Ты никогда не задумывался о том, сколько информации о себе ты оставил в системе? Если нет, то зря. Вот, например маленький кусочек из файла error.log (Apache web server):


… cut …
[Fri Apr 13 00:40:11 2001] [error] [client 127.0.0.1]
File does not exist: d:/www/cgi-bin/phg.cgi
[Fri Apr 13 00:40:12 2001] [error] [client 127.0.0.1]
File does not exist: d:/www/cgi-bin/tigvote.cgi
… cut …

Ну что? Мнение сразу изменилось? А ведь админу системы не составит никакого труда вычислить откуда ты вылез и написать письмо твоему провайдеру, послав кусочек лога. Конечно ситуация меняется если ты сканировал через прокси или логинился в систему по телнету через несколько шелов, но результат на лицо!

В сети Интернет появились два новых вируса Worm.Win32.Sasser.a и Worm.Win32.Sasser.b.
Они стали основными конкурентами MSBlast'у.


Они используют уязвимость в службе LSASS Microsoft Windows. С помощью этой уязвимости можно управлять удаленным компьютером от имени системы. Даный червяк сканит сеть на компьютеры которые потдерживают уязвимость MS04-011.

Подвластный вирусу компьютер по TCP-порту 9996 (стандартный порт IRC, если вы не заметели) запускает оболочку cmd.exe и начинает себя пладить по протоколу FTP. Плодиться он с помощью FTP сервера по TCP-порту 5554 и по запросу удаленного компьютера загружаем себя ему. В автозапуск он лезет следующим путем через системный реестр:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] avserve2.exe = %WINDIR%avserve2.exe


В связи с разрастающейся в интернете вирусной эпидемией, дядя Нортон выпустил бесплатную утилиту для обнаружения и удаления интернет-червя W32Sasser worm Утилита обнаруживает и удаляет следующие модификации вируса: W32.Sasser.Worm, W32.Sasser.B.Worm, W32.Sasser.C.Worm, W32.Sasser.D.Worm. Советую и настаиваю Всем Скачать Symantec W32.Sasser Removal Tool 1.0.3 Безопасность это главное!

Эта статья не даст практически никакого опыта, однако она действительно важна для понимания того, как все устроено. Ведь без азов нельзя в будущем написать что-либо действительно хорошее. Именно эта статья рассказывает, почему xspider полезен, но если он ничего не выдает, то это не значит, что жертва неуязвима (как считают 95% начинающих взломщиков).


В статье описывается именно безопасность linux-систем, так как windows не совсем предназначен для "глубокой" работы с сетью. Итак, приступим. Начнем, как я уже говорил, с азов.
То есть со сканирования сети и получения от нее всей интересующей нас информации. Думаю, что всем ясно, как пользоваться соц. инженерией. Я не буду углубляться в этот недостойный человека метод и расскажу Вам о настоящих сканированиях сети.

История состоит в том что у нас в уневере стоят компы.
Доступ закрыт ко всему на диск С: флопы закрыты из инета не чего не с качаешь на флешке не чего не притащишь потому что стоит запрет на установку оборудования BIOS стоит новый системные пароли не подберешь.

А мне срочно надо было сдавать работы а мне кокая-то пaдлa все удалила (Комп надо выключать когда сваливаешь) а работ там много месяц делал. Я их конечно могу у кого-нибудь скачать но как ведь С: закрыт и по сетке не скинешь У нас у каждого свои папки на сервере куда только ты имеешь доступ ну и админы.

И вот лежу я както дома гружусь и вот Алилуя!!! Вроде положение безвыходное А ВОТ НЕТ.
Идея проста как Дырка от Бублика.
У нас установлен Visual Basic. Так что приведу пример на нем.

За последние годы появилось много статей и сообщений о том, что хакеры используют поисковую систему Google, чтобы получить доступ к файлам.

Возможно, эта статья кому-то ничего нового не даст, но лично я всегда задавался вопросом, как это все работает. Если решили читать дальше, то я рад:)!

Всем советую как можна быстрее скачать эту утилиту, и проверить нешастает ли у вас червь Novarg (также известный как "Mydoom"). Внимание! Этот червь проникает в ваш компьютер через електронную почту, в файлах bat, .cmd, .exe, .pif, .scr, or .zip.

В этой статье я расскажу Вам как посылать письмо от чужого имени НЕ используя старомодный телнет! Все нааамного проще...

Одним словом, пишется НАИПРОСТЕЙШИЙ php скрипт вида формы отправки сообщений с сайта, прям такой как у меня внизу на главной странице стоит. Так вот, нам надо подобрать такой, чтоб писал подтверждение от имени Админа. По идее, форму такой отправки могу сделать и я, но лень что-то;) Сделаю при случае! Короче, ищем форму, чтоб там свое мыло писать и имя админа. В моем случае - это CheatMan, E-Mail - не скажу :)

PWL (PassWord List) - это файл где хранятся все пароли для доступа в интернет. Для их расшифровки применяются специальные программы типа: PWLHack, PWLView, PWLTool.

Для начала нужно узнать имя пользователя, если оно состоит меньше чем из 8 букв, то оно будет совпадать с именем PWL файла. Если оно состоит больше чем из 8 букв то нужно заглянуть в файле SYSTEM.INI в строчку:

[Password Lists]
ADMINISTRATOR=C:WINDOWSADMINIST.PWL

ADMINISTRATOR - имя пользователя

С каждым днем атаки становятся все сложнее, но их количество, как ни странно, не уменьшается, а даже наоборот... Общественность уже успела оценить атаки типа Shatter, Integer Overflow и т.д. В этот раз речь пойдет о FILE Stream Overflow. Хоть ее описание не является открытием, многим экспертам еще не приходилось ее эксплуатировать. А сообщения о уязвимостях такого типа практически не появляются в BUGTRAQ.

FILE Stream Overflow в переводе с английского означает переполнение файлового потока. Это переполнение буфера, но со своими нюансами. На практике реальных примеров использования этой уязвимости достаточно мало. Но если они есть вообще, то это уже стоит изучения. В данном документе я опишу атаку переполнения файлового потока на приложениях dvips и odvips.

Здарова дружище вот решил с тобой потолковать на тему компьютерных заболеваний.

В одно из обычных путешествий по Inet'у я заметил, что мой Осёл повесился, ну я подумал что это обычный сбой 2000-х дверей от Гейтса. Ну ребутнулся, конектинг снова вызвал тот же сбой. Лады, думаю, где там у меня касперский завалялся. Каспер-про тоже подумал и заявил, что мол нету у тебя заболеваний.

Ну я ему не очень поверил и решил сам за него поработать. Полез ACDSee'ей в Temporary Internet Files и там все пощупал. Наткнулся на Flash ролик, после запуска которого вылетело окно hta приложение со странными закорючками. Ага, подумал я, попался. Был подсажен вирь с целью зомбирования моего компа.

Каждый хакер браузит сайты сайты по безопасности и выкачивает оттуда свежие эксплойты. Наверное, за долгие годы он предпочитает брать их с любимых порталов.

Вот я и подумал – почему же не облегчить и без того сложную жизнь взломщика, автоматизировав процесс добычи эксплойтов? Благо, средств для этого много, а написание скрипта-анализатора займет около 15 минут.

Алгоритм очень простой – вначале скачиваются файлы с последними эксплойтами, затем происходит их нехитрый анализ на наличие ссылок на эксплойты. После всего, эксплойты будут скачаны и предоставлены для осмотра.

Рассмотрим модули, которые нам понадобятся для выполнения поставленной задачи. Изобретать велосипед было ни к чему, поэтому я даже не думал писать собственный парсер и даунлоадер файлов.
Это за меня сделали модули LWP и HTML.

Программа для обычных пользователей, где впервые был реализован алгоритм с открытым ключом, появилась в 1991 г. в США. Ее автором был талантливый программист Филип Циммерман.

Программа получила от своего автора название PGP (Pretty Good Privacy), что буквально переводится как "Очень неплохая приватность". Она тут же привлекла к себе внимание пользователей и распространилась по всему свету.

Сегодня PGP можно бесплатно скопировать (для некоммерческого использования) прямо из Интернета. Ранние версии PGP имели командно-строчный интерфейс, обычный для программ DOS: черный экран и приглашение внизу.

Начиная с версии 5.0 PGP становится полноценным приложением Windows, очень простым в употреблении. PGP распространяется бесплатно при условии частного некоммерческого использования.

Microsoft Windows Media Player позволяет злонамеренному вложению выполнять произвольный код с системными привилегиями.

Уязвимость связанна с неправильной проверкой правильности WMD (*.wmd) файлов. WMD (Windows Media Download) пакеты используются Media Player, чтобы хранить файлы в известном для пользователя каталоге. Нападающий может составить WMD файл, состоящий из злонамеренных .ASX и .ASF файлов, которые Media Player извлечет в известное местоположение и затем выполнит злонамеренный код. Пример комбинированных .ASX и .ASF файлов:

Рассмотрим следующий трюк, который возможно будет вам полезен. Он является особенностью работы IRC серверов, слинкованных в сеть. Примеры таких сетей все хорошо знают это EFnet, DALnet и другие.

Особенность замеченная мною состоит в том, что при сплитах, когда один или несколько серверов отлинковываются от основной сети в результате флуда или каких либо других действий, если зайти на сервер отлинковавшийся от остальной сети то, некоторые каналы совсем опустеют в случае, если никто из тех, кто находился на канале не подключался к IRC сети через этот сервер.

А канал при сплите лишается своих опций, таких как +i или +k из-за того, что он уничтожается так как никого не остается на канале.

Даная статья будет полезна для тех кто действительно хочеть защитить свои порты и все каналы от злоумышлинников. В статье рассматривается вопрос сокрытия портов используемых какими-либо программами или демонами.

Подразумевается протокол tcp, хотя некоторые выкладки применимы и к udp (даже еще и проще). В принципе, сокрытие трояна и работа с ним может также осуществляться и через icmp, но целью данной статьи было рассмотрение сокрытия именно портов.

Предположим, мы поставили на хост-жертву руткит - вроде все круто, система затроянена, и, находясь на данной машине, мы уже с трудом сможем обнаружить этого трояна, а если еще и сам кернел затроянен, то это достаточно не тривиальная задача.

Пользуясь, этим методом тебе не придется особо потеть в поисках расшареного винта, что бы сунуть туда своего «верного коня», ты так же будешь заниматься своими делами в сети – «клиент» сам найдет тебя.

Создаем у себя на винте дополнительный логический диск прогой Magic, либо каким-нибудь другим способом, расшариваем его - выставляем ему права на чтение (т.е. читают все).

Набиваем его всякими файлами, чтоб похож был на настоящий Windows – раздел, только по рассеянности не сунь туда свой настоящий PWL – файл и другие важные файлы. После этого конфигурируем Троян (этого добра в инете найдешь без труда на любом секурном сайте, на любой цвет и вкус)...

Ты уже сто раз слышал это магическое слово «Троян». В твоих извилинах, наверно уже давно крутиться мысль о создании собственного боевого коня.

Сегодня тебе предстоит эта уникальная возможность. Даже если ты никогда не будешь использовать эти знания, тебе всё равно нужно знать, как работают трояны изнутри.

Для простоты тела мы сделаем это на Delphi.

Приготовься, нам предстоит написать сразу две проги. Одна будет находиться на твоей машине (клиент), другую надо будет подбросить жертве (сервер).

Работы будет много, поэтому меньше слов, и ближе к телу.

Стандартной программы по взлому мыла с одной кнопкой "Hack it" не бывает. Есть человеческий фактор, который можно использовать. Попытка взлома мыла - это пару часов и чуть-чуть подождать. Самый лучший метод - социальная инженерия. Писать письма с определенным сообщением, с атачами, подходящими под это сообщение. А не так, как мне один виры уже 2 месяца шлет. Размер - 130 кило. Без комментариев. Задолбался уже в диспечере писем на кнопку "переименовать и удалить" жать, а поставщику его инет услуг написать облом. Скажу сразу обо всех описанных способах - если сразу не получилось, то lim(100)% уже и не получится. Только трата времени и инет-ресурсов. Это были основные выводы по мылу. Эти статьи предоставляют интерес (по моему мнению) с точки зрения исследований и приемов кодинга. А что таким образом исследовать и сканировать - умный человек найдет. Это основные выводы по статьям. Продолжим.

В наши дни, термины hijacking и MITM (man in the middle) не знаком разве что самому ленивому... :)) Впрочем, сделаем для этого самого ленивого небольшое лирическое отступление. Hijacking, грубо говоря, можно понимать как "перехват траффика, получение контроля над траффиком". "Man in the middle" переводится с английского как "человек посередине". В области хакерства этот термин объединяет в себе целый ряд атак сетевого уровня взаимодействия, осуществляющих спуфинг TCP-соединений, попросту говоря, hijacking. В частности, атаку на асимметричные криптоалгоритмы в защищённых сетевых соединениях... Собственно, сюда можно отнести любую атаку, где взломщик (или подконтрольный взломщику хост) находится топологически "посередине" между двумя связанными элементами: обладание места "посередине" обеспечивает хакеру возможность беспрепятственного спуфинга соединений любого рода.

Удаленные атаки на хосты Internet В связи с большой популярностью сети Internet огромное значение приобретает проблема информационной безопасности в сети. Из-за сложной инфраструктуры сети Internet, большого числа различных протоколов обмена на базе TCP/IP, спроектированных без учета требований к их безопасности, возможны различные способы нарушения безопасности компьютерной сети со стеком протоколов TCP/IP.

Рассмотрим следующие виды удаленных атак на хосты Internet: - Исследование сетевого трафика Данное воздействие широко используется хакерами в сети Internet для получения статических паролей, используемых пользователями для доступа к удаленным хостам по протоколам FTP и TELNET.