От вам суперзащищенная система (ПиАр, конечно, хорошо, но......)

[Alejandro]

Взято здесь: http://www.zdnet.ru/?ID=477485
---------------------------------------------------------
Бот-сети опираются на Windows


Дэн Айлетт (Dan Ilett), ZDNet UK


17 марта, 2005, 14:49

Несмотря на взятый Microsoft курс на повышение безопасности, недавнее исследование показывает, что подавляющее большинство компьютеров, образующих бот-сети, это машины Windows XP и 2000.


Исследование, выполненное немецкой организацией Honeynet Project, обнаружило, что свыше 80% веб-трафика, источником которого служат сети из взломанных компьютеров, проходит через четыре порта, предназначенных для обмена ресурсами между разными версиями Windows. Оно показало также, что уязвимости, которые некоторые эксплойты используют для взлома ПК, можно обнаружить методом поиска информации в секьюрити-бюллетенях Microsoft.

«Большая часть активности на этих портах, безусловно, вызвана системами с Windows XP (часто с установленным Service Pack 1), а на втором месте стоят системы Windows 2000. За ними с большим отставанием следуют системы Windows 2003 или Windows 95/98», — говорится в отчете Honeynet Project.

Microsoft ответила на это, в очередной раз повторив, что она стремится обеспечить безопасность платформ перед лицом атак со стороны бот-сетей, за которыми часто стоят преступные группы. «Создание ИТ-угроз и кража данных является уголовным преступлением, которое затрагивает всех. Этот тип преступной деятельности обычно имеет финансовую мотивацию, и преступники часто нацеливаются на платформу Microsoft и ее приложения ввиду обширной клиентской базы, — говорится в заявлении компании. — Однако это серьезная проблема для всей отрасли, и ни одна организация не застрахована от данной угрозы».

Наиболее интенсивно эксплуатируемыми портами Windows, согласно исследованию, являются порты 445/TCP (используется для обмена файлами); 139/TCP (используется для подключения к машине с целью обмена файлами); 137/UDP (используется для поиска информации на других компьютерах) и 135/TCP (используется для дистанционного исполнения кода).

Бот-сети обычно применяются для атак на отказ в обслуживании (denial-of-service), когда целевой компьютер перегружается данными и перестает работать. Кроме этого, они применяются для распространения спама, шпионского ПО, манипуляции онлайновыми опросами и массовой кражи идентификационных данных.

С начала ноября 2004 года по конец января 2005 года исследователи наблюдали 226 атак denial-of-service, направленных против 99 разных целей. Наблюдая за 100 бот-сетями в продолжение четырех месяцев, они зафиксировали 226 585 IP-адресов, участвовавших по крайней мере в одной из наблюдаемых бот-сетей.

[zenwolf]

уу ,что-то у меня smurf.c запылился :megalol:

[ddc]

правда в статье говорится про уезвимости, которые должен прикрывать файервол из SP2... Кстати, и Microsoft на эту тему недавно распространялась. Вообще, этот материал стимулирует у пользователей Windows желание перейти на WinXPSP2...

[xorader]

SP2 лесом.... куча игрушек не запускаються с SP2 - а у меня вин только для них и поставлен на большее он не годен в результате

[Golden]

SP2 лесом.... куча игрушек не запускаються с SP2 - а у меня вин только для них и поставлен на большее он не годен в результате

↑

Ежели только для игрушек - отключи поддержку сетки и пошли SP2 лесом

[ddc]

Для Golden:
Если только для игрушек, устанавливаем Windows 98 SE, отключаем лишние устройства, после чего играем. А лучше играть под Linux.

[t.t]

Ежели только для игрушек - отключи поддержку сетки и пошли SP2 лесом

↑

Ага. А мне вот, я чувствую, придётся слать SP2 лесом именно чтобы включить поддержку сетки. Не работает сеть в нём, хоть ты тресни, я уже и своих админов, и поддержку на уши поставил.

[Sparky]

А у меня с SP2 все нормально работает... и сеть и игрушки, правда может я мало какие игрушки запускал, но все же

[Topper]

А у меня с SP2 все нормально работает... и сеть и игрушки, правда может я мало какие игрушки запускал, но все же

↑

полностью поддерживаю.

[Alejandro]

А мне вот, я чувствую, придётся слать SP2 лесом именно чтобы включить поддержку сетки. Не работает сеть в нём, хоть ты тресни, я уже и своих админов, и поддержку на уши поставил.

Не сочти за наезд, но у тебя админы полные лохи и, по всей вероятности, ты тоже досконально винду не знаешь. Только, плз, без обид. Просто когда я слышу подобные заявления, то вижу, что человек о работе с сетевыми ресурсами винды знаком весьма поверхностно. Все прекрасно работает, даже более того - вполне сносно выполняет свои функции, до определенного момента, ибо встроенный файрвол ХР2 весьма и весьма далек от совершенства. Так что не надо очередной раз наезжать на творение великой и могучей - сие приводит только к флейму Настройка там, конечно, мама не горюй. Но все игрущки запускаются на ура, сеть работает без проблем и т.д. Проблемы могут возникнуть с WinXP Home Edition, потому как сия версия весьма хорошо покоцана.

[WeX]

Постоянно на монигих форумах слышу то что у народа чёто неработает под SP2 - имелся вввиду некоторый софт. Проблема лечилась банально догонкой софта да ласт версий ( и то некоторые лишь софтины ), а вот то что там игрухи не пашут или сеть, это уже что-то новое. Игры там работают довольно неплохо, да и сеть там работает неплохо ( конечно если не учитывать то что ими реализованная передача файлов через netbios отжирает львиную долю систем ресов... ), но для полного комфорта надо нах отрубить стандартный фаер и поставить какойлибо другой.

P.S. Ну естесвенно *nix рулит и т.д. а то щас начунт закидывать религиозные фанатики.... =)

PP.SS. А про то что Вин самая дырявая ОСь давно известно, хотя и Лин меня последнее время не радует - в месяц минимум одна уязвимоть типа Bufer Owerflow в ядре Linux <_<

[valeri_ufo]

... Лин меня последнее время не радует - в месяц минимум одна уязвимоть ...

самое главное фиксят ли эту уязвимость сразу или тебе пол года ждать пока патч выпустят который ты непонятно от куда скачать должен

[t.t]

А мне вот, я чувствую, придётся слать SP2 лесом именно чтобы включить поддержку сетки. Не работает сеть в нём, хоть ты тресни, я уже и своих админов, и поддержку на уши поставил.

Не сочти за наезд, но у тебя админы полные лохи и, по всей вероятности, ты тоже досконально винду не знаешь. Только, плз, без обид. Просто когда я слышу подобные заявления, то вижу, что человек о работе с сетевыми ресурсами винды знаком весьма поверхностно. Все прекрасно работает, даже более того - вполне сносно выполняет свои функции, до определенного момента, ибо встроенный файрвол ХР2 весьма и весьма далек от совершенства. Так что не надо очередной раз наезжать на творение великой и могучей - сие приводит только к флейму Настройка там, конечно, мама не горюй. Но все игрущки запускаются на ура, сеть работает без проблем и т.д. Проблемы могут возникнуть с WinXP Home Edition, потому как сия версия весьма хорошо покоцана.

↑

За наезд? Да ни в коем разе. Где я тут (или не тут) хоть раз, что я винду досконально знаю? Да я её ваабще не знаю. За админов не скажу, но может ты сам мне тогда объяснишь, в чём проблема? Я ведь, собственно, вот тут проблему описывал. В дебиане всё нормально; когда та же машина с той же сетевой (но другой виндой) стояла на работе, тоже никаких проблем не было. А что sp2 виноват -- меня прошу не пинать, это не я придумал.

[Alejandro]

За наезд? Да ни в коем разе. Где я тут (или не тут) хоть раз, что я винду досконально знаю? Да я её ваабще не знаю. За админов не скажу, но может ты сам мне тогда объяснишь, в чём проблема? Я ведь, собственно, вот тут проблему описывал. В дебиане всё нормально; когда та же машина с той же сетевой (но другой виндой) стояла на работе, тоже никаких проблем не было. А что sp2 виноват -- меня прошу не пинать, это не я придумал.

↑

Ну тут дело как раз в железе, а именно - в драйверах сетевухи. Лечится так:
Пуск -> Мой компьютер (жмакаем правую кнопку мыши) -> Свойства -> Оборудование -> Диспетчер устройств.
Выбираем сетевую карту, долбаем по ней 2 раза мышом, открываем в свойствах вкладку "Драйвер" и либо обновляем оный, либо переустанавливаем. Вот и все.

[WeX]

самое главное фиксят ли эту уязвимость сразу или тебе пол года ждать пока патч выпустят который ты непонятно от куда скачать должен

Очень уж убыточно пересобирать постонянно ядро на сервере! Я в этом плане не выступаю за то что Windows мега секюрная система, я хочу сказать то что у линуха тоже не всё уж и хорошо. В плане безопастности мне нравятся *BSD системы, а именно OpenBSD & FreeBSD - в этих системах что-то больно редко слышно о такого рода уязвимостях, а посему не так часто приходится чтолибо персобирать в системе, что очень критично на сервере.

[alv]

А мне вот, я чувствую, придётся слать SP2 лесом именно чтобы включить поддержку сетки. Не работает сеть в нём, хоть ты тресни, я уже и своих админов, и поддержку на уши поставил.

Не сочти за наезд, но у тебя админы полные лохи и, по всей вероятности, ты тоже досконально винду не знаешь.

↑

Саня, ну ты в этом посте дал стране угля...
Что это, блин, за система для конечного пользователя, которая для включения тривиальных вещей требует от него _досконального_ ее знания? И даже от админов - я уверен, раз они еще не вылетели в трубу, то не такие уж они полные лохи.

Для сравнения: я, скажем, линукс (или там BSD) досконально (сиречь "внутре", как ты - юникс или ту же винду) не знаю. А в сетях и тому подобных материях вообще ни бельмеса не смыслю. Тем не менее, настроить соединению любого типа (при стандартных условиях и поддерживаемом железе) смогу, навреное, в любой системе. И пример t.t (2 t.t насколько я понимаю, твоя сетевая квалификация близка моей?) показывает, что и он в линуксе ни с какими проблемами не столкнулся. Так может, все-таки в консерватории что-то не так?

И кстати, если уж так припрет и потребуется именно доскональное ("унутреннее") знание юникса - я отлично представляю, где почитать про какие-нибудь сокеты или пайпы. А вот откедова берутся доскональные знания винды - тайна сия велика есть. Опять же пример моего товарища - ему для досконального (именно так) зания винды потребовалось три погонных метра всяких книжек почитать - и потом не раз перечитать. А большинство раз прочитанных книжек по юниксу у меня который год на полке пылится - необходимость повторного обращения к ним возникает очень редко. Разве что Вахалию за обедом почитать - но это вместо хорошего романа:-))

[Jules]

Ответить хочется сразу и всем...

SP2 - не помеха играм. Ставь dosbox и играйся хоть в тетрис, хоть в Star Control 2.

Уязвимость - это проблема админа, а не оси. Если у чела кривые руки, то он и OpenBSD сделает уязвимой.

Ядро системы не нужно пересобирать 300 раз по дню, стараясь воткнуть в него все компоненты. Модули для того и придумали, чтобы система была гибкой.

А вообще, лозунг information must be free давно перестал себя оправдывать, потому что 90% посещающих этот форум документауию не читают. Они бродят по форумам, звонят знающим товарищам и наседают в аськах. А прочитать документацию для них - тяжкий труд.

[WeX]

Уязвимость - это проблема админа, а не оси. Если у чела кривые руки, то он и OpenBSD сделает уязвимой.

Не надо уводить тему совсем в лес. Имется в виду например уязвимсть системы например по умолчальной конфигурации. В томже OpenBSD по умолчальной конфигурации ( ровно как и в FreeBSD ) , уязвимостей не замечается ( имеются ввиду последние дистры ), а взять туже например M$ XP SP 2, то там уже есть уязвимости переполнения буфера. Вы щас будете говорить - да там защита от выполнения кода в стеке, на что вы получите ответ то, что эта защита обходится и этот самый код спокойно выполняется =) А вот ситуация например в томже Linux - эти постоянно находящиеся уязвимости постоянно добавляют шансов системе то что её взломают. Вот какраз дабы избежать этого после каждой уязвимости приходится рекомпайлить ядро. Некоторые из вас могут мне сказать - "Существуют системы защиты от выполнения кода в стеке", на что я вам опятьже отвечу, с каждым днём находятся пути обхода этих систем, и код опятьже выполняется. Так что я например предпочту спокойне жить держать критические объекты под FreeBSD ( или тотже Solaris ) чем под Linux.

P.S. Основная идея этого поста показать то что шансы быть взломанной систему под Linux гораздо больше чем у техже *BSD систем!

[Jules]

для начала пробуем Slackware 10.0.1 в дефолтной полной установке.

PS. Так этот форум пропаганда BSD?




Jules добавил в 20.03.2005 10:25

Кстати, дистрибутивы тоже люди собирают. Опять же проблема админов.

[Alejandro]

Саня, ну ты в этом посте дал стране угля...
Что это, блин, за система для конечного пользователя, которая для включения тривиальных вещей требует от него _досконального_ ее знания? И даже от админов - я уверен, раз они еще не вылетели в трубу, то не такие уж они полные лохи.

Леха. Первый принцип работы с чем либо - это изучение того, с чем работаешь, аль нет? Я и не говорю о том, чтобы конечный пользователь знал построение ядра операционнки и хренову тучу библиотек API, но перед тем, как что-то ставить, неплохо было бы почитать, ХОТЯ БЫ, файл README. Могу уверить - найдется много интересного, а не сразу, сломя голову, тыкать мышой на setup.exe. И если уж пользователь начинает лезть в вещи далеко не для конечного пользователя, а настройка сети и системных ресурсов именно к оным и относится, то и требования к такому пользователю будут несколько выше
Насчет не вылетевших в трубу админов: да на сегодняшний момент на фирмах в 95% случаев работают кустари-самоучки, имеющие весьма поверхностное впечатление о том, что они делают, но замечательно пускающих пыль в глаза начальству о своей немерянной крутости. Причем такое сплошь и рядом происходит в крупных программерских конторах весьма известных (в привате могу рассказать о многих презабавнейших случаях, чтобы здесь не афишировать названия контор, дабы проблем у админов форума не было с разборками), не говоря уже о торговых конторках. Причем, например, кто сейчас себя называет программистом? Научился чел, понимаешь, мышой в дельфях двигать - о ужо кульный хацкер, а потом всю дорогу пытается найти компонент TProgrammer, млин; далее 1С считатели, бэйсико-мордо-ваятели на уровне простейших операций и т.п. И все это называется программист, системный администратор. Отсюда и начинаются мерянья пиписками на тему у кого иконки на экране круче и т.п.

Для сравнения: я, скажем, линукс (или там BSD) досконально (сиречь "внутре", как ты - юникс или ту же винду) не знаю. А в сетях и тому подобных материях вообще ни бельмеса не смыслю. Тем не менее, настроить соединению любого типа (при стандартных условиях и поддерживаемом железе) смогу, навреное, в любой системе. И пример t.t (2 t.t насколько я понимаю, твоя сетевая квалификация близка моей?) показывает, что и он в линуксе ни с какими проблемами не столкнулся. Так может, все-таки в консерватории что-то не так?

Насчет проблемы и ее решения я уже выше говорил.

И кстати, если уж так припрет и потребуется именно доскональное ("унутреннее") знание юникса - я отлично представляю, где почитать про какие-нибудь сокеты или пайпы. А вот откедова берутся доскональные знания винды - тайна сия велика есть.

Леха, извини, но мал маля перегнул Количество мануалов, литературы, форумов, факов и т.д. и.т.п. по винде превосходит все мыслимые и немыслимые пределы. Надо просто уметь воспользоваться необходимой информацией. Для уверенного использования WinXP, например, вполне достаточно изучить книгу Владислава Карпюка "MS Windows XP Professional Опыт сдачи сертификационного экзамена 70-270" - фактически универсальный справочник на все случаи жизни. Ко всему, например, есть сертифицированные курсы M$, причем даже дистанционные - главное желание научиться.

Опять же пример моего товарища - ему для досконального (именно так) зания винды потребовалось три погонных метра всяких книжек почитать - и потом не раз перечитать. А большинство раз прочитанных книжек по юниксу у меня который год на полке пылится - необходимость повторного обращения к ним возникает очень редко. Разве что Вахалию за обедом почитать - но это вместо хорошего романа:-))

А от тут ты уже стране угля дал Вахалия - и как роман. Я чуть со стула не рухнул.
Чтобы юникс изучить досконально потребуется столько же погонных метров книжек. Эт я те точно грю, ибо сам через всю эту шнягу прошел., да и до сих пор ишшо совершенствуюсь

[alv]

2Alejandro
Мы с тобой начинаем говорить о разных вещах.
Настройка сети в индивидуальном масштабе нынче - операция тривиальная (или по крайней мере, должна ею быть) - это стандартная функция любой операционки, претендующей на всамделишность. Речь ведь не идет о сети масштаба предприятия. И любой юникс-юзер с ней обычно справляется легко:-)). "Доскональное знание" от него потребуется только в том случае, если он возжаждет, например, написать модуль для своей неподдерживаемой сетевой карты.

Виндовс-юзер с поддержкой сети обычно также справляется:-)) Однако если нет (по независящим от него причинам, и скорее всего непонятным) - тут-то ему действительно потребуются доскональные знания. А не обещал ли нам товарищ Билли избавление от всяких знаний вообще? И про необходимость чтения файла README при установке виндов никто не напоминает, как раз наоборот - откинься на спинку кресла и жди, пока все само собой сделается:-)))

[WeX]

О секюрности самого дистра ( по части того что слака секюрный дистр даже спорить не стану), я ничего не говорю. Я говорю про само ядро!

для начала пробуем Slackware 10.0.1 в дефолтной полной установке.

Начнём с того что не 10.0.1 , а 10.1 ( неверующим топать на slackware.com ). Между прочем в фулл инстале инсталится куча ненужных сервисов, которые могут быть потенциально использовано для нанесения вреда системе злоумышленником ( пример тому тотже X-Server ). А на серваке фулл инсталл вообще никчему. То что на десктопе можно спокойно сидетьи патчить кернел я даже спорить не стану, а вот на сервере это проблематично. Поэтому я говорю то что на сервере должно быть что-то более стабильное ( в плане безопастности, да и вообще ). На сервере просто все эти баги слишком уж критичны. И никакой пропаганды *BSD систем здесь нет. Просто я выражаю своё мнение, то что их никсовых систем на десктоп можно без роблем поставить Linux, а вот на сервер я ещё подумаю ( во всяком случае я так не рискую =) ). Если проблема с этими уязвимостями постоянно появляющимися решится, я буду только рад - это напрямую повлияет на продажу Linux серверов.

P.S. Всё вышесказаное моё ИМХО.

[t.t]

Ну тут дело как раз в железе, а именно - в драйверах сетевухи. Лечится так:
Пуск -> Мой компьютер (жмакаем правую кнопку мыши) -> Свойства -> Оборудование -> Диспетчер устройств.
Выбираем сетевую карту, долбаем по ней 2 раза мышом, открываем в свойствах вкладку "Драйвер" и либо обновляем оный, либо переустанавливаем. Вот и все.

↑

Учитывая, что я винды не переставлял с нуля, а репейрил, почему тогда раньше всё работало? И ещё объясни тогда, почему через USB та же бодяга? Тут-то уж дровишки сетевой ни при чём.

И если уж пользователь начинает лезть в вещи далеко не для конечного пользователя, а настройка сети и системных ресурсов именно к оным и относится, то и требования к такому пользователю будут несколько выше

↑

Извини, но тут ты чушь спорол; сеть -- это именно для пользователя. Или каждый теперь должон домой админа вызывать, чтобы в инет попасть?

[Alejandro]

Учитывая, что я винды не переставлял с нуля, а репейрил, почему тогда раньше всё работало? И ещё объясни тогда, почему через USB та же бодяга? Тут-то уж дровишки сетевой ни при чём.

Я без понятия как ты там чего ставил, а из твоего описания вообще нифига ничего не понятно, но попробую дать несколько советов:
1. Если ты дублируешь систему, то, перед переносом системы:
а) убедись, что конфигурация железа на обеих компах АБСОЛЮТНО идентична
B) воспользуйся утилитой Sysprep.exe, иначе сеть работать просто не будет по причине того, что на двух компах может оказаться одинаковое значение уникального кода безопасности SID, что в виндовс-сетях просто недопустимо
с) основной и конечный компьютеры должны иметь совместимые файлы уровня аппаратных абстракций (HAL, Hardware Abstraction Layer)
d) объем винта на конечном компе должен быть НЕ МЕНЬШЕ объема на основном компе.
2. Если система восстанавливалась после сбоя, то посмотри в журналы:
%windir%\repair\setup.log
%windir%\debug\netsetup.log
%windir%\comsetup.log
%windir%\setuperr.log
%windir%\setupact.log
3. Протестировать установку и работу можно следующим образом.
a) Воспользоваться из командной строки (Пуск -> Выполнить -> cmd.exe) утилитами sfc (проверяет системные файлы), verifer (проверяет драйвера), sigverif (проверяет подписи файла).
B) При обнаружении "неправильного" драйвера системой, тебя может хватануть удар , потому как она напрочь откажется работать. Дело сие поправие - достаточно в начале загрузки жмакать < F8 >, затем, загрузившись, в командной строке набрать verifer /reset и будет тебе счатье
c) Вполне вероятно, что ты получишь туеву хучу ошибок со странными кодами. Их расшифровку можно посмотреть на мелкософтовском сайте, в статье №315252 базы знаний (Knowgledge Base).

Исправляй ошибки, и в путь

[quest]

Я от нечего делать решил проверить свои компы на дырявость nmap-ом
1 Win2000proSP4

Код: Выделить всё

nmap -sT -PT 10.1.1.4
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-03-22 00:28 MSK
WARNING:  We could not determine for sure which interface to use, so we are guessing 127.0.0.1 .  If this is wrong, use -S <my_IP_address>.
Strange read error from 10.1.1.4 (104): Operation now in progress
Interesting ports on 10.1.1.4:
(The 1654 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
1026/tcp open  LSA-or-nterm
1083/tcp open  ansoft-lm-1
1723/tcp open  pptp
2020/tcp open  xinupageserver
3306/tcp open  mysql

Nmap run completed -- 1 IP address (1 host up) scanned in 0.610 seconds

Это при отключенном файрволе Panda Antivirus Platinum 7.07.02. Когда я эту панду включаю, она закрывает ВСЁ и сообщает "Блокирована попытка вторжения! Вид атаки-сканирование портов." Так сто без стороннего софта винда -решето.

Теперь FreeBSD 5.3

Код: Выделить всё

nmap -sT -PT 192.168.0.2
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-03-22 00:44 MSK
WARNING:  We could not determine for sure which interface to use, so we are guessing 127.0.0.1 .  If this is wrong, use -S <my_IP_address>.
Interesting ports on 192.168.0.2:
(The 1661 ports scanned but not shown below are in state: closed)
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh

Nmap run completed -- 1 IP address (1 host up) scanned in 22.416 seconds

И кто где видит дырки? Ось свежеустановленная, не сделано никаких настроек, только включил ftp.

SlackWare 10.1 сканировал сам себя

Код: Выделить всё

nmap -sT -PT 10.1.1.22
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-03-22 00:49 MSK
WARNING:  We could not determine for sure which interface to use, so we are guessing 127.0.0.1 .  If this is wrong, use -S <my_IP_address>.
Interesting ports on 10.1.1.22:
(The 1659 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
22/tcp  open  ssh
37/tcp  open  time
113/tcp open  auth
631/tcp open  ipp

Nmap run completed -- 1 IP address (1 host up) scanned in 0.542 seconds

Тут чего-й непонятно, надо будет посмотреть, что это за порты открыты.

ХР и других мелкомягких под рукой нет, а ставить их влом.

[xorader]

113/tcp open auth --- ident демон.. оставь. Многие демоны автоматически пытаются стучаться к клиенту на этот порт, когда клиент коннектится (ircd, pop3, ....)
631/tcp open ipp --- принтер
37/tcp open time -- ntp (time server)

А, вообще: lsof -i