Тема: ОТЛИЧНАЯ СТАТЬЯ - "Как заметать следы"
Показать сообщение отдельно

  #7  
Старый 07.02.2005, 12:42
foreva
Участник форума
Регистрация: 05.02.2005
Сообщений: 121
Провел на форуме:
0

Репутация: 10
Отправить сообщение для foreva с помощью ICQ
По умолчанию
Компьютеры с медленным процессором, но с высокоскоростными жесткими дисками лучше подходят для атак “по словарю”, тогда как компьютеры с быстрым процессором, но “слабым” диском лучше использовать для атак “грубой силой”.
Далее я приведу список утилит для взлома паролей Windows:
Утилита
Автор
Среда компиляции
Комментарии
c50a-nt-0.20.tgz
Боб Тинсли (Bob Tinsley)
Unix
Взломщик “по словарю”, часть взломщика Алека Муффетта (Alec Muffett) версии 5.0 для Unix
lc201exe.zip
Мужд (Mudge) и Уелд Понд (Weld Pond) из группы “L0pht”
Unix, включая версии под GUI NT и DOS
Лучший продукт в своей области, включает в себя быстрый взломщик “грубой силой”, может использовать словарь. Доступны исходники утилит
NTCrack.tar.gz
Джонатан Уилкинс (Jonathan Wilkins)
Unix, включая версию под NT
Взломщик “атакой по словарю”
Если вы взломали систему, не оставляйте где-либо набор использованных утилит! Лучше попытайтесь поставить несколько “черных входов”, схожих с “ping”, “quota” или “login”, и используйте “fix” для коррекции параметров “atime” и “mtime” в файле, если нет другой возможности.
В Windows-системах обычно для постановки “backdoor” и автоматического запуска при старте системы внедряют “троянец” и модифицируют код “Internat.exe” — индикатора-клавиатуры или реже “Systray” — утилиты управления питанием. Если применена не стандартная “программная закладка” (вроде “Back Orifice” или “NetBus”), а утилита, разработанная самостоятельно, то вероятность ее обнаружения стандартными антивирусными пакетами сводится практически к нулю. Для противодействия здесь необходимо использовать дисковые ревизоры, подсчитывающие контрольные суммы, такие как “инспектор” AVP Никишина из пакета Касперского или Adinf Мостового. Об этом пойдет речь в следующих статьях, отмечу, что при грамотном применении для большинства хакеров эти ревизоры становятся непреодолимым или труднопреодолимым препятствием.
www.geocities.com/werebad/
Источник: http://www.nestor.minsk.by/kg/
Источник: http://www.izcity.com/

Как заметать следы-5
“Десять лет я не мог найти дорогу назад, а теперь позабыл, откуда пришел”.
Мое любимое чаньское изречение.
Раздел IV — продвинутые техники
1. Предисловие
Как только вы пустили свой первый перехватчик пакетов и приступили к взломам в глобальных сетях, вы должны научиться этим приемам и проводить эти проверки.
Применяйте изложенные здесь советы, — иначе ваша деятельность быстро закончится.
2. Предотвращение любых трассировок
Временами ваши взломы не останутся незамеченными. На самом деле, проблема не в этом, какие-то сайты “повалятся”, но сколько еще предстоит преодолеть. Самое опасное, когда они попытаются проследить вас до местонахождения, далее иметь дело с вами — арестовать вас!
В этой короткой главе будет рассказано о каждой возможности для них вас отследить и о ваших возможностях это предотвратить.
Обычно администратор без проблем определяет систему, откуда пришел хакер: проверяя записи в журналах (особенно, если хакер на деле “ламер”), просматривая выходные данные перехватчика пакетов, который инсталлировал взломщик, — в них будет информация и о нем тоже, используя любые утилиты для аудита, такие как “loginlog”, просто просматривая все установленные соединения с помощью “netstat”, если хакер сейчас в on-line — подумайте, что они там обнаружат!
Вот почему вам необходим шлюзовой сервер.
Шлюзовой сервер как посредник — что это такое?
Это один из многочисленных серверов, где у вас заведены учетные записи, являющийся обыкновенной системой, к которой получен “корневой” доступ. Доступ к “корню” необходим для изменения файлов “WTMP” и “LASTLOG”, возможно для поверхностного аудита журналов и не для чего более. Следует на постоянной основе менять шлюзовые серверы, например, через каждую одну-две недели, и не использовать их повторно, по меньшей мере, месяц. При такой вашей линии поведения маловероятно, что они отследят ваш маршрут к самому началу или хотя бы до следующей точки подключения.
Сервер, с которого вы атакуете, — основа для всей активности. С этого сервера и начинается хэк. Подключитесь по “telnet” (или лучше по “remsh/rsh”) к машине, которая будет шлюзом, и затем — к цели для атаки. Вам снова понадобится доступ на уровне “корня” для изменения журналов протоколирования. Следует менять ваш атакующий сервер каждые две-четыре недели.
Ваш опорный dialup-сервер — это самая критическая точка. Как только единожды будет отслежен маршрут к вашей dialup-машине — вы погибли. Звонок в полицию, трассировка линии — и ваша хакерская деятельность уже вошла в историю, как, возможно, и остаток ваших дней.
У вас нет необходимости в корневом доступе к опорному компьютеру. Так как подключение к нему идет только через модем, то нет журналов регистрации активности, которые необходимо изменять. Следует только для входа в систему каждый день использовать разные учетные записи и пытаться входить по редко используемым.
И ни в коем случае ничего не изменяйте в системе!
Заведите себе, как минимум, два опорных хоста, через которые вы подключаетесь по “dialup”, и меняйте их каждые один-два месяца.
В простых случаях в Интернет для сокрытия своего реального IP-адреса (и местонахождения соответственно) чаще всего применяют прокси-серверы сторонних провайдеров.
Proxy-серверы
Прокси-сервер (“proxy” — дословно с английского: “заместитель”, “доверенный агент”) — это сервер, который часто называют шлюзом прикладного уровня, выступающий посредником между компьютерными системами и устанавливающий соединение между реальным клиентом и необходимым узлом.
Практически каждый И-нет провайдер создает для своих пользователей собственный прокси-сервер, который выступает в роли “кэша”, ускоряющего доступ и загрузку. Хотя многие провайдеры, имеющие прокси-сервера, закрывают к ним публичный доступ, некоторые могут быть общедоступными для всех или почти всех. Не всякий провайдер захочет, чтобы его прокси пользовались сторонние, им неавторизованные пользователи. Но это вопрос больше этический.
Прокси бывают непрозрачными (анонимными), которые можно использовать для обеспечения приватности и ускорения работы в Интернет. Большинство прокси-серверов не обрезают “Cookies”, не модифицируют (скрывают) поле “User-Agent”, идентифицирующее браузер, а только заменяют IP-адрес реального клиента на свой собственный, что, тем не менее, позволяет скрыть свое истинное местонахождение. Большинство сторонних прокси прозрачны (не анонимны), т.е. добавляют к запросу поле, содержащее реальный IP-адрес. Их можно применять, например, для подключения к почтовым серверам с Web-интерфейсом с целью подмены своего IP, но нельзя использовать для сокрытия местонахождения на серьезном уровне (возможно раскрытие самого факта применения прокси и получение реального адреса). Тем не менее, их также используют для ускорения соединений. Прокси-серверы при необходимости тестируют на анонимность.
Прокси-сервер может иметь ограничения по географическому признаку (точнее, по IP-адресам пользователей). Другими словами, не будет пускать пользователей определенных доменов. Это может быть связано с конъюнктурными соображениями конкретного провайдера, закрывающего доступ пользователей своего конкурента или по политическим мотивам бойкотирующего определенную страну или целый регион. Кстати, это хорошо просматривается для Беларуси. Не стану вдаваться в политику, каждый ответит сам на вопрос, почему это так, но по своему опыту я сужу, что под “российским флагом” меня “принимали в гости” охотнее, и тем более я был “свой среди своих” с английским или американским IP. Это можно обойти, подключившись сначала к провайдеру с нейтральной географической принадлежностью (к туркам, корейцам или финнам) и “прорубив окно в Европу”, далее переподключиться к нужному серверу. Не всякий прокси пустит — посему поможет терпение и перебор вариантов “методом тыка”.
Случается, что прокси закрывает доступ к определенным сайтам или определенному содержимому. Другими словами, на “Yahoo” — пожалуйста, а в “Мафию” — нет. Об этом тоже следует помнить, “заготавливая впрок” десяток-другой проксей, тестируя их на проходимость.
Браузеры
Современные браузеры имеют встроенную поддержку прокси.
В Internet Explorer 4.x для этого следует пройти по пунктам меню “View\ Internet Options...”, далее страница блокнота “Connection”. На групповой панели “Proxy server” пометить флажок “Access the Internet using proxy server” и в окнах редактирования “Address:” и “Port:” выставить нужные параметры. Для конфигурации прокси для каждого протокола в отдельности или блокировки его использования для некоторых адресов (“Do not use proxy server for addresses beginning with:”), по нажатии кнопки “Advanced...”, доступен диалог точных настроек. Иногда провайдер предоставляет адрес для автоматической конфигурации браузера. Эта опция доступна на той же странице блокнота на групповой панели “Automatic configuration” по нажатии кнопки “Configure...”. После введения URL — кнопка “Refresh” или перезапуск браузера. Для справки: такую возможность я видел только в прокси-серверах арабских стран.
В Netscape Navigator 4.x для этих целей следует пройти по пунктам меню “Edit\ Preferences...”, далее узел дерева “Advanced”, ветка “Proxies”. После активизации ветки “Proxies” появляется группа переключателей, где выбор опции “Manual proxy configuration” дает доступ к кнопке “View” для вызова диалога настроек прокси-серверов, аналогично Explorer. Выбор опции “Automatic proxy configuration” дает доступ к окну редактирования “Configuration location (URL):” для введения адреса и кнопке “Reload” для немедленной активизации.
В браузере Opera для подключения к прокси необходимо пройти по меню “Preferences\ Proxy Servers...”.

***ПРОДОЛЖЕНИЕ НИЖЕ***