Архив форумов ЦИТФорума

[Real Admin]

Гражданин П. из города К. приобщился к мировому интернет-сообществу посредством покупки модема. Месяцем ранее такое же радостное событие произошло в жизни юного ученика школы №Х того же города. К моменту приобретения модема гражданином П. ученик уже считался знатоком интернета в кругу знакомых. Он даже ошибочно считал себя хакером, поскольку посетил хакерский сайт *****.***.** и скачал оттуда несколько утилит.
    Ни гражданин П., ни юный Вася друг друга не знали, не водили общих дел и не имели никакого желания узнать друг друга поближе. Так бы и было дальше, если бы Васе не пришло в голову опробовать скачанные утилиты. Среди них была программка для сканирования сети в поисках открытых портов. Может, и это не привело бы к последствиям, если бы не одно “но”. Гражданин П. до покупки модема увлекался играми. Именно это полезное во всех отношениях дело привело к неприятностям и встрече героев. Дело в том, что П., с группой энтузиастов из своего дома, некоторое время назад организовал локальную сеть. По локалке в Unreal и Quake рубились до потери сознания от усталости — или от ласкового удара жены скалкой по ушам (поскольку мешали нормальным женам спать).
    Обеспечить сеть какой-нибудь программой связи было, что называется, лениво. Нашли гениальный способ. Все участники сети открыли полный доступ к дискам “С:”. Зачинщик сетевой битвы писал текстовый файл, типа: “Ну че мужики? Мои все спят, порубимся? Создаю игру в 24:00”. Этот файл кидался всем включенным в сеть компьютерам на рабочий стол и назывался как-нибудь очень заметно, вроде Сегодня_всех_порву_на_части_Саня.txt.
    Чтобы оповестить всех о том, что им пришла почта, Саня открывал сетевое окружение и обращался к флоппи-дискам товарищей по сети. В ночной тишине малогабаритной квартиры треск пустого флоппика был слышен из любой точки, даже там, где вечно журчала вода. Чем бы ни был занят хозяин, он немедленно мчался на цыпочках к компьютеру. Если в этот критический момент музыкальное похрапывание жены не нарушалось более громкими и крепкими выражениями протеста, матч начинался по расписанию. Связь была простой, но действенной.
    Именно в таком состоянии встретились сканер Васи М. и компьютер гражданина П. Причем Вася узнал об этом сразу. Компьютер П. был открыт для его постороннего доступа, как церковь на пасху. Когда первая волна радостного осознания собственной крутости прошла, Вася задумался о практическом использовании своего успеха. Первые идеи о форматировании диска С:, переименовании папок нецензурными словами, замене картинки рабочего стола на красочно-генитальную композицию собственного рисования были отброшены. Невозможность посмотреть самому и показать друзьям выражение лица потерпевшего в момент обнаружения взлома губила всю красоту момента.
    Озабоченный Вася неделю напряженно искал решение проблемы и нашел его в каком-то журнале. Он вычитал, что пароли имеют расширение .pwl и обычно хранятся в папке Windows. Похимичив с pwl-файлом и утилитами для его чтения, Вася узнал логин и пароль интернет-карты незнакомого ему гражданина П. Юный “хакер” решил, что на него свалился совершенно халявный доступ в интернет. Какой бы большой ни была карточка, но друзей у Васи, которым ему надо было доказать свою крутость, оказалось еще больше. Щедрый парень умел делиться. И через очень короткий промежуток времени П. не смог выйти в Сеть, поскольку на его счету был абсолютно “голый Вася”. Он очень удивился, но пошел на почту за новой картой. И так раз за разом. Пока однажды карта не закончилась сразу после того, как он один-единственный раз проверил почту. Изрядно расстроенный гражданин П. поехал на разборки в офис провайдера. На этом сказка о халявном интернете и славном хакере закончилась. Через пять минут были известны все номера телефонов, с которых умыкнули до полного нуля очередную интернет-карту пострадавшего. Еще через час было написано заявление о краже в милицию. А еще через два — заплаканный “хакер” рассказывал, как было дело.
    Гражданин П. отсудил у родителей юного взломщика сумму, равную стоимости компьютера, с которого тот осуществил взлом.
    Утилита PwlTool предназначена, по мнению ее разработчиков, для забывчивых людей. Эти несчастные склеротики могут освежить свою память, вспомнить забытый пароль. Даже если не знали его никогда и он вовсе не их...

[vvt]

Типа мораль: Админ, помни! Открывая полный доступ к диску це, ты провоцируешь рост мировой компьютерной преступности!
Че то я вообще не очень понял к чему вся эта история... Профессиональные хитрости гуру безопасности?

[DumanTapah]

ну?
и к чему все это размусоливание в лучших традициях XaЦkeRoV, считающих себи сильно более умными, чем злополучный вася?

где мораль?=)
_________________
Vivere militari est!

[vvt]

[DumanTapah]

мы видимо одновременно писАли=)
когда начинал мессагу твоего ответа еще не было=)
_________________
Vivere militari est!

[and3008]

Парню надо идти учиться на начальника.
Особенно усиленно изучать предмет "Практические Навыки и Способы езды в рай на чужом горбу".

[vvt]

Кому, риал админу или Васе М.?

[and3008]

Васе конечно же.

Предмет этот тяжелый и тяжел для самостоятельного изучения. Иногда влечет за собой непредсказуемые последствия, к примеру выше описанные.

[Steff]

Я для себя сделал один вывод - не ставить виды 9х
_________________
Dum spiro, spermo ))

[Real Admin]

Это просто истории из моей Администраторской жизни . Те с которыми я сам сталкивался или знаю не по наслышке .Эти истории скорее для чудаков , типа Васи , Админ ничего нового для себя из них не узнает .(Но почитать советую ) .

Небольшой онлайновый магазинчик обслуживала маленькая служебная сеть. Компьютер владелицы работал под управлением Windows 2000. Кроме рабочих программ, баз данных и прочего, он использовался в качестве веб-сервера, для чего на нем был установлен IIS 5.0. Другие компьютеры, обслуживающие магазин, были объединены в сеть, защищенную системой SNORT. В одно не самое прекрасное утро владелица (назовем ее Нина) включила свой комп и сразу поняла, что ее сеть взломана. Фоновый рисунок рабочего стола был заменен картинкой с весьма доходчивым текстом (излагается в “мягком переводе”):
    — Чудаки на букву М! Я имел честь вашего компьютера. Все ваши пароли и защиты — туфта (приведены примеры туфты). Надеетесь, что я все это не стер? Продолжайте надеяться! Жека Свежеватель.
    Нина телефонным звонком немедленно вытряхнула своего сисадмина из теплой кровати и проплакала ситуацию в трубку. Первым делом сисадмин проверил журналы регистрации сервера IIS на предмет обнаружения следов Unicode Attack. Это известный изъян программного обеспечения веб-сервера IIS 5.0 от компании Microsoft.
    Именно так в большинстве случаев взломщики получают полный контроль над компьютером. Он использует возможности оболочки системы cmd.exe, которая выполняет команды на веб-сервере. В случае успеха хакер получает полный список каталогов диска C: атакуемого компьютера. Выясняет содержимое разных каталогов, их структуру и, в конечном счете, уясняет принципы организации объекта атаки. Эта дыра описана в базе данных CVE по адресу http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0886.
    Однако файл default.htm был совершенно цел. Зато в журнале IIS было кое-что интересное. Накануне, с 22:10:10 и до 22:15:57, отмечался запуск cmd.exe с параметрами /c+dir.exe+, /с+mkdir.exe+\jukjill\hk, c:/jukjill/hk/hk-0.1/hk.exe+rename+\inetpub\wwwroot\default.htm+ default.dm2, /с+dir.exe+\inetpub\wwwroot. Просмотр журналов системы защиты SNORT за период с 21 до 24 часов того же дня позволил понять, что же произошло. Первая интересная запись была зафиксирована в 21:30:34. Она начиналась строчкой [**] SCAN nmap fingerprint attempt [**]. Эта строка говорила о том, что взломщик сканировал сеть программой nmap. С помощью нее хакер узнал основную информацию о компьютере Нины. Затем, по протоколу tftp, через cmd.exe, на ее компьютер были загружены программки hk.exe и netcat.exe.
    Как видно из приведенных выше параметров, для них создавалась система каталогов. Итак, стали известны несколько утилит, которыми пользовался хакер, — nmap, hk, netcat. Утилита hk.exe повышает уровень доступа юзера до уровня администратора (используя ошибку IIS Web Traversal Unicode Vulnerability). После ее применения становится доступным соединение netcat и добавление учетной записи в группу админов. Далее хакер переименовал файл default.htm в default.dm2.
    Однако, судя по записям в журнале, дальнейшие попытки использовать hk.exe провалились. И неудивительно, поскольку она рассчитана на применение в Windows NT с IIS 4.0. Тогда была предпринята попытка воспользоваться ошибкой переполнения буфера IIS 5.0 (Null-Printer Overflow). Строки с шестнадцатеричной последовательностью от 0х47 до 0х90 (выполняющие команду GET /Null.printer HTTP 1.0) в журнале SNORT красноречиво заявляли об этом. Такую ошибку используют утилита jill и ее вариант jill-win32.exe (обратите внимание на параметры cmd, приведенные выше). После запуска утилиты хакер установил прямое подключение к компьютеру Нины. Теперь он мог реализовать все свои тайные фантазии, удалять любые файлы, заменить бухгалтерскую документацию подборкой журнала “Пчеловод-любитель”, порадовать посетителей магазина измененными ссылками на порносайты...
    Но ничего подобного хакер делать не стал. Он просто скопировал файл, содержащий пароли (sam, для Windows 2000), и заменил Нине фоновый рисунок. Пароли, возможно, были получены из файла sam с помощью той же утилиты, которую использовал незадачливый хачер Вася из предыдущей истории.
    В любом случае, Нине с админом предстояла большая работа по переустановке всего и вся. На благородство взломщика надейся, но файлы лучше обновлять.

[and3008]

Я бы запустил на компе windowsupdate.microsoft.com и тыкал админа этого в монитор до полного понимания назначения этого сайта.

Кстати, а как сей товарищ смог утянуть SAM с работающего компа? Это прям чудесатые чудеса какие-то...

Еще более удивительно каким макаром через cmd.exe по tftp загружать файлы? Примерчик можно? Неужели на компе были соответствующие проги? Мдя...

Наличие такого безобразия как-то плохо сочетается с "Другие компьютеры, обслуживающие магазин, были объединены в сеть, защищенную системой SNORT".

Попахивает жареной уткой....