Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 35_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

12.09 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 910 / 1410 11 12 13 14 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.								путь к фильтру сообщений. После
	.								.c
		p					g
			df			n		e
				-xcha					этого все заголовки будут переда-
									этого все заголовки будут переда-

ваться программе.

Теперь зайдем во вкладку Rules. Там создаем новое правило с условием на размер сообщения (я поставил минимальное ограничение на 3 Кб) и перенаправляем сообщение на

ВЫБОР НУЖНОЙ БИБЛИОТЕКИ DRWEB

smb_spider.so.1 - Samba 2.2.1, 2.2.2 smb_spider.so.2 - Samba 2.2.3 smb_spider.so.3 - Samba 2.2.4, 2.2.5 smb_spider.so.4 - Samba 2.2.6, 2.2.7 smb_spider.so.5 - Samba 3.0alphaXX

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð

Конфигурационный файл sendmail

ExternalFilter. Обзовем правило именем drweb-filter.

Настало время проверить работу перехватчика. Для этого просто зашли вирус на свой локальный адрес. В случае успеха тебе, отправителю и админу придет уведомление о нали- чии вируса в теле сообщения. Это означает, что все работает как нужно. В противном случае смотри логи коммунигейта и демона - что-то работает не так.

SENDMAIL ДЛЯ УМНЫХ АДМИНОВ

Вернемся к нашим баранам. А именно к тому, с чего я начинал свою статью. Для настройки Sendmail важно знать, что демон обязательно собран с поддержкой MilterAPI. Если это

так, открываем /etc/mail/sendmail.cf и вписываем туда следующие строки:

## Input mail filters ##

OInputMailFilters=drweb-filter

OMilter.LogLevel=6

## Xfilters ##

Xdrweb-filter, S=inet:3001@localhost, F=T, T=C:1m;S:5m;R:5m;E:1h

## Примечание: флаг T означает откладку доставки, если сервис проверки на вирусы недоступен. Имеется также флаг R, который отказывает в доставке. Если не указывать флагов, сообщение пропускается без всяких проблем. INPUT_MAIL_FILTER(`drweb-filter', `S=inet:3001@localhost, F=T, T=C:1m;S:5m;R:5m;E:1h') define(`confMILTER_LOG_LEVEL',`6')

ЧТО-ТО НЕ РАБОТАЕТ

Если у тебя возникли проблемы, описания которых нет в документации, можешь посетить форум на официальном сайте: http://forum.drweb.ru/unix/. Там ты отыщешь ответы на все вопросы, а в противном случае, сможешь задать их в новой теме.

ФРАГМЕНТ SMB.CONF

[shared]

comment = Public Shared Directory path = /home/public

writable = yes public = yes

write list = @root,@smb

vfs object = /opt/drweb/smb_spider.so

Затем перекомпилим конфиг и перезапустим sendmail.

Внимание! Параметры работают лишь в сервере версии 8.12. Для более старых версий варианты конфига указаны в документации к фильтру.

Настройка клиента аналогична в слу- чае с CommuniGate, поэтому в описании не нуждается. Следует отметить, что программа-фильтр будет называться drweb-smf.

DRWEB VS EXIM

Не менее популярным почтовиком является exim (www.exim.org). Для него также существует клиент drweb, который фильтрует входящие и исходящие сообщения. Скачать ты его можешь по адресу ftp://ftp.drweb.ru/pub/unix/drweb-exim- 4.29.12-F-linux.tar.gz. После распаковки и перемещения клиента займемся редактированием конфига почтовика.

В первую очередь необходимо добавить в раздел "MESSAGE FILTER CONFIGURATION SETTINGS" следующие параметры:

message_filter = /path/to/system/filter message_filter_pipe_transport = _pipe_transport_name_ message_filter_reply_transport = address_reply

Далее в разделе "TRANSPORTS CONFIGURATION":

filter_pipe: driver = pipe user = root group = root

return_fail_output

И, наконец, в пути, описанном выше как (/путь/к/системному/фильтру), нужно создать файл фильтра, или, если файл уже существует, достаточ- но добавить в него новый фильтр:

if $received_protocol is "drwebscanned"

then finish endif

if error_message and $header_from: contains "Mailer-Daemon@"

then

finish

Самыми интересными параметрами в конфе являются, пожалуй, фильтры на поля E-mail. За это отвечает FilterRule. Например, при значе- нии "Subject "*Open the attach*" Reject" сервер будет автомати- чески счи- тать письмо зараженным. Рекомендую поиграться с этой опцией и достичь нужного результата.

Â È

hang

NOW!

BUY

ЗАЩИТА

DRWEB - КАК ЗА КАМЕННОЙ СТЕНОЙ!

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
linux.tar.gz). Кстати, этот клиент пос- .								e
		p	df				g		.c
			df			n
				-x cha

тавляется с source-code, поэтому мо- жешь закачать версию, которую придется компилить (ftp://ftp.drweb.ru/pub/unix/drweb- samba-4.29.12-C-sources.tar.gz). Как обычно, раскидываем конфиг модуля, а также нужную библиотеку в $BINPATH/lib. Выбор библиотеки зависит от версии демона.

Â È

Админы

поднимают

различные службы, одной из которых является smbd, разрешающая вход на расшаренные ресурсы. Злоумышленник запросто может залить вирус через этот сервис и запустить его на клиентской машине... если, конечно, drweb не будет следить за ним ;).

					Версию smbd можно узнать, набрав
					smbd -V. После выбора нужной либы,
					скопируй ее в указанную выше дирек-
					торию и сделай линк на smb_spider.so
					(для удобства) командой ln -s smb_spi-
					der.so.X smb_spider.so.
					Следующим шагом будет редактиро-
					вание smb_spider.conf. Там следует
					указать метод перехвата, остальные
					опции не отличаются от описанных
Небольшой мануал по интеграции					ранее. Метод может быть onAccess
					(при любом изменении файла и его
					(при любом изменении файла и его
					открытии), onRead (только при откры-
					открытии), onRead (только при откры-
					тии) и onWrite (при модификации). Ос-
					тальные параметры не отличаются от
					изложенных выше.
					Напоследок изменим
					/etc/samba/smb.conf (или другое его
					местоположение). Пусть там сущест-
					вует ресурс [shared], который следует
					проверять на вирусы.
					И в довершении выполним команду
					service smb reload, чтобы перечитать
					конфиг.
					Теперь проверяем. Коннектитимся на
					smb:
					# smbclient //127.0.0.1/shared -U root
					Password:
					Domain=[Domain] OS=[Unix]
					Server=[Samba ALT/2.2.7]
					smb: \> put viruzz.exe
Добавляем путь к vfs модулю					putting file viruzz.exe as \editor.dll
					NT_STATUS_UNSUCCESSFUL closing
endif	БЕЗОПАСНЫЙ SMBD				remote file \viruzz.exe
if not first_delivery		Как правило, в локалке одним			smb: \>


	почтовым сервисом дело не ограничи-
then	вается. Админы поднимают различ-			Как видим, все работает. При прочте-
finish	ные службы, одной из которых явля-				нии лога ты узнаешь подробности ре-
endif	ется smbd, разрешающая вход на рас-				акции smb_spider.so на заразу. A
	шаренные ресурсы.
pipe "{/PATH/TO}/drweb-exim {CONF} -	Злоумышленник зап-
f $sender_address -- $recipients"	росто может залить
finish	вирус через этот сер-
	вис и запустить его
## Примечание: {CONF} - путь к кон-	на клиентской маши-
фигурационному файлу --	не... если, конечно,
conf=/path/to/conf или вообще ниче-	drweb не будет сле-
го, если файл находится в /etc/drweb.	äèòü çà íèì ;).
# {/PATH/TO} следует поменять на
абсолютный путь к скрипту drweb-	Итак, сейчас мы за-
exim	щитим smbd от раз-
	носчиков заразы.
Затем запускаем drweb-exim --	Для этого скачаем
check_only и удостоверимся, что все	модуль с официаль-
работает как надо. Напоследок реста-	ного сайта
ртнем exim и протестируем работоспо-	(ftp://ftp.drweb.ru/
собность фильтра.	pub/unix/drweb-
собность фильтра.	pub/unix/drweb-		Добавляем путь к vfs модулю
	samba-4.29.12-C-		Добавляем путь к vfs модулю
	samba-4.29.12-C-

ХАКЕРСПЕЦ 10(35) 2003

hang

NOW!

BUY

w Click

-xcha

hang

NOW!

BUY

w Click

-x cha

hang

NOW!

BUY

ЗАЩИТА

НАЙДЕМ И ОБЕЗВРЕДИМ!

w Click

Докучаев Дмитрий aka Forb (forb@real.xakep.ru)

НАЙДЕМ

-xcha

И ОБЕЗВРЕДИМ!

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Â È

КАК ОБНАРУЖИТЬ ЗАРАЗУ В СИСТЕМЕ

Âнаши дни компьютерными вирусами никого не удивишь. Более того, наверное, каждый по неосторожности (или по невнимательности) заражал свою систему. Самое обидное, что электронная зараза никогда не выдает себя, а молча

делает свое черное дело на беззащитном компьютере жертвы...

Реальный вирус проникает в организм и потихоньку заражает его клетки. В первые дни человек даже не чувствует присутствия заразы, но через некоторое время вирус начи- нает активно проявлять себя и губительно воздействовать на жизненно важные органы. Электронный вирь вместо клеток поражает... правильно, файлы!

Трояны, в отличие от вирусов, обычно не наносят системе особого вреда. У них другая функция - переслать личную информацию с компьютера жертвы в руки злоумышленника. Делают они это незаметно и весьма искусно.

			одной стороны, так и		Комардин
			одной стороны, так и
			обычные вирусы,
	Ñ		должно быть. Как и
			компьютерные ведут		Константин
			невидимый для пользо-		Константин
вателя образ жизни. Это действитель-
но так, суди сам: реальный вирус про-					ðèñ.
никает в организм и потихоньку зара-					ðèñ.
никает в организм и потихоньку зара-
жает его клетки. В первые дни чело-
век даже не чувствует присутствия за-
разы, но через некоторое время вирус
начинает активно проявлять себя и гу-
бительно воздействовать на жизнен-
но важные органы. Электронный вирь
вместо клеток поражает... правильно,
файлы! Методики саморазмножения
заразы различны: о них рассказывает-
ся в других статьях этого выпуска.
ЗАРАЗА БЫВАЕТ РАЗНОЙ...
		Чтобы во время чтения этой


статьи не возникло путаницы, следует
окончательно определиться, какие
виды опасных экземпляров мы будем
рассматривать. Если порыться на сай-
тах по вирусологии, то можно найти
несколько определений понятия "ви-
рус". Все они сводятся к тому, что ви-
ри заносятся в систему, а затем через
какой-то промежуток времени (или
сразу) начинают заражать опреде-
ленные типы файлов. Такие "экземп-
ляры" появились очень давно - еще
до рождения Сети. Они до сих пор пи-
шутся, и методы их размножения со-
вершенствуются с каждым годом.

Но с появлением возможности выхо-					том, что он запустил что-то не то (если,
да в Сеть, возникает новый вид зара-					конечно, на ПК не будет установлен фа-
зы - трояны. Трояны, в отличие от ви-					ервол =)).
русов, обычно не наносят системе					2. Прописывает себя в системе на
особого вреда. У них другая функция					постоянное местожительство. Троян
- переслать личную информацию с					либо регулярно следит за портом, ли-
компьютера жертвы в руки злоумыш-					бо делает зловредные вещи (к приме-
ленника. Делают они это незаметно и					ру, раз в неделю отсылает дамп всех
весьма искусно. Как только троян ус-					клавиш на e-mail злоумышленника).
танавливается на машину ушастого					Обнаружить такую заразу в несколь-
юзера, он выбирает для себя один из					ко раз легче, чем в первом случае.
двух путей своего существования:
					В этой статье я постараюсь подробно ос-
1. Выполнив одиночную функцию					ветить методы защиты как от вирусов,
(например, высылка паролей на e-mail ха-					так и от троянов. При этом не буду заост-
кера), зараза сама себя уничтожает. При				Серверная часть известного трояна	рять внимание на видах заразы, с по-
этом юзер вообще может не узнать о				"Смерть ламера"

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.								мощью приведенной выше классификации ты сам поймешь, о
	.								.c
		p					g
			df			n		e
				-xcha					÷åì èäåò ðå÷ü.
									÷åì èäåò ðå÷ü.

НАХОДИМ И УДАЛЯЕМ!

Несмотря на непохожесть вируса и трояна, у них есть одна общая черта. Зараза всегда пытается прописать себя

âавтозапуск. Иными словами, чтобы программа могла подгрузиться в память при старте компа, она заносит себя

âразделы реестра. Таких разделов может быть несколько. Разработчики Microsoft позаботились о пользователе и придумали хорошую утилиту msconfig, которая существует почти во всех версиях окошек (за исключением win95 и win2000). Привлекательность этой системной программы в том, что она объединяет все вкладки реестра, папку автозагрузки и показывает пользователю информацию обо всех запускаемых программах.

Таким образом, чтобы узнать, существует ли зараза в твоей системе, достаточно зайти в меню "Пуск", нажать мышкой

Обнаруживаем чужого среди своих

на пункт "Выполнить" и написать "msconfig". Нас интересует вкладка "Автозапуск", в которой ровной таблицей выписаны все приложения, стартуемые при запуске системы.

Стоит заметить, что трояны и вирусы редко когда называются "некрасивым" именем. Как правило, электронная зараза переименовывается в безобидного вида программу со звучным названием и лишь затем прописывает себя в автозапуск. Поэтому для того, чтобы быстро сориентироваться в этом списке и обнаружить трояна, ты должен точно знать, какие приложения в твоей системе заслуживают доверия.

Как я уже говорил, программа msconfig присутствует не во всех дистрибутивах. Если ты счастливый обладатель Windows 2000, то ты не сможешь воспользоваться услугами этого приложения. В этом случае у тебя есть два варианта: либо качать подобный софт, который проверяет ветки реестра на предмет автозапуска программ (такого ПО очень много), либо обратиться к системному реестру редактором regedit. Во втором случае, тебя интересуют ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunOnce, RunOnceEx, а также HKEY_CURRENT_USER\..\Run, HKEY_USERS\..\Run и HKLM\Software\Microsoft\Windows\ CurrentVersion\Explorer\ (туда трой может прописаться в зна- чение параметра User Shell Folders Common Startup). Именно там хранятся названия приложений, запускаемые во время старта твоей операционки.

Но помни, что вирусы могут заразить системные утилиты, в том числе msconfig и regedit. На личном примере скажу, что однажды я подхватил заразу, которая просто удалила эти жизненно важные приложения из системы. Поэтому всегда имей резервные копии программ, типа msconfig, чтобы можно было в любой момент проверить свою ОС.

Тема автозапуска очень обширна и может обсуждаться довольно долго. Дело в том, что электронная зараза способна представить себя сервисом и прописаться уже в другом системном списке. В этом случае обнаружить ее становится сложнее. Существует метод запуска, согласно которому программа выдает себя за скринсейвер. В этом случае он не появится в диспетчере задач и скроется от глаз любо- »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						96
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	Û
	Ñ
	Ó
	Ð
	È
	Â

ЗАЩИТА НАЙДЕМ И ОБЕЗВРЕДИМ!

СЛОВО ОБ IDS

Помимо софта, который проверяет систему на наличие заразы, существуют пакеты IDS (Intrusion Detection System). Загружаемые в ядро модули следят за событиями в системе. При определенных настройках, модуль не позволит загрузить в ядро руткит. Вообще, правильно настроить IDS - очень сложная задача, и сделать это может лишь весьма грамотный администратор. Примерами таких систем являются известные проекты LIDS (www.lids.org/download/lids- 0.11.0-2.2.20.tar.gz) и NIDS (www.scaramanga.co.uk/firestorm/ v0.5.3/firestorm-0.5.3.tar.gz).

Если тебе стало интересно, можешь прочитать про настройку LIDS на известном проекте www.opennet.ru/docs/RUS/lids/lids1.html.

hang

NOW!

BUY

w Click

АНТИВИРУСЫ

НА СТРАЖЕ ПОРЯДКА

-x cha

С одним разобрались. Теперь пришло время поговорить о вирусах. В наше время обнаружить грамотно написанный вирус невооруженным взглядом крайне трудно, я бы даже сказал, практически невозможно. Это связано с очень сложными алгоритмами заражения системы, которые использует зло-программа. Но вместе с вирями развиваются и антивирусы, которых очень много.

Как правило, все антивирусы поставляются двумя главными приложения-

Я лично знал человека, который перешел на Linux и долго смеялся над проблемой вирусов в винде. Естественно, что о собственной безопасности он даже не задумывался, пока за это не поплатился. Запустив пор рутом какойто наворо- ченный эксплоит под все платформы ;), го- ре-хакер лишился системы за несколько дней.

пытного пользователя. Как ты, наверное, понял, вирусы и трояны редко когда светятся в списке процессов, обойти который довольно просто (во всяком случае, в win9x).

КТО СТУЧИТСЯ В ПОРТ КО МНЕ?

Поговорим о троянах. Если с их обнаружением придется попотеть, то пресечь их деятельность можно без проблем. Как правило, любой троян либо отсылает данные о системе в глобал (чаще всего на e-mail), либо открывает порт, после чего злоумышленник может подсоединиться к операционке и сделать все, что его интересует. Сейчас мы попробуем обнаружить присутствие трояна.

Открой командный интерпретатор (cmd.exe или command.com) и напиши в нем команду netstat -an. Программа выдаст в ответ список портов, которые листаются в системе, а также адреса, подключившиеся к твоему компьютеру. Это очень удобно, а учи- тывая, что троян не заражает служебные утилиты, обнаружить его присутствие может любой желающий (хотя это и не всегда так - бывает и комбинированная зараза, которая модифицирует бинарники и затем открывает порт).

Наглядный пример. Пусть netstat показал тебе строку следующего вида:

TCP 212.220.32.43:31331 80.78.99.116:31337 ESTABLISHED

	Это означает, что
	в системе открыт
	31337 ïîðò è ê íå-
	му присоединился
	неприятель с ад-
	ресом
	212.220.32.43.
	После обнаруже-
	ния такой строки
	тебе следует не-
	медленно выйти
	из Сети и начать
	поиск трояна, ко-
	торый следит за
	открытым портом.
	Вообще, систем-
	ными утилитами
	легко пользовать-
	ñÿ ëèøü â òîì
	случае, если ты	Симпатичный фейс антивиря AVP
	уже набил руку.	Симпатичный фейс антивиря AVP
	уже набил руку.

Конечно, человек, который первый	ми: собственно программа, проверяю-
раз столкнулся с командой netstat, не	щая все системные файлы по боль-
увидит в ее выводе ничего полезного.	шой базе, и монитор, который спосо-
В этом случае тебе помогут... наши	бен перехватывать электронную зара-
доблестные программисты.	зу прямо при ее запуске (на лету).

Дело в том, что мы живем в такое время, когда редко найдешь человека без персонального фаервола в своей системе. Такие программы защищают компьютер от незаконного проникновения заразы. Они могут быть как очень простыми (ZoneAlarm), так и довольно сложными (например, Sygate). Но любой фаервол никогда не пропустит приложение в интернет без согласия пользователя. Поэтому выбери для себя подходящую софтину, и ты навсегда обезопасишь себя от заразы.

Проверенными и надежными антивирусами, как всегда, являются AVP и DrWeb. Они установлены на компьютерах у большинства пользователей и постоянно обновляются. Кроме того, любой уважающий себя перехватчик заразы постоянно сканирует оперативную память на предмет присутствия в ней вируса. Если этого не делать, вирь может запросто заразить сам антивирус, после чего программа не сможет выполнять свои функции. Как я уже говорил, в наше время существует очень много разных антивирусов. У всех имеются свои плюсы

Netstat расскажет все о твоих портах!

СЛОЖНОСТИ С ЛЕЧЕНИЕМ ОТ ВИРУСОВ

Многие вирусы позволяют излечить бинарники от заразы. Но с этим связано одно осложнение. Как правило, антивирь пытается убрать записи заразы из исполняемого файла. Но это не всегда так. Бывает, что программа просто записывает новый блок кода в бинарник, тем самым... увеличивая его размер. Я сам столкнулся с этой проблемой: когда я лечил Linux от известного виря, общий вес бинарников после лечения увеличился аж на 300 мегабайт. В итоге я задался вопросом - не проще ли переустановить систему, чем идти на такое лечение?

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							и минусы. Поэтому специально для тебя мы подготовили
	.							.c
		p					g
			df			n		e
				-xcha

небольшой тематический обзор таких программ. После его прочтения ты сможешь выбрать для себя оптимальный по возможностям антивирус и всегда быть в относительной безопасности ;).

LINUX'ОВЫЕ СТРАСТИ

Если с Windows все довольно просто, то в *nix-like системах с безопасностью все намного сложнее. Под эти операционки также имеются свои вирусы и трояны. Казалось бы, с такой политикой безопасности, как в Linux, никакой вирус не способен поразить систему, но многие до сих пор запускают под суперпользователем вредоносные программы, тем самым заражая свою операционку. Поэтому если ты не уверен в том, что файл не причинит системе вреда, никогда не запускай его под root-правами (а лучше вообще не экспериментировать с таким запуском). Я лично знал че- ловека, который перешел на Linux и долго смеялся над проблемой вирусов в винде. Естественно, что о собственной безопасности он даже не задумывался, пока за это не поплатился. Запустив пор рутом какой-то навороченный эксплоит под все платформы ;), горе-хакер лишился системы за несколько дней. Как оказалось позже, он активировал один из опасных вирей, который дописывал себя в ELFбинарники несколько раз в день, а через неделю делал загрузку ОС невозможной.

Мораль сей басни: вирусы под Linux всегда существовали и существуют до сих пор. Кроме того, такая зараза не пощадит твою систему, а изменит в ней все бинарные файлы. Лечение антивирусом, конечно, возможно, но с этим связан ряд осложнений, о которых мы поговорим чуть ниже.

СЛОВО О СКРИПТАХ

Если ты линуксоид, то знаешь, что в системе существует понятие "стартовый скрипт", который обрабатывается каждый раз при ее стартапе. Все команды в нем выполнятся под суперпользователем. Именно в них обживается электронная зараза, типа различных троянов (вирусы записывают себя непосредственно в структуру системного файла). Казалось бы, обнаружить трой среди скриптов очень просто, но это не совсем так. Большие стартовые файлы очень сложно читать, а если учесть, что бэкдоры маскируются под имена каких-либо модулей, то задача усложняется в несколько раз. Но это опять же в случае, если зараза была запущена под суперпользователем. Если зло-прог- рамма стартуется обычным юзером, то у нее, пожалуй, единственный способ повторно запуститься в системе - crontab пользователя. Поэтому регулярная проверка crontab-скрипта не будет лишней.

Все стартовые файлы располагаются в каталоге /etc/rc.d/ для Linux, либо в /etc/rc.* для FreeBSD. Убедись, что простой смертный не способен записать в них команды. И вообще, регулярная проверка таких стартовых документов никогда не помешает, если учесть, что тебя мог зарутать крутой хакер из интернета =). »

Полная информация о сетевых соединениях

						hang		e
					C			e	E
				X					E
			-						d
			F							t
			D							i
			D							r
		P						NOW!		o
		P
							BUY
						to	BUY
		w Click				to
		w Click									m
		w
			w							o
			.						.c
				p					g
					df			n	e
						-x cha
ИГРЫ ПО КАТАЛОГАМ С ДОСТАВКОЙ НА ДОМ

www.e-shop.ru	www.gamepost.ru

PC Games

$95,99		$79.99		$79.99		$79,99

Microsoft Flight	Star Wars		Star Wars Jedi	Half-Life 2
Simulator 2004:	Galaxies: An		Knight: Jedi Academy
A Century of Flight	Galaxies: An
A Century of Flight	Empire Divided
	Empire Divided

$75.99		$39.99	$15.99	$79,99

Grand Theft Auto:	Tomb Raider: The		WarCraft III: The		The Matrix :
Vice City	Angel of Darkness		Frozen Throne		Enter The Matrix

$55.99		$79,99		$79.99		$62,99

Neverwinter	Commandos 3:	Max Payne 2: The	Dark Age of
Nights: Shadows	Destination Berlin	Fall of Max Payne	Camelot: Gold
of Undrentide	(US version)		Edition

Заказы по интернету – круглосуточно!	e-mail: sales@e-shop.ru
Заказы по телефону можно сделать	ñ 10.00 äî 21.00 ïí - ïò
	ñ 10.00 äî 19.00 ñá - âñ
СУПЕРПРЕДЛОЖЕНИЕ	стоимость доставки

ДЛЯ ИНОГОРОДНИХ ПОКУПАТЕЛЕЙ	снижена на 10%!

WWW.E-SHOP.RU

(095) 928-6089 (095) 928-0360 (095) 928-3574

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						98
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	Û
	Ñ
	Ó
	Ð

ЗАЩИТА НАЙДЕМ И ОБЕЗВРЕДИМ!

МЕСТА ОБИТАНИЯ ЗАРАЗЫ

Трояны в Linux всегда выбирают изысканные каталоги для своего проживания. Они любят находиться во всяких директориях, типа /dev/fdddd или /lib/.modules. Бывает, что зараза записывается в домашний каталог пользователя, маскируясь под файл " " (два пробела ;)). И это правильно, ведь в Linux на имена файлов вводится лишь одно ограничение - символ "/".

	È	Помни, что вирусы могут находиться
	Â	в оперативной памяти и заразить
	Â	ñàì DrWeb.
		ñàì DrWeb.

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
Из таблицы видно, что бинарник httpd.								e
		p	df				g		.c
			df			n
				-x cha

заражен и использует в своей работе библиотеку listen31337.so. Ее название весьма условно, но отражает ситуацию в полном объеме.

НА КАЖДОЕ ДЕЙСТВИЕ ЕСТЬ ПРОТИВОДЕЙСТВИЕ!

Под Linux также существуют свои антивирусы. Среди них опять же самые популярные - DrWeb и AVP. Они умеют не только проверять системные файлы и перехватывать заразу "на лету", но и работать совместно с почтовыми серверами, оберегая юзеров от лишних проблем =).

Рассмотрим простейший DrWeb (ftp://ftp.drweb.ru/pub/unix/4.29.5/dr

Системными

утилитами легко пользоваться лишь в том случае, если ты уже набил руку. Конечно, человек, который первый раз столкнулся с командой netstat, не увидит в ее выводе ни- чего полезного. В этом случае тебе помогут...

наши доблестные программисты.

СЕТЕВАЯ И СИСТЕМНАЯ АКТИВНОСТЬ

По аналогии с виндой, в пингвине существует команда netstat. Она показывает состояние портов и сетевые подключения в данный момент. Ее вывод гораздо длиннее, по сравнению с Win32, поэтому используй команду netstat -an | grep LISTEN, либо netstat -an | grep ESTABLISHED. Тем самым ты отфильтруешь всю информацию, кроме состояния портов и активных подключений. Весьма полезна опция -p этого же приложения, которой нет в Win32. С помощью этого ключика становится возможным посмотреть PID и полный путь к файлу, который работает с указанным портом.

К слову сказать, любой уважающий себя rootkit (комплект зараженных утилит для предоставления дополнительных привилегий хакеру) содержит в своем комплекте измененные бинарные файлы netstat, ps, kill и прочие важные бинарники. О том, как обнаружить такую подделку, я расскажу в следующем разделе.

А теперь заострим внимание на том, что зараза может называться служебным именем и даже может быть видна в таблице процессов. При этом пользователь даже не догадается, что этот процесс является трояном. Чтобы определить, какие в данный момент библиотеки юзает приложение, существует приложение lsof (ftp://lsof.itap.

Полный вывод lsof

Помимо антивирусов существует множество программ, нацеленных

на обнаружение всяческих изменений в системе

purdue.edu/pub/					web-4.29.5-glibc.2.2.tar.gz). После его
tools/unix/lsof). Без параметров оно					установки необходимо зарегистриро-
покажет тебе всю активность прило-					вать копию. Ключи будут находиться
жений. Если отфильтровать его ответ					в специальном файле drweb.ini. Най-
по отдельной задаче, получаем список					ти его можно на кряк-поисковике,
библиотек, используемых определен-					например на http://astalavista.box.sk/.
ным процессом. Например:					Затем набери команду man drweb и
						узнаешь пол-
						ную информа-
						ную информа-
						цию о парамет-
						рах запуска ан-
						тивируса.
						Помни, что виру-
						сы могут нахо-
						диться в опера-
						тивной памяти и
						заразить сам
						DrWeb. Поэтому
						в нем встроена
						защита - прог-
						рамма автомати-
						чески выгружа-
						ется при попыт-
DrWeb под Linux. Просто и удобно!						ке заражения.
						Иногда прихо-
						Иногда прихо-
					дится запускать антивирь из нестан-
[root@forbik root]# lsof \| grep httpd					дартных каталогов, которые вири
httpd	441	root cwd	DIR	3,6	просто не обрабатывают (я сам восста-
440	2 /				навливал систему из каталога /dev
httpd	441	root rtd	DIR	3,6	после атаки вируса). Вообще, для пол-
440	2 /				ного представления о вире, с которым
httpd	441	root txt REG		3,6	имеешь дело, полезно заглянуть на
607140 128187 /usr/www/bin/httpd					сайты по вирусологии.
httpd	441	root mem	REG
3,6	68088	179 /lib/ld-2.2.6.so			Помимо антивирусов существует мно-
httpd	441	root mem	REG		жество программ, нацеленных на обна-
3,6	36404	197 /lib/libnss_files-			ружение всяческих изменений в систе-
2.2.6.so					ме, в том числе md5-суммы файлов.
httpd	441	root mem	REG		Именно с помощью такого софта поль-
3,6	12744	25425 /lib/libnss_dns-			зователь может определить замену би-
2.2.6.so					нарного файла или задетектить нали-
httpd	441	root mem	REG		чие виря в системе. Наиболее распрост-
3,6	1147144	187 /lib/listen31337.so			раненной софтиной подобного рода яв-
					ляется tripwire (http://download.source-
					forge.net/tripwire/tripwire-2.3.1-2.tar.gz).

ХАКЕРСПЕЦ 10(35) 2003

Лишняя проверка системы еще никому не помешала

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w										o
	w									o
	.						g		.c
		p					g
			df			n		e
				-xcha

При установке надо запустить скрипт, который создаст первичную файловую базу. Именно с ней ежедневно будут сравниваться все изменения, а рут будет получать несколько килобайт спама на эту тему ;).

От разного рода троянов помогает защита фаервола. Linux-пользователям повезло - им не придется искать ка-

кую-либо софтину из этой отрасли. Достаточно воспользоваться системной утилитой iptables.

Чтобы обезопасить себя от воздействия бэкдоров и руткитов, просто закроем все порты, оставив лишь системные, на которых находятся доверенные серви-

сы. Итак, с помощью нескольких правил, мы реально убережем систему от внешних (и внутренних) злоумышленников.

#/sbin/iptables -A INPUT -j ACCEPT -p tcp -m multiport --destination-port 21,22,25,53,80,110 ## Откроем необходимые порты.

#/sbin/iptables -A INPUT -j ACCEPT -i lo

Таким образом, после правильной установки фаервола, подключиться

êтвоей машине на необъявленный порт становится невозможным.

Мутим защиту от внешних врагов

##Разрешим обмен пакетами по локальному интерфейсу.

# /sbin/iptables -A INPUT -j ACCEPT -p tcp -m state --state RELATED,ESTABLISHED

##Позволим проходить пакетам от уже установленных соединений.

# /sbin/iptables -P INPUT DROP

##Сменим политику цепочки INPUT на DROP (запрет на все пакеты кроме исключений, описанных ранее).

# /sbin/service iptables save

##Сохраним правила в отдельном скрипте.

Таким образом, после правильной установки фаервола, подключиться к твоей машине на необъявленный порт становится невозможным. Вторым способом защиты от руткитов являются специальные программы, нацеленные на детектирование заразы. Пример такой софтины - пакет chkrootkit (ftp://ftp.pangeia.com.br/pub/seg/pac/ chkrootkit.tar.gz). Полезность этой проги заключается в следующем: после запуска утилита проверяет дефолтовые сигналы известных ей руткитов, затем ищет заразу в определенных скрытых директориях и сканит бинарные файлы на предмет заражения. После всего этого пользователь получит полный отчет о работе программы.

И НАПОСЛЕДОК...

Это далеко не все методы определения и защиты системы от вирусов. Если учитывать, что вирусмейкеры не стоят на месте, а ищут все новые способы незаметного заражения системы, можно сделать вывод - абсолютной защиты не существует. Остается лишь надеяться, что разработчики антивирусного ПО тоже не дремлют и своевременно обновляют свои базы, а также создают методику лечения приложений от того или иного виря. A

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

Помимо антивирусов существует множество программ, нацеленных на обнаружение вся- ческих изменений в системе, в том числе md5-суммы файлов. Именно с помощью такого софта пользователь может определить замену бинарного файла или задетектить наличие виря в системе.

				hang		e
			C			e	E
		X					E
	-							d
	F								i
	F								t
P	D								o
P	D					NOW!			r
					BUY	NOW!
				to	BUY
				to
w										m
w Click										m
	w					Content:
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

100 Генераторы зла

Обзор вирусных генераторов

102 Поставь предохранитель

Обзор антивирусов

106 Книжная лавка

Обзор книжных новинок

110 Чтобы время не терять

Обзор сети на наличие вкусных сайтов

SPECial delivery

hang

NOW!

100

SPECial delivery

ГЕНЕРАТОРЫ ЗЛА

BUY

w Click

Еромалаев Евгений aka Saturn

-x cha

ГЕНЕРАТОРЫ ЗЛА

ОБЗОР ГЕНЕРАТОРОВ ВИРУСОВ

Ìногие юные хакеры хотят поскорее написать вирус и разослать его по всему миру. Ты один из них? Тогда читай дальше. Если нет, все равно чи-

тай - пригодится... Чтобы написать какой-нибудь мало-мальски вредный вирус, нужно изучить C, C++ и прочий ассемблер. Но это лишь один из вариантов. Другой заключается в том, что можно делать вирусы при помощи нескольких кликов мышью. Если ты после долгих раздумий решил пойти по второму пути, то добро пожаловать в мир вирусных генераторов и конструкторов.

NEXT GENERATION VIRUS » CONSTRUKTION KIT

Все еще есть желание сгенерить вирус, но ты не знаешь, чем пользоваться? Ну, тогда

лови первого "создавателя" вирусов нового (как заверяют авторы) поколения. На самом

Win9x/WinNT

Size

75 Êá

http://vx.netlux.org/vx.php?id=tidx

Конструкторский набор for Next Generation

деле, NG Virus Construktion Kit представляет абсолютно новое для такого рода программ (которые направлены на то, чтобы вырыть яму многочисленным соседям) качество. Дело в том, что большая часть генераторов создана таким образом, что разобраться в интерфейсе может разве что сам разработчик. Здесь же в оптимальных пропорциях сочетаются простота и функциональность. Этот генератор позволит зашифровать вирус, чтобы он не попадался на глаза, причем сделать это можно разными способами.

Можно заражать файлы в системных директориях, причем размер заражаемых файлов можно регулировать. Есть средства для конспирации.

Ну и, естественно, вопрос о размножении тоже решается. Как только все параметры выбраны соответственно пожеланиям, наступает время для нажатия кнопки "Create". В общем, этот конструкторский набор - явный пример заботы о рядовом отечественном вирусописателе, который ночей не спит ради создания более или менее сносного вируса,

но в то же время не хочет утруждать себя

нудным программингом...

NUKE RANDOMIC LIFE GENERATOR

Ms-dos/Win9x/WinNT

Size

59 Êá

http://h-zver.narod.ru/Soft/Virus/HACK-

ZVEREvirus.htm

Очень старая программа, но функций много

Ну вот. Посмотрели на достижения поколения Next, а теперь пришло время вспомнить "преданья старины глубокой".

NuKE RANDOMIC LIFE GENERATOR - это самый старый в нашем обзоре генератор зла. Он был выдуман аж в 1994 году, но, тем не менее, это очень качественный продукт. Самое удивительное, что, несмотря на год выпуска, прога имеет очень простой, интуитивно понятный интерфейс. С таким опусом можно наделать резидентных COM/EXE-ви- русов. Для этого выбирай пункт New Monster (неудобно без мыши, наверное). В нем нужные тебе примочки в вирус. Включай какие хочешь - и вперед, в пункт Create. Выбираешь пункт Create, после этого программа создает файл virus.asm.

Остается только скомпилировать. Кстати, о примочках. Вот только некоторые из них: -Mbr bomb (пытается убить Главную загрузочную запись)

-Memory Stealth (прячется)

-Kill antivirus (без комментариев) -Activation data

Как видишь, нынешний генератор почти ни в чем не пересекается с Next Generation Virus Construktion Kit. Поэтому использование одного из них не лишает возможности заюзать и второй. Короче говоря, если не ломает пользоваться такой доисторической вещью, то попробуй - неплохая штука.

ХАКЕРСПЕЦ 10(35) 2003

<<< < Предыдущая 1 2 3 4 5 6 7 8 910 / 1410 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202411.82 Mб16Специальный выпуск 30_Optimized.pdf
#
20.04.202411.84 Mб16Специальный выпуск 31_Optimized.pdf
#
20.04.202411.87 Mб15Специальный выпуск 32_Optimized.pdf
#
20.04.202411.69 Mб15Специальный выпуск 33_Optimized.pdf
#
20.04.202411.64 Mб16Специальный выпуск 34_Optimized.pdf
#
20.04.202412.09 Mб15Специальный выпуск 35_Optimized.pdf
#
20.04.202414.14 Mб15Специальный выпуск 36_Optimized.pdf
#
20.04.202413.53 Mб16Специальный выпуск 37_Optimized.pdf
#
20.04.202412.58 Mб15Специальный выпуск 38_Optimized.pdf
#
20.04.202413.28 Mб16Специальный выпуск 39_Optimized.pdf
#
20.04.202418.16 Mб15Специальный выпуск 40_Optimized.pdf