BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/2000/04-03-0.html

4 марта 2000, #90

подарок секретаршам (4.03.2000 04:55:57)

Ввод заветного сочетания символов "Яр-Тур.~" напрочь вышибает Word'97, равно как и Word'2000 при включенной проверке грамматики на лету (по крайней мере, при установленных модулях для проверки русской грамматики). Причем сие происходит только при набивании вручную, при копировании из клипборда все тихо. Чудны дела твои...


тут icq давили-давили... (4.03.2000 04:44:37)

"Радио - великое изобретение человечества. Одно движение руки - и ничего не слышно" (если не ошибаюсь, Станислав Ежи Ленц).

Цитата из письма, которое отфорвардил Ярослав Алексеев:

Здравствуйте!

На текущий момент сетb 195.161.0.0/16 и 213.24.0.0/16 заблокированы компанией AOL - применен фильтр по source address ко всем сервисам ICQ + заблокирован доступ к веб-серверам www.ICQ.com www.ICQ.net icq.mirabilis.com

На текущий момент нормальная работа указанных сервисов не восстановлена. AOL ведет себя крайне странно. :(

Вот выдержка из письма представителей компании AOL:

> Dmitry,
>
> This is the response from AOL.
>
> Darryl/C&W
>
> 195.161.0.0/16 has been identified as a hacker network and
> has been blocked. They should be able to reach the site
> from
>
> Cleve...

Best regards,
_______________________________________
Dmitry Safronov
Rostelecom/Internet Centre
Tel: +007 (095) 334-9983
Fax: +007 (095) 339-2415

Hacker network - и все дела. Интересно, это как же их надо было достать, а? Впрочем, AOL не привыкать отрубать доступ дорогим россиянам.

А вообще, я давно уже собирался сказать пару ласковых на тему icq. На вопрос "что такое icq?" я бы сейчас ответил так: перегруженный функциями глюкодром, основанный на закрытом дырявом протоколе, который я бы ни за что не пустил в корпоративную сеть, и который, как это ни прискорбно, стал стандартом де-факто в своей нише. (Еще меня ужасно раздражает идиотски-фамильярная калька "аська", но это я уже злобствую, а может быть, реклама про тетю Асю повлияла :) ).

Мне ужасно жаль, что при ее написании было принято решение изобретать свой велосипед, латанной-перелатанной версией которого, обвешанной погремушками, мы сейчас и наслаждаемся. Фактически используются четыре основные возможности icq: отслеживание появления нужного человека в онлайне, передача сообщений, чат, передача файлов. Все то же самое позволяет реализовать стандартный irc (чат, извещения, онлайновое общение, файлы) с до боли стандартной электронной почтой (пересылка сообщений и файлов отсутствующим в онлайне пользователям - кстати, файлы icq при таком раскладе передавать уже не может). А использование для идентификации почтовых адресов выглядит гораздо естественнее, чем те номера, которые всем присваиваются в icq, и которые делают изумительно легким спам. Опять же, нет психоза вокруг крутых коротких uin'ов. Ну кто, кто мешал объединить эти вещи в одном клиенте? Получилась бы изумительная открытая система, спокойно стыкующаяся с другими почтовыми и irc-клиентами, не привязанная к каким-то конкретным серверам, и дающая начинающему пользователю ту самую простоту, которой icq и взяла.

Увы, но такое решение было бы гораздо менее выгодным, чем создание закрытого протокола и привязывание миллионов пользователей к своим серверам. Процитированное выше письмо - наглядная демонстрация того, к чему это приводит. Да, с блокировкой можно бороться, используя socks-proxy, но кто знает, что будет дальше? Еще и на рекламу в окошке насмотримся (как у очередного уродца, Odigo), и скандалы про privacy обязательно будут, а уж массовые захваты uin'ов и предсказывать не нужно. Всяким же клонам можно просто давать отлуп на серверах, да и вообще к суду привлечь за наглый хак протокола, нет предела совершенству...


DoS-атака на линуксовые ftp-серверы (4.03.2000 02:44:17)

Упоминалась в RSN, теперь поподробнее:

В общем, ситуация следующая

По адресу : http://neworder.box.sk/showme.php3?id=1465 лежит описание DoS-атаки для NT-вого WarFtpd ( патчики против нее для этого демона уже есть ;-}} ) ,

Соответственно - бинарник , запускаемый из под Windows '9x/NT , лежит здесь:
http://www.ussrback.com/diewa170/diewa170.exe
а его source code :
http://www.ussrback.com/diewa170/diewa170.zip

При рассмотрении более вооруженным глазом оказалось , что данная атака валит не только WarFtpd , но и обычные ftpd в Linux - пробовались на выбор wu-ftpd , proftpd , ftpd-BSD ( BSD-шный порт ftpd под Linux ) , с kernel до 2.11 включительно .

Как оказалось, ftpd прибивается самим inetd с записью в log'ах :
inetd[1069]: ftp/tcp server failing (looping), service terminated

При этом ftpd падает на срок примерно 10 минут , затем - поднимается , В log'aх остается сильномогучая запись о большом количестве коннектов с определенного адреса , так что сильно далеко злоумышленник не спрячется ... ;-}} Хотя - никто ему не помешает попортить провайдеру крови .

Как с ЭТИМ бороться .

Лечится радикальной заменой inetd на xinetd . Последний лежит на http://www.xinetd.org Там же лежат его FAQ , rpm'ы и source .

Как ставим .

1) Из лежащих на сайте rpm'ов собирать xinetd НЕЛЬЗЯ . Oни там - мягко говоря - КРИВЫЕ .
2) Собирать его можно и нужно из сорцов или из srpm командой rpm --rebuild xxxx.src.rpm , а потом уже получившийся пересобраный rpm устанавливать .
3) Далее - inetd после установки xinetd надо обязательно прибить
4) xinetd умеет преобразовывать конфиг inetd.conf в xinetd.conf , но ТОЛЬКО ИДУЩИМ С НИМ perl'овым скриптом - xconv.pl , который после установки лежит в /usr/sbin Дополнительный исполняемый файл itox , делающий то же самое - неработоспособен .

Сухой остаток . Для Redhat и клонов .
Берем ftp://ftp.freshmeat.net/pub/rpms/xinetd/xinetd-2.1.8.8p1-1.src.rpm
Делаем из него
rpm --rebuild xinetd-2.1.8.8p1-1.src.rpm
Система транслирует пргрму в rpm и ложит в /usr/src/redhat/RPMS/i386
Оттуда ставим оба rpm'a - сам продукт и xinet-devel .
НЕ перезагружая систему запускаем просто
setup    system service     убираем галочку возле inetd
( сие можно сделать и ручками , но так - проще . ;-}} )
Далее посредством командочки
/usr/sbin/xconv.pl < /etc/inetd.conf > /etc/xinetd.conf преобразуем inetd.conf в xinetd.conf.
На всякий случай смотрим его более вооруженным глазом , и при необходимости - правим .
Перезагружаем цомпутер и получаем неубивабельный ftpd в Linux

P.S. На решение данной проблемы меня подтолкнул автор Black Cat Linux г-н Леонид Кантер.
Посему - ВСЕ ЛАВРЫ - его скромной персоне ...

P.P.S. "Рабочий" Linux стоит на Black Cat Linux v6.02 + fixes + ftpd - ftpd-BSD - портированый BSD-шный . Взят с : http://www.eleves.ens.fr:8080/home/madore/programs/#prog_ftpd-BSD

Письмо в общем-то исчерпывающее, и мне очень жаль, что автор пожелал остаться неназванным. Упомянутый xinetd - продвинутая в плане безопасности замена стандартного inetd, обеспечивающая, например, контроль доступа, ограничения на входящий трафик и количество соединений с одним хостом (что собственно и позволяет справляться со многими DoS-атаками), ну и для кучи - перекидывать tcp-пакеты на другой хост, работая по совместительству NAT'ом.


shareware trojan (1.03.2000 23:02:16)

Информацию о том, что, возможно, не все чисто с рекламным движком от Aureate для shareware-программ, я в первый раз получил от Дмитрия Бычкова недели три назад, но особого внимания этому не придал - ну мало ли какие тексты программисты впихивают в свои программы, чувство юмора у всех разное.

Однако ж история получила продолжение. Для начала - письмо:


============ 25/02/2000 ==============

Начало всей истории: В связи с поступлением файла ACID.TXT от AkKort'a (sos@russiamail.com), я начал изучение вопроса, описанного в нем, так как прочитанному просто не поверил.

Для начала выяснилось, что файлы:

amcis2.dll
ipcclient.dll
........
msipcsv.exe

(это у себя где-то в \windows ищите, у меня они в \winnt\system32 лежат, [WinNT4/SP6]), и, возможно, другие, с ними связанные, не имеют ничего в поле Copyrights (смотри Property/Version по правой кнопке мыши на файле).

Меня это насторожило, я начал смотреть далее. Никто из файлов (список в аттаче) не привлек особого внимания, и в конце я пришел к файлу - msipcsv.exe

Все вызовы из остальных модулей шли именно к функциям из этого EXE. Я начал его просматривать.

Внутри msipcsv.exe для начала был обнаружен текст:

-----------------------------------------
In its feet, because if it steps on you, you're fucked! Where is an elephant's sex organ? My girlfriend is a naemad, excepting the Dionysian rituals, of course. Sesquipedallion fever, baby! I'm losing my perspicacity! Defenestration is your friend. If you're reading this, you're probably pretty smart. Llamas and aardvarks and bunnies, oh my! Caffeine, despite its negative reputation in the medical community, is actually quite good for you. Mike is a studly programmer. Recent studies indicate that certain kinds of grapefruit juice have strong drug interactions.
----------------------------------------

После прочтения этого, у меня возникло желание поизучать замечательный msipcsv.exe еще более детально. Внутри также обнаружились строки от библиотеки по сжатию/расжатию данных - (видимо чтобы что-то передавалось упакованным)
deflate 1.0.4 Copyright 1995-1996 Jean-loup Gailly
Inflate 1.0.4 Copyright 1995-1996 Mark Adler

После обнаружения этих строк я уже был морально готов увидеть и работу с сетью. Она не заставила себя долго ждать: идентификатор класса CSocket идет чуть ниже в теле .exe-файла, там же видны строки запросов по HTTP.

Ну и конечно стало интересно - кому же это все нужно.

Автор программы и не пытался этого скрыть, URLы в файле видны как plain text:

adsoftware.com
aureate.com

Я специально проверил дистрибутив WinNT Server 4 (без сервис паков), на наличие этих файлов - так вот, их там не оказалось.

Было уже ранее утро, я остановился в своих исследованиях и решил продолжить потом.
======================================

И вот...

Дополнение от 26/02/2000:

Как я понял, cмысл всей этой затеи: эта прога как-то хитро встраивается в браузер и начинает тебе подсовывать баннеры, причем не те, что на странице ты видишь, а какие она сама считает нужным показать.

Причем все баннеры и свои "инструкции" она скачивает с сайта aureate.com. Также оттуда она скачивает всякие хитрые патчи для себя, и туда же отправляет про тебя всякую статистику.

Свой кэш по скаченным банерам и также части HTML кода, подсовываемого вам в браузер, хранится в директории (системной скрытой): c:\winnt\amcdl для windows9x - думаю это будет: c:\windows\amcdl проверьте у себя - там много чего интересного найдете... ;-)

По большому счету на эту aureate.com стоило подать в суд за такое. Думаю рано или поздно так и поступят.

Как с этим боротся?

Я сделал просто - полез в c:\winnt\system32 и вытер нафиг следующее: (для windows9x будет, соответственно, немного другой путь)

11.12.99 17:02 110 592 adimage.dll
23.11.99 09:23 40 960 amcis2.dll
10.12.99 06:07 16 788 amcompat.tlb
29.11.99 13:15 53 248 htmdeng.exe
23.11.99 09:21 36 864 IPCClient.dll
30.11.99 17:30 294 912 msipcsv.exe
08.12.99 15:52 57 344 tfde.dll

Затем потер кэш этой проги - он (как я уже говорил) в c:\winnt\amcdl. Перегрузил NT, проверил оба браузера - все пашет. Вот в общем-то и все.

Какой вывод? Устанавливая программы третьих производителей (а я про производителей операционных систем вообще молчу), ты наверняка ставишь себе какой нибудь backdoor, хочешь ты этого или нет, и никакие свежие антивирусы от этого не помогут. За тобой все равно будут смотреть, данные твои будут иметь, в броузер тебе будут засовывать не то, что ты смотришь, а в нужный момент могут и все грохнуть.

Поищите эти файлы у себя на диске...
Delmore [SOS group]
delmore@moscowmail.com

На самом деле, подменой баннеров в броузере, конечно же, никто не занимается - назначение движка состоит в показе баннеров внутри shareware-программ - таких как CuteFTP, ReGet и т.п. До сих пор все не очень страшно - понятно, подобный движок должен периодически скачивать очередную порцию баннеров, и возмущаться нечего - все эти программы честно о баннерах предупреждают. Но вот то, что описано в acid.txt - передача имени владельца системы, взятое из реестра, списка установленного софта, номер телефона для dial-up'а - уже совсем не смешно, и за такое в приличной компании бьют канделябром.

Уже после того как этот текст попал на web, выяснилось, что провалявшись несколько дней с гриппом, я прилично отстал от жизни. Как раз всю последнюю неделю скандал покруг Aureateвского движка и разворачивался. Фактов, подтверждающих сказанное выше, приведено не было, Aureate выступила с клятвенными уверениями в том, что она чтит прайваси и уголовный кодекс, это же подтвердила и NAI (правда, из последнего текста неясно, проверялся ли код, или так, поверили на слово). С еще одной версией случившегося можно ознакомиться здесь. Так что тревогу в общем-то можно считать ложной, хотя претензии к движку все же остаются - например, он остается в системе и после деинсталляции основной программы, что, во-первых, не создает впечатления грамотного программирования, а во-вторых, создает отличную почву для всевозможных подозрений.

Напоследок - заявление, пришедшее из ReGet Software:

Компания ReGet Software официально заявляет, что текущая версия ReGet 1.6 не имеет никакого отношения к компании Aureate Media, вызвавшей скандал, связанный с тем, что библиотеки, устанавливаемые баннерной службой этой компании, по некоторым данным, отправляют на сервер компании информацию о системе без ведома пользователя. Стоит отметить, что в некоторых ранних бета-версиях ReGet 1.5 действительно использовался баннерный SDK компании Aureate Media, поэтому ReGet до сих пор числится в списке членов сети Aureate, однако уже официальный релиз ReGet 1.5 был выпущен с баннернной службой от компании Conducent, Inc., так что пользователи всех версий ReGet 1.6 - как зарегистрированных, так и бесплатных - могут быть абсолютно спокойны, ReGet не использует рекламных модулей от Aureate.


бедные, бедные линейки Голомба (23.02.2000 16:06:54)

Все-таки не везет проекту OGR. И старт переносился, и сейчас, через неделю после начала, пришлось его приостановить. На сей раз ребята напоролись на проблему порядка следования байт в слове.

На привычных интеловских платформах в слове вначале идет младший байт- т.е. число 0x1234 в памяти хранится как 0x34 0x12, порядок этот получил название Little Endian. На других платформах может встречаться и Big Endian, это характерно для RISC-процессоров, а, скажем, MIPS и Alpha, насколько я помню, позволяют переключаться между этими схемами При работе в гетерогенных средах все это обычно приводится к единому знаменателю - в winsock'е для написания переносимых приложений есть несколько функций с именами типа htonX/ntohX (преобразования из привычного порядка хоста в принятого для сети и обратно, вместо X подставляется l для long, s для short).

Вот ровно вызов функции ntohl и был пропущен в коде OGR-клиента... Комментировать этот факт особо не хочется, но впечатление удручающее - только за последние несколько месяцев это третья крупная плюха после всем памятных сбоев статистики при запуске CSC и ошибки в коде, раздающем ключи CSC.


Interix (22.02.2000 02:48:18)

Тут Microsoft порадовала пресс-релизом о неком своем продукте под разванием Interix, как-то незаметно доросшим до версии 2.2 (точнее, раньше он рос на другом дереве, в сентябре прошлого года прикупленном MS).

Речь идет о подсистеме для NT и '2000, занимающейся исполнением юниксовых приложений без эмуляции и принципиальных переделок (хотя перекомпилировать их все же придется). В принципе, зачатки этого были и раньше, механизм подсистем в NT живет со младенчества, но дело как-то ограничивалось подсистемой POSIX, соответствующей аж POSIX.1

Теперь же обещается рай на земле, начиная с трех сотен родных юниксовых утилит и соответствия POSIX.2, кончая bsdшными сокетами и X-клиентами.

Впрочем, не сказать, чтобы это было прорывом - достаточно вспомнить тот же Open NT (я даже засомневался, не оно ли это, только в другой реинкарнации - надо будет уточнить), да и тот же cygwin, который вместе с ActiveState Perl'ом лично я ставлю в систему в одну из первых очередей. А вообще - вполне логичный шаг, в рамках общей стратегии по оттеснению юниксов. Посмотрим, насколько оно поможет.


VelvetSweatshop (22.02.2000 00:01:18)

Как сообщил Павел Семьянов, если запаролить Excel-файл (Excel'97 и Exсel'2000, по крайней мере) вышеупомянутым словом, то потом Excel спокойно откроет этот файл, и не думая запрашивать пароль. Очень экзотический Easter Egg :)

Впрочем, немного подумав, я таки сочинил более-менее разумное объяснение: если доступ на запись защищен отдельным паролем, то он все же спрашивается - так что похоже на попытку сэкономить на вводе при отладке процедуры проверки пароля на запись.

Хотя, конечно, глупость :)


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »






  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach