Re: Как проверить защищен ли мой порт от входящих с инэта?
On Wed, Apr 14 2010, Artem Chuprina wrote:
> И нет, по большинству из них имеется в виду не
> винда, а "железный" роутер.
>
> FTP, telnet и HTTP в двух ипостасях - подбор пароля и дальнейшее
> управление машинкой, tftp - вообще, извините, заливка прошивки, SNMP - я
> думаю, просто слишком много расскажет, если хорошо допросить.
Да и HTTP (вебморды) часто хватает для перепрошвки (а вот tftp -
наоборот: чтобы какой-нибудь роутер смог подключиться к WAN и _потом_
оттуда прошиваться в рабочем режиме, на свой внешний адрес... ну, может,
и бывает, но не попадалось).
Зато припоминаю я, что во времена unicode bug в IIS tftp.exe почему-то
часто использовался для втаскивания своего кода на похаканную виндовую
машину. Может, потому что FTP тогда чаще закрывали файрволлом, а TFTP
упускали. А может, из cmd.exe /c проще было им воспользоваться.
> MAA> Вот странные люди из акадо даже 53/udp фильтруют. На вопрос
> MAA> "зачем" ответить не смогли.
>
> Вероятно, были атаки. Какой-нибудь распространенный червяк, работающий
> через DNS. (Причем, скорее, даже не взлом DNS, а именно работа через
> DNS уже руткитовой части.)
Скорее всё же рефлекс от bind'овых червяков. Ибо блокирование внешних
запросов к DNS ничуть не мешает руткиту именно _работать через DNS_
(провайдера). Обсуждали подобное несколько лет назад в RU.NETHACK (ну,
речь шла о виндовых троянах): первый рефлекс (и у меня тоже) - закрыть
53 порт, поставить внутренний DNS, спать спокойно. Но вот трояну это
совершенно не мешает взаимодействовать с трояносервером через честный
gethostbyname().
--
Regards, Anton Kovalenko
+7(916)345-34-02 | Elektrostal' MO, Russia
Reply to: