17 ноября 1998, #50

Выпуск юбилейный, практически праздничный.

За последние несколько дней прошло столько взломов, что я несколько утомился их заносить в Underground. Надо будет это дело как-то автоматизировать.

Небольшой анонс. На 27-е число запланирован круглый стол "Хакерство в России. Реальна ли опасность ?". Место проведения - мраморный зал Центрального Дома журналиста. Подробности - здесь. Приглашаются все желающие, но об этом своем желании желательно сообщить заранее.

Вокруг троянцев. Очередная вариация на тему BO - GirlFriend 1.3. Сервер (Windll.exe) весит 300 с лишним килобайт, к тому же виден в списке задач. При запуске прописывает себя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Позволяет выводить на удаленной машине системные сообщения, получать список окон, содержащих поля ввода пароля (с паролем, разумеется), проигрывать звуковые файлы, показывать bmp-файлы, удалять ссылку на себя из реестра (уходя, гасите свет...). По умолчанию садится на 21554-й порт, хотя это значение может быть изменено. За ссылку спасибо Андрею Орешко.

Следующее сообщение даю as is.

Hi Ya ho4u raskazat' kak mojno obmanut' netbus password protected server. podklyu4aeshcya 4erez oby4nyi client netbus i doxodish do momenta vvidite password. v eto vremya podklyu4aeshcya 4erez telnet k etoi je mashine i possylaesh string Password;1;any. :) U got access.posle etogo ostetcya lish poslat' string ServerPwd;yourpassword > i netbus server vash :) (10'x to port listener and lan analizer) :) TRiP

Создатели голосовалки для Золотого УРЛа успешно наступили на классические грабли, характерные для подобных скриптов. Передача данных формы методом GET в сочетании с отсутствием контроля за referer широко открывает дверь всевозможным злоупотреблениям, что и наблюдалось в первые дни.

Чем так плох метод GET ? А тем, что при этом вся информация из формы передается прямо в URL скрипта в виде http://somehost.ru/somescript.cgi?param1=value1&...paramN=valueN. Таким образом, вместо возни с формой, предполагающей свободу пользовательского выбора, можно сделать выбор самим, сформировать подходящий URL, после чего разослать его по конференциям, повесить на свою страницу и т.д. Использование метода POST без контроля за referer ненамного лучше - нужного результата всегда можно добиться с помощью hidden-полей, заполнив их требуемыми значениями и прикрутив JavaScript для отправки формы.

Первый шаг по закрытию дырки очевиден - начинаем отслеживать referer и обрабатывать только результаты, отправленные с нашего сайта (оставляем в стороне тот факт, что поле HTTP_REFERER на самом деле передается броузером и вполне может быть подделано, если пообщаться с сервером по HTTP самостоятельно - с помощью достаточно простого скрипта на Perl'е, чуть подправленного броузера и т.д.). Для метода POST этого почти достаточно - если только у посетителей нет возможности оставлять сообщения на сервере, использующие html-тэги. А вот при использовании GET лазейка остается - достаточно воспользоваться чем-то вроде гостевой книги на сервере, которые обычно позволяют оставить URL пишущего. Указываем в этом поле все тот же сфабрикованный URL, и voila, скрипт сам сделает все, что нам надо.

Не знаю, так ли все было с Золотым УРЛом, но после изучения новостей выстраивается именно такая последовательность - вначале прикрыли referer, потом запретили GET.

Такие дела. Кстати, а вы уже проголосовали за нас ? :)

Евгений Ильченко завел страницу, на которой отслеживаются изменения на самых известных русскоязычных сайтах, занимающихся сетевой безопасностью. Идея очень грамотная, жалко, не мне пришедшая в голову :) Обновляется каждый час.

А на странице JustNews собираются новости о Linux, FreeBSD и просто Unix. Обновляется как правило ежедневно.

Плавно и ненавязчиво продолжая тему Unix... Если вы уже решили отряхнуть со своих ног прах win-прошлого, но на самостоятельные телодвижения решимости еще не хватает, вам прямая дорога сюда. Учебный центр IP Communications проводит набор на юниксовые курсы. Теория дополняется практическими занятиями в учебных классах IP Communications, в классах стоит FreeBSD и Linux. Здесь же можно подписаться на mail-list, посвященный проблемам Unix.

После сообщения о WinScript.Rabbit известие о появлении вируса, заражающего html-файлы, уже не было чем-то неожиданным.

HTML.Internal Первый известный вирус, заражающий HTML-файлы. При обращении к зараженной странице вирус ищет HTML-файлы на локальном диске и заражает их. При заражении использует скрипты, написанные на языке Visual Basic. Вирус размножается только в том случае, когда в броузере отключены соответствующие Security settings, в противном случае при запуске вируса броузер выдает сообщение об ошибке. Заголовок зараженных HTML-файлов содержит инструкцию, которая объявляет вирусный скрипт как автоматически выполняемый при открытии файла броузером, т.е. при открытии зараженной HTML-страницы управление автоматически передается на код вируса. Основная процедура вируса с вероятностью 1/6, в зависимости от системного датчика случайных чисел, вызывает процедуру заражения, которая ищет все *.HTM и *.HTML-файлы в текущем и всех родительских каталогах и записывается в их начало. При заражении первоначальное содержимое файлов сдвигается вниз, по этой причине вирус не портит файлы и визуально (при просмотре броузером) зараженные HTML-страницы никак не отличаются от незараженных.

Судя по описанию, работает он только под IE. Видимо, при этом используется нечто на тему создания ActiveX-объектов. Броузер при этом по умолчанию выдает соответствующее предупреждение, но мало ли любопытных ходит по сети...

Как мне подсказал Дмитрий Митрофанов, на Озоне стала продаваться книга "Атака через Интернет". Так что у не успевших поймать ее в книжных магазинах появился еще один шанс. Правда и тут надо поторопиться - запасено всего 4 коробки. Заказать книгу можно здесь.

...День спустя. Можно уже не торопиться - запасы были исчерпаны за день... Не успевшим можно разве что посоветовать оставить заявку в букинистическом поиске на Озоне.

...И еще день спустя :) С Озона сообщают - нашли еще сотню экземпляров...

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«		»