом к любой информации) и запасом времени, всегда сможет выяснить, куда вы ходили и что вы делали, даже если вы будете использовать цепочки из 100 анонимных proxy серверов в разных концах планеты. Так что, 100% гарантии анонимности не даст вам сам Бог.

* Перед тем, как что-либо начинать делать, прежде всего подумайте, а стоит ли оно того и надо ли оно мне.

Теперь поговорим о сканерах.

I этап – это сканирование удалённого хоста на наличие открытых портов. Для этих целей я бы рекомендовала nmap для *nix- систем или PortScan (Copyright © 1997 7th Sphere) для *win платформ. Этих утилит вполне достаточно, чтобы максимально быстро и эффективно получить карту портов.
Приведу несколько существенных примеров сканирования nmap`om с ключами:
Цитата

nmap -sF -sV -O -v -P0 -D 0.0.0.0 [host_name]
nmap -sM -sR -sV -O -p- -PI -PM -PT -PS -PU -T4 --min_parallelism 10 -M 30 -R -D 0.0.0.0 -f -v [host_name]
nmap -sF -sV -O -v -P0 [host_name]
nmap -A -T4 -F [host_name]
nmap -sT -sR -sV -O -p- -PT [host_name]

// Читаем полезную информацию о использовании nmap:

https://www.security-teams.net/index.php?ac...st=0#entry18987

II этап (простой метод) – поиск уязвимостей на удалённой системе. Для платформ *win вполне подойдёт полнофункциональный сканер XSpider или ShadowScan, wwwhack (брут для web-серверов). Для *nix- систем можно применить retina, nessus.

Xspider - сильно отличается от примитивного сканера сетевой безопасности, который просто выполняет сканирование и показывает результаты (приблизительно таким был XSpider версии 6.х, что не мешало ему занимать первые места в рейтингах благодаря отличному качеству работы сканирующего ядра). Довольно сложно вдаваться в технические подробности, которые объясняют, как XSpider добивается максимально точной работы, тем более, что многие механизмы являются конфиденциальной информацией. Хотелось бы упомянуть только эвристические алгоритмы, использующиеся XSpider. Он не только занимается простым перебором уязвимостей из базы, но и выполняет дополнительный анализ по ходу работы, исходя из особенностей текущей ситуации. Благодаря этому, Xspider может иногда обнаружить специфическую уязвимость, информация о которой еще не была опубликована.
Еще один положительный момент XSpider заключается в том, что его база уязвимостей, которая ежедневно обновляется при помощи онлайнового механизма, состоит не только из блоков данных, но и программных модулей, каждый из которых может содержать особую логику и алгоритмы.

Если же рассматривать пример сканирования портов, на наличие расшаренных ресурсов, тогда могу рекомендовать следующие программы:

Netbios share scane & password crack utilites ver 0.05c (для платформ Win 9x)

-NPC Netbios Password Cracker - взломщик паролей установленных на сетевых дисках(принтерах) или если говорить простым языком, утилита использует кривую реализацию
netbios системы, (на компьютерах под управлением win9X ME, может и win3.1) для очень быстрого "взлома" пароля к ресурсу.
К слову сказать "взлом" паролей осуществляется не банальным перебором, типа [ааа,ааб,аав,... агд] и т.д, а именно с использование уязвимости (см. выше) что сокращает скорость подбора до минимума, сейчас это: менее минуты по интернет, и менее секунды в локальной сети.
ОС не подверженные этому багу (Unix,Linux,novell,nt,y2k xp)

-NSS Netbios Share Scaner -это сканер сетевых ресурсов и, к слову сказать сканер очень быстрый, т.к. к примеру для просканирования диапазона А.Б.В.1-255 требуется порядка 10 сек и не очень быстрый интернет, причем исходящий трафик составит 255 X 50 байт (12 кб).
Сканер это вспомогательная утилита, которая "очень" быстро сканирует большой диапазон
IP адресов на наличие компьютеров использующих "Доступ к файлам и принтерам" была написана специально для NPC .

xSHaReZ scanner (для платформ Win 2k/XP)

xSharez scanner - много потоковый NetBIOS сканер, представляющий собой "twinware tool", утилиту, предназначенную одновременно как для системных администраторов, так и для пользователей интересующихся компьютерной безопасностью.

Программа позволяет:

· Сканировать диапазоны IP адресов (классы B и C) на наличие разделяемых ресурсов.
· Подключать найденные ресурсы в качестве сетевых дисков или просто просматривать их в Windows Explorer ("Проводник").
· Получать дополнительную информацию о сканируемых компьютерах - NetBIOS name, Workgroup, User name, Mac address.
· Эффективно подбирать пароли к ресурсам с помощью дополнительно загружаемой с сайта разработчика программы - xIntruder.

xShrarez scanner - в отличие от аналогичных программных продуктов имеет несколько дополнительных возможностей и более дружественный и функциональный интерфейс.

copyright © 2001 irctoolz.com

// А также, я рекомендую посетить ресурс https://xsecurity.org

// Многие сканеры имеют свои уязвимости, например, переполнение буфера, форматирование строки, и еще много всяких ошибок, которые может допустить программист. Поэтому при выборе таковых, необходимо учитывать и это.

Получение информации о соединениях удалённого доступа (имя, логин, пароль, телефон, статус)

Для начала необходимо желание и терпение. После этого нужно скачать какой-нибудь троян, например GIP v113 или Barrio 5.0.

// Barrio Trojan 5.0 - открытая система эмулирования работы "троянского коня" под управлением Windows. Barrio Trojan не является вредоносной программой, хотя она включает в себя все функции "троянского коня". Целью создания подобной программы является наглядный показ работы "реального" "троянского коня" для более успешной борьбы с "троянскими конями".

Основные возможности Barrio Trojan 5.0:
1.Получение информации о
- соединениях удалённого доступа (имя, логин, пароль, телефон, статус)
- закэшированных ресурсах
- расшифрованных паролей EType Dialer (для поддержки ранних версий включена утилита для дешифровки паролей)
- UIN'ах ICQ
- ключах, нажатых в указанных окнах
2.Высылка репортам по любым указанным почтовым адресам
3.Возможность приложения к репортам любых файлов
4.Возможность слития с файлами любых типов
5.Удобное конфигурирование с использованием шаблонов
Для сокрытия почтовых адресов, smpt-сервера и др. информации, которая закладывается в Barrio Trojan 5.0 при его конфигурировании, используется алгоритм шифрования. Barrio Group не распространяет программ для дешифрирования этих данных и ей неизвестно ни одной подобной утилиты.

Для обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи).

Наибольшее распространение среди таких методов получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.)

Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), убеждая читателей, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: "Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?", тогда они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет.

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
PMСайт пользователяICQ
Top
Boffin
Дата 22.03.2007 - 04:24
Цитировать сообщение
Offline



[> free <]
******

Профиль
Группа: -root-
Сообщений: 3569
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(30%) XX---


// А теперь я хочу перечислить несколько типов программ для сканирования портов.

Сканеры портов:

Платформы: Windows | UNIX

N.E.W.T. 1.0
Windows
Программа просматривает диапазон компьютеров в сети и собирает информацию, типа Machine Name, IP Addresses, Operating System и Service Pack Info, Date и Time, Uptime, MAC Address, User Name, Domain Name и Machine Comments.

KDE Network Mapper 0.1.0
UNIX
Утилита для создания карты сети, тестирования и сканирования. По существу это KDE GUI для популярного сканера nmap.

THC-Amap 4.3
UNIX
amap - инструмент для сканирования, позволяющий удаленно идентифицировать приложения, выполняющиеся на определенном порту.

SuperScan 4.0
Windows
Вышла новая версия популярного сканера портов для Windows систем.

Rnmap 0.10
UNIX
Remote nmap (Rnmap) – программа, позволяющая удаленно просматривать порты, используя централизованный сервер.

Advanced IP scanner 1.2
Windows
Advanced IP scanner – сканирует LAN и собирает различную информацию о локальных компьютерах.

Advanced Port Scanner 1.1
Windows
Advanced Port Scanner – маленький, быстрый, многопоточный сканер портов.

knocker 0.7.0
UNIX
Knocker - простой и удобный в работе многопоточный TCP сканер портов, написанный в C

Atelier Web Security Port Scanner 4.61
Windows
всесторонний набор инструментальных средств, некоторые из которых уникальные, для точной оценки сетевой защиты.

Wap-nmap
UNIX
Программа из разряда ''шпионских штучек''. Позволяет просканировать ряд портов любого хоста непосредственно с вашего мобильного телефона и уйти не замеченным.

Ghost Port Scan v0.9.3-FRC
UNIX
GPS - расширенный сканер портов и программное обеспечение раскрытия правил межсетевой защиты, которое использует IP и ARP спуфинг, сниффинг и другие методы сбора информации.

Portascan v.5
Windows
Portascan - портативный сканер для Windows NT/2000

Ostronet 5
Windows
Ostronet 5 - набор утилит для Интернета. Сканер доменов, сканер портов, ping, трассировка, преобразование адреса в имя и обратно, информация о локальном хосте, клиент сервиса Whois, утилита Finger, клиент Ph-CCSO, клиент FTP.

Overloaded Jport 2.0
Windows, UNIX
Jport – многопоточный сканер портов, написанный в Java, который просмотривает 65535 портов за 30 секунд.

Blaster Scan v3.1
UNIX
Blaster Scan - продвинутый сканер TCP портов и система удаленного сбора информации.

GnoScan v0.1.2
UNIX
GnoScan – мультипоточный сетевой сканер с графическим интерфейсом для

GNOME
skin v0.1.2
UNIX
Skin - TCP/UDP сканер портов, который позволяет пользователю определять сервисы на просмотренных портах.

DPS
Windows, UNIX, Другие
DPS(Distributed Port Scanner) - распределенный сканер портов

UNF Distributed Portscanner (DScan) v0.6
UNIX
DScan- распределенный сканнер портов.

Adelie Port Scanner v0.3
Windows, UNIX
Adelie - простой и расширяемый сканер TCP портов, написанный в Perl

halfscan6
UNIX
Сканер IPv6 syn портов.

6thSense
Windows, UNIX, Другие
6thSense- скрытый сканер портов

Arp-scan
UNIX
Arp-scan - инструмент для сканирования компьютеров внутри одной подсети

Spytech IntegrityCheck Plus
Windows
Утилита для анализа и обеспечения безопасности системы.
И в заключении хочется добавить, что все сказанное выше является всего лишь поверхностным вступлением среди терабайтов информации, которая всегда доступна на просторах свободной сети.

По всем техническим вопросам и возможному их практическому применению обращаться на: https://www.security-teams.net


--------------------

Caps Lock - враг человека! Иногда ваши задумчивые рассуждения превращаются в идиотские лозунги, случайно задев эту клавишу.
Голосуйте за реорганизацию клавиатурной раскладки! (с)
PMСайт пользователяICQ
Top

Опции темы Ответ в темуСоздание новой темы

 





escorts in Milan Diamond | Шкаф купе в спальню своими руками видео в Москве