The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

DDoS атака на peterhost и masterhost - это только начало.

19.02.2004 16:46

В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.

Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая http://www.peterhost.ru и http://masterhost.ru, продолжается по настоящий момент и растёт по мощности со временем.

Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.

По результатам исследований специалисты установили, что "замусоривание" создают небольшие по размеру исполняемые программы на "заражённых" компьютерах. Это ".exe" файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер - от 3072 до 5120 байтов. Возможные имена программ:

666.exe
rich.exe
ric1.exe
fich.exe
tcpf.exe
udpf.exe
tzpf.exe
tzpy.exe

Все эти программы уже распознаются антивирусом DrWeb (http://drweb.ru)как вредоносные.

Скорее всего, это ненастоящая "инфекция". Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном - на них установлена программа Remote Administrator 2.x (http://www.famatech.com), открытая для доступа извне.

Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на форуме
производителя Remote Administrator:
http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID=11&TID=5856#nav_start

На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:
200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82

Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.

Комментарии по оптимизации сетевой подсистемы FreeBSD

Простейшая команда "netstat -w 1" помогла определить мощность атаки, vmstat показал чем занята атакуемая машина и что именно её грузит (системная область, пользовательская область, прерывания). Оказалось, что 70% - прерывания при мощности входящего потока до 150kps.

На атакуемой машине стояла карточка Intel Ethernet Express Pro 10/100 с драйвером fxp, система FreeBSD-4.7R. Добавление в ядро опции:

options         DEVICE_POLLING
options         HZ=1000
привело к тому, что загрузка сократилась до 30% на прерывания. Эта оптимизация позволила машине работать в обычном режиме и использовать её ресурсы для слежения за атакой (в противном случае, атака прекращалась по отсутствию атакуемого объекта).

Сетевая карточка Intel Ethernet Express Pro 10/100/1000 имеет ограничения на уровне ядра на количество прерываний и достаточно стойка к атакам мощности до 150kps. В ядре 5.2 добавлена возможность настраивать этот параметр, но на практике нами не проверялось.

  1. Главная ссылка к новости (http://www.securityfocus.com/a...)
  2. OpenNews: Позиция Famatech LLC: "К вопросу о DOS атаках через Radmin"
  3. OpenNews: Famatech LLC: Пресс-релиз 1 - открыт конкурс по взлому Radmin
Автор новости: Phil Kulin
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/3424-security
Ключевые слова: security, ddos, tune, optimization
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Swap (?), 10:18, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    примерно в это же время (21 января) начали досить еще один популярный сайт, характер флуда и порты совпадает с описанными в статье, что наводит на мысль а массовости атаки.
    Была обнаружена одна из хакнутых машин с RA и полным набором флудпрограм, в данный моент пытаемся найти конфиги чтобы узнать какие именно айпи (или диапазоны) досились.

    Если у кого-то (или у знакомых) теже проблемы, может объединим усилия?

     
     
  • 2.3, schors (?), 10:33, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Да, скорее всего. У нас имеются материалы, говорящие о том, что в список атакуемых входили и другие сайты. Сейчас идёт активная переписка с http://www.famatech.com . Естественно, проводятся мероприятия по отслеживанию предполагаемого распространителя. Например, есть версия, что обновления троянов происходят автоматически, посредтсвом канала IRC.
     

  • 1.2, magopennet (?), 10:33, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну этого вообщето следовало ожидать, некоторое
    время назад пробегала ссылка, на изьян в MS линейке OS.
    В ссылке подробно описывалась возможность,
    без "root"-вых привилегий оперировать raw-socket'ом.
    А уж с помощью чего получили доступ на MS машинку
    это вторично.
     
  • 1.4, Swap (?), 10:49, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    самое интересное как мне кажется вот что:
    ресурсы флудятся случайным образом многими людьми поотдельности или какким-то образов выбрали именно данные сайты... надо найти что-либо общее и отталкиваться от этого.
     
  • 1.5, deepred (?), 10:59, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Caravan, кстати, не задели случаем?
     
     
  • 2.9, magopennet (?), 11:23, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Пока, бог миловал.
     
     
  • 3.10, stricty (?), 11:25, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж... Эти, видимо, вовремя камлание не заказали и обкуривали стойку не теми травами...
     

  • 1.6, deepred (?), 11:00, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А то похоже www.linuxnews.ru уже начал заваливаться...
     
  • 1.7, deepred (?), 11:01, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Warning: Unable to connect to PostgreSQL server: Sorry, too many clients already in /opt/http/linuxnews.ru/include/postgres_function.php on line 16

    Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 26

    Warning: Supplied argument is not a valid PostgreSQL result resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 51

    Warning: Supplied argument is not a valid PostgreSQL link resource in /opt/http/linuxnews.ru/include/postgres_function.php on line 21

     
     
  • 2.16, michelle (?), 12:15, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    12:14 Московского времени - сервер www.linuxnews.ru работет
     
     
  • 3.18, deepred (?), 12:46, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Я ведь не с потолка это взял Вот пример tracert ftp asplinux ru с одного из мои... большой текст свёрнут, показать
     
     
  • 4.20, magopennet (?), 13:08, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    ftp.asplinux.ru похоже на полке, его
    соседи таких задержек не испытывают, но все равно
    спасибо, чейчас проанализируем характер их трафика.
     

  • 1.8, stricty (?), 11:01, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я предлагаю начать ловить в своих сетях людей с IP 255 и смотреть откуда они эту мерзость взяли. Не вижу, зачем бы обычному человеку использовать IP 255.

    Windows must die! (c) ? *:)

     
  • 1.11, Swap (?), 11:25, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >А я предлагаю начать ловить в своих сетях людей >с IP 255 и смотреть откуда они эту мерзость >взяли. Не вижу, зачем бы обычному человеку >использовать IP 255.

    ты думаешь что на обычном айпи отличным от 255 этого гамна быть не может? что-то я сумлеваюсь....

     
     
  • 2.12, stricty (?), 11:39, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не понял. И невнимательно читал саму новость. Имелось ввиду - пакеты IP с кодом протокола 255. Такого нет, код зарезервирован. Судя по описанию - это подпись данной атаки.

    Надо понимать, что в этом случае IP:PROTO=255 используется атакующими для гарантированного ответа сервера, когда на нём запрещены входящие ICMP и все порты tcp и udp представляют собой "чёрные дыры". Чтобы не атаковать основным потоком пустоту.

     

  • 1.13, magopennet (?), 11:45, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, а Remote Admin, коллеги, может быть
    это не дыра, а последствия того, что человек
    который им пользуется подцепил черьвя MyDoom'овской серии с последующей
    "кражей" параметров доступа на Remote Admin?
     
     
  • 2.14, schors (?), 12:10, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть. Если бы не тот факт, что на некоторых машинах и firewall стоял, и антивирус Касперского и даже Нортоновский антивирус. Хотя, тоже не факт. Но уж очень характерно ОБЯЗАТЕЛЬНОЕ нахождение radmin'а.
     
     
  • 3.15, magopennet (?), 12:14, 20/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Может просто научиличь "pwl"-ку от RA клиента декриптовать?
    Я почему вспомнил о подобном трюке, у нас так
    несколько виртуальщиков начали спам рассылать - свиснули
    у них сохраненные на машине пароли (или с клавы соснифирили),
    выложи скриптик, списки и давай спамить.
    Блого вовремя заметили, перед тем как начать рубить шашкой
    клиентов.
     

  • 1.17, fREE (?), 12:39, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда  БЕЗ всякой авторизации попал на сервер!!!
    Это единичный случай - от которого я еще не отошел :-(((
     
     
  • 2.87, errr (?), 04:17, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    если устанвлена nt-аутентификация, то радмин сначала пытается отправить текущие логин и пароль, и если они совпадают с теми что на сервере, то больше вопросов и не задается ж)
     

  • 1.19, stricty (?), 12:55, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Понеслась тема!! *:)

    http://www.famatech.com/support/forum/read.php?FID=11&TID=5828

     
  • 1.21, Nick Scherbina (?), 13:58, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, об Radmin... Пароль храниться в ветке HKLM\SYSTEM\RAdmin\v2.0\server\parametrs\parametr

    Эта ветка по умолчанию никакими правами не урезается, сервис Remote Registry по умолчанию работает (кстати, некоторые вещи без этого сервиса не работают вобще в win32), так что цепляемсся к IPC$, обнуляем ключик реестра, пароль сбрасывается. Дальше объяснять?

     
     
  • 2.95, ssoodd (?), 13:36, 26/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    "...Эта ветка по умолчанию никакими правами не урезается.."
    Урезается. Смотри пермишены внимательно.
    А применительно к ситуации: радмин - да, а вот IPC# врядли кому в голову придет в мир выставлять...
     

  • 1.22, Maxim Chirkov (?), 15:11, 20/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заключение Famatech LLC по поводу возможной уязвимости Radmin:
      https://www.opennet.ru/opennews/art.shtml?num=3429

    В основную ветку новостей помещать не стал, так как не подпадает под тематику opennet.

     
  • 1.23, Аноним (23), 09:16, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Может кому это будет интересно: решив как-то на днях "зайти к себе на работу" используя RAdmin Viever 3.0 BETA (скачав и установив на чистую клиентскую машину) - я чуть со стула не упал когда  БЕЗ всякой авторизации попал на сервер!!!
    Это единичный случай - от которого я еще не отошел :-((("

    Не забывай блокировать консоль сервера просто :)

     
     
  • 2.24, Merlin (?), 13:31, 21/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    радмином можно не только доступ к экрану получить но и ко всем файлам. так что запароленная консоль на спасает.
     
  • 2.96, Ilia Demenkov (?), 15:44, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Значит, Вы смогли подключиться с правами текущего пользователя Это если на в уд... большой текст свёрнут, показать
     

  • 1.25, Аноним (23), 22:25, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В данное время такой флуд-атаке постоянно подвергаются следующие интернет ресурсы: masterhost.ru, peterhost.ru, cracklab.borda.ru, wzor.net,  reversing.net, wasm.ru.
    Есть мнение что это дело рук одного человека. Существует некая взаимосвязь между всеми этими атаками и неким молодым человеком из Эстонии.
     
  • 1.26, gonza (?), 22:59, 21/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как и чем, помогает человекам.. хостинг.. на уиндовсе?
     
  • 1.27, anest (?), 01:47, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скажите - а на ваших серверах которые счас досят - есть ФОРУМы ?
    вопрос важен так как если всё сойдется то я знаю кто устраивает эти атаки.
     
  • 1.29, a (?), 02:03, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Anest, причём здесь форумы, если DDOS'ят, например, peterhost то на нём куча сайтов хостится и почти у каждого свой форум. Мы все догадываемся чьи это проделки, на некоторых форумах он прямо написал что это придумал он, но как его достать?
     
  • 1.36, permont (?), 06:55, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Gospoda, prostite ne specialista. Kak ya ponyal iz obsujdeniya, ispolzowalsya protokol gruppi IP s nomerom 255. Dlya kakih libo shiroko izwestnih i primenyaemih celei on, na skolko ya mogu sudit, ne primenyaetsya. Pochemu nelzya nastroit filtraciju na routerah dlya podawleniya paketow dannogo protokola?
     
  • 1.37, Аноним (23), 12:56, 22/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >ходил он раньше с адреса эстонского кабельного провайдера (он у них один большой)
    что за глупость, их минимум 3, кто занимается кабельным инетом, а тот что самый большой вообще кабельным инетом не занимается.
     
     
  • 2.38, глупый (?), 17:52, 22/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >что за глупость, их минимум 3, кто занимается кабельным инетом, а тот
    >что самый большой вообще кабельным инетом не занимается.

    Говорить кому-то что тот глупый - это и есть настоящая глупость ;-)

     

  • 1.41, ЕА (?), 13:42, 23/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое страшное, то что "только начало" в заголовке вполне раально.

    Анонимность и безнаказанность - еще долго будут атрибутами интернета.
    Даже если появится законодательный базис.

    Мне не понятно, предположим, как законодательно воздействовать и доказать виновность преступника из какой нибудь африканской страны, организовавшего атаку через цепочку proxy на завирусенных машинах, причем все эти машиныы и атакуемый объект
    в разных странах. Не доросло еще международное право до этого. Еще страшнее, что особой квалификации для подобного скрытия следов не требуется.

    Проекты по введению сигнатуры личности отправителя в каждый пакет, вообще нелепость, такую сигнатуру подделать проще обычного IP.


     
     
  • 2.42, anest (?), 16:35, 23/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно что-то решится к лучшему с переходом (не за горами уже) на протокол TCP/IP v6. Думается что в нём учли ошибки/недочеты протоколов прошлого века.

     
     
  • 3.44, stricty (?), 16:46, 23/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Почитай спецификацию - увидишь... :(


     
     
  • 4.102, anest (?), 16:36, 28/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Ну v6 вроде еще в стадии "тестирования" так что думаю рано еще выводы делать.. хотя..
    вот что счас подумал - все только охают и ахают. а делать никто ничего не хочет. а кто нам мешает организовать открытый проект по устранению этих недочетов в протоколах например? ;) всё ведь в исходниках... повесить на сайт список недочетов (и желаемых фич) с возможностью добавления любым желающим пунктов в список. и подтянуть народ (а я думаю заинтерисованных найдется немало. в том числе и талантливых). и начать работать над этим списком. а когда будет результат - наверняка его уже не смогут проигнорировать те кто принимает решения наверху. ведь все будут только в выигрыше. и возможно что получится переход запланированный в будущем не на v.6 а сразу на "улучшенный 6.2" ;-) как вам идея?


     
     
  • 5.115, Gregory (?), 14:38, 13/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    To anest:

    v6 - dostatochno zrelii protocol s izvetnimi implementaciyami. S drugoi storoni sama architectura ineta (i IP protocola) predpolagaet raspredelennoe dvizheniye paketov. Esli vi pereidete k kontroliruemomu dvizheniyu paketov togda vsuy mirovuyu struktury seti pridetsya menyat' - zadacha myagko govorya slozhnaya.

    Na samom dele, ryad filtrov mozhet stoyat' na 'network access points' krupnih provider-ov obespechivayushih marshrutizaciyu setei. Krome togo, bolee bezopasniye OS-i s avtomaticheskoi proverkoi celostnosti, itd, sil'no umen'shat vozmozhnost' virusnogo zarazheniya.

    I, konec'no, zakonodatelno - sazhat' nado, chtobi nepovadno bilo.

    A vot protocol menyat' - I'm a pessimist.

     

  • 1.90, Maxim Chirkov (?), 10:45, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа, прошу вести линию обсуждения более цивилизованно и достойно.
    Не стоит отпускаться до призывов к самосуду, угроз, оскорблений и провоцирования продолжения DDoS атак.
     
  • 1.91, avial (?), 13:16, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм. А если без намеков - можно сказать, кто это?
    Или ссылку дать на форумы, где он "высказывался".
     
     
  • 2.93, fREE (?), 13:45, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.famatech.com/ru/support/forum/read.php?FID=13&TID=5805&MID=707
    Практически открытый шанаж/угроза в адрес www.famatech.com.
     

  • 1.92, kOSts (?), 20:06, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Subj конца замечательной программы Remote Administrator.
    Хотел я было поставить её, но теперь уж поставил Symantec. Я не агитирую, я призываю к осторожности.
    Надеюсь все поступят по совести...
    Можно конечно и хостинги поменять, но пока, тьфу тьфу трафик дышит.

    Наверно скоро к пассивной защите собственных ресурсов добавится и активная защита - извещение админов систем и/или полу-автоматический удалённый доступ с принудитеным отключением-лечением-форматированием.
    Кто за? Все!?
    Дело за малым - написать "лечащий" вирус...
    и сбросить в Spam сеть

     
  • 1.94, Евгений (?), 19:21, 25/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все конечно грустно... но наш проект все же уйдет от петерхоста...
     
  • 1.97, Артур Бойко (?), 18:31, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Здравствуйте !

    Хочу сообщить Вам всем что RAdmin одна из наиболее защищенных програм. В смысле попыток ее сломать. Аргументы : равботнички из фирм Касперского и Данилова уже 4 день не могут понять принцеп ее работы - и эти люди кричат на каждом углу о том что они вас зщищают. ПОЗОР !!!!!!!

    Подробности можно прочитать на forum.ru-board.com в разделе варез не покупайте их программы - они такие же лживые как и они !!!!!!!!!

     
  • 1.99, Аноним (23), 22:48, 27/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Артур Бойко
    Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
     
     
  • 2.100, helper (?), 23:00, 27/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    уже всё везде почистили :-)

    >Скажи где на forum.ru-board.com подробности читать поконкретнее. Рылся, рылся - не нашел
    >


     

  • 1.101, Артур Бойко (?), 12:18, 28/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В разделе варезник где про ВЗОР написано. Там есть ссылка на тему про этот разговор.
     
  • 1.104, Аноним (23), 23:33, 28/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Famatech Support по поводу откуда организованы DDoS-атаки на различные Российски... большой текст свёрнут, показать
     
  • 1.105, Аноним (23), 14:44, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не знаю как здесь вы смотрите на новые дыры и експолиты но пользователи моей сети уже довольно давно експлоят ремоут админ. Что самое интересно это второе что они ищут после мсбласта
     
  • 1.106, anonymous (?), 15:25, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "эксплойтят" каким образом ?? примеры атак пожалуйста, от простых слов уже все устали.
     
  • 1.107, Solo (?), 16:28, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    можно почитать форум на securitylab.ru

    ps. anest, глянь свой ПМ на ру-борде.

     
  • 1.108, Solo (?), 17:29, 01/03/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на securitylab.ru раньше видел сообщение о том, что во время перезагрузки компа можно получить беспарольный доступ к установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)

    А перегрузить машину можно этим:
    http://www.securitylab.ru/42787.html

     
     
  • 2.109, anonymous_from_reversing.net (?), 02:03, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Нуу, давайте по порядку Во-первых, Solo, ты предлагаешь использовать уязвимост... большой текст свёрнут, показать
     
     
  • 3.110, Solo (?), 11:08, 02/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Дело в том, что наш "герой", по-моему, не в состоянии затачивать эксплойты под свои задачи. А взять готовый, перегружающий машину - дело несложное. Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
    И я никогда не говорил, что доступ к радмину во времы перезагрузки - это баг радмина. Если он существует, то тут вина MS гораздо большая. Но в радмине это можно было бы подправить, чтоб баг винды на нем не сказывался...
    Вообще - все это предположения. Я никогда не видел/не юзал радмина, и не видел логов атакованых машин...
    А не флеймить - скучно :)
    Но можно и молчать, делая вид, что ничего не происходит :) ...
     
     
  • 4.113, eof (?), 18:27, 06/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Sorry for my translit..

    Solo wrote:
    ---
    Кроме того, рут шелл на юниксе - это да, это рут шелл, а под виндой? Вот как раз радмин - и есть тот шелл, что под виндой дает все права.
    ---

    'root shell' pod win - eto "cmd.exe" s visokimi pravami(dopustim, posle uspeshnogo exploit'inga kakogo-nibud' uyazvimogo servisa s visokimi pravami(admin priv, SYSTEM priv...etc)), zabindenniy na opredelenniy port(naprimer, 12345). Na kotoriy mi mojem pri'telnetitsya i poluchit' polniy control nad masninoy:

    telnet xxx.xxx.xxx.xxx 12345
    Microsoft Windows 2000 [Version 5.00.2195]
    (C) Copyright 1985-2000 Microsoft Corp.
    C:\>

     
  • 2.111, Ilia Demenkov (?), 12:33, 05/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >на securitylab.ru раньше видел сообщение о том, что во время
    >перезагрузки компа можно получить беспарольный доступ к
    >установленному radmin - проверить это легко. (АУ, Илья! Как проверка?)

    Проверили. Пока что ни разу не подтвердилось. Во время shutdown'а удалённого сервера установленный на нём Радмин по-прежнему спрашивает login/password/domain, при вводе неправильных - говорит "User does not have rights for this connection mode" (если до того, как юзер разлогонен) либо "Bad password" (если после того, как юзер разлогонен). Хотелось бы более подробного описания методики обхода авторизации на адрес support@famatech.com. Кому-нибудь удавалось добиться воспроизведения ошибки?

    С уважением,
    Илья Деменков, служба технической поддержки Famatech (support@famatech.com).

     
     
  • 3.112, Solo (?), 23:05, 05/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    насколько я помню, там еще НТауторити должна быть включена в настройках радмина...
     
     
  • 4.114, Ilia Demenkov (?), 19:54, 07/03/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется, она была включена.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру