Re: Как проверить защищен ли мой порт от входящих с инэта?

To: debian-russian@lists.debian.org
Subject: Re: Как проверить защищен ли мой порт от входящих с инэта?
From: XSS Vulnerable <mental.area@gmail.com>
Date: Thu, 15 Apr 2010 04:44:08 +1100
Message-id: <[🔎] 20100415044408.469c1e9d@zont>
In-reply-to: <[🔎] 87ochm0wb0.fsf@desktop-ng.home.sw4me.com>
References: <[🔎] 20100409155609.5fecd358@zont> <[🔎] r2g41ef27e41004082241vd869db29w8014d8c36758aeef@mail.gmail.com> <[🔎] 201004091410.24479.breton.linux@gmail.com> <[🔎] 201004091504.34158.bart@solarnet.ru> <[🔎] 30986366@tigger.lan.cryptocom.ru> <[🔎] 87ochm0wb0.fsf@desktop-ng.home.sw4me.com>

On Wed, 14 Apr 2010 21:37:55 +0400
Anton Kovalenko <anton@sw4me.com> wrote:

> On Wed, Apr 14 2010, Artem Chuprina wrote:
> 
> >   И нет, по большинству из них имеется в виду не
> > винда, а "железный" роутер.
> >
> > FTP, telnet и HTTP в двух ипостасях - подбор пароля и дальнейшее
> > управление машинкой, tftp - вообще, извините, заливка прошивки,
> > SNMP - я думаю, просто слишком много расскажет, если хорошо
> > допросить.
> 
> Да и HTTP (вебморды) часто хватает для перепрошвки (а вот tftp -
> наоборот: чтобы какой-нибудь роутер смог подключиться к WAN и _потом_
> оттуда прошиваться в рабочем режиме, на свой внешний адрес... ну,
> может, и бывает, но не попадалось).
> 
> Зато припоминаю я, что во времена unicode bug в IIS tftp.exe почему-то
> часто использовался для втаскивания своего кода на похаканную виндовую
> машину. Может, потому что FTP тогда чаще закрывали файрволлом, а TFTP
> упускали. А может, из cmd.exe /c проще было им воспользоваться.
> 
> >  MAA> Вот странные люди из акадо даже 53/udp фильтруют. На вопрос
> >  MAA> "зачем" ответить не смогли.
> >
> > Вероятно, были атаки.  Какой-нибудь распространенный червяк,
> > работающий через DNS.  (Причем, скорее, даже не взлом DNS, а именно
> > работа через DNS уже руткитовой части.)
> 
> Скорее всё же рефлекс от bind'овых червяков. Ибо блокирование внешних
> запросов к DNS ничуть не мешает руткиту именно _работать через DNS_
> (провайдера). Обсуждали подобное несколько лет назад в RU.NETHACK (ну,
> речь шла о виндовых троянах): первый рефлекс (и у меня тоже) - закрыть
> 53 порт, поставить внутренний DNS, спать спокойно. Но вот трояну это
> совершенно не мешает взаимодействовать с трояносервером через честный
> gethostbyname().
> 
Я позавчера установил руткит (правда наполовину руткит) одному пацану,
используя свой динамический IP. ;) и динамический запрос DNS так
сказать. На домашнем компе запустил апач, создал сайт в программе
quanta. Дал ему ссылку, он туда зашел и скачал архив. Он думал что это
игра для Linux'a. Запустил сценарий ./install.sh от рута, и я его
взломал. :(((( только плохого не думайте, у меня были с ним счеты.

Reply to:

Follow-Ups:
- Re: Как проверить защищен ли мой порт от входящих с инэта?
  - From: Anton Kovalenko <anton@sw4me.com>

References:
- Как проверить защищен ли мой порт от входящих с инэта?
  - From: XSS Vulnerable <mental.area@gmail.com>
- Re: Как проверить защищен ли мой порт от входящих с инэта?
  - From: Konstantin Matyukhin <kmatyukhin@gmail.com>
- Re: Как проверить защищен ли мой порт от входящих с инэта?
  - From: Boris Bobrov <breton.linux@gmail.com>
- Re: Как проверить защищен ли мой порт от входящих с инэта?
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: Как проверить защищен ли мой порт от входящих с инэта?
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Как проверить защищен ли мой порт от входящих с инэта?
  - From: Anton Kovalenko <anton@sw4me.com>

Prev by Date: Re: Как проверить защищен ли мой порт от входящих с инэта?
Next by Date: Re: Как проверить защищен ли мой порт от входящих с инэта?
Previous by thread: Re: Как проверить защищен ли мой порт от входящих с инэта?
Next by thread: Re: Как проверить защищен ли мой порт от входящих с инэта?
Index(es):
- Date
- Thread