On Wed, 14 Apr 2010 21:37:55 +0400 Anton Kovalenko <[email protected]> wrote:
> On Wed, Apr 14 2010, Artem Chuprina wrote: > > > И нет, по большинству из них имеется в виду не > > винда, а "железный" роутер. > > > > FTP, telnet и HTTP в двух ипостасях - подбор пароля и дальнейшее > > управление машинкой, tftp - вообще, извините, заливка прошивки, > > SNMP - я думаю, просто слишком много расскажет, если хорошо > > допросить. > > Да и HTTP (вебморды) часто хватает для перепрошвки (а вот tftp - > наоборот: чтобы какой-нибудь роутер смог подключиться к WAN и _потом_ > оттуда прошиваться в рабочем режиме, на свой внешний адрес... ну, > может, и бывает, но не попадалось). > > Зато припоминаю я, что во времена unicode bug в IIS tftp.exe почему-то > часто использовался для втаскивания своего кода на похаканную виндовую > машину. Может, потому что FTP тогда чаще закрывали файрволлом, а TFTP > упускали. А может, из cmd.exe /c проще было им воспользоваться. > > > MAA> Вот странные люди из акадо даже 53/udp фильтруют. На вопрос > > MAA> "зачем" ответить не смогли. > > > > Вероятно, были атаки. Какой-нибудь распространенный червяк, > > работающий через DNS. (Причем, скорее, даже не взлом DNS, а именно > > работа через DNS уже руткитовой части.) > > Скорее всё же рефлекс от bind'овых червяков. Ибо блокирование внешних > запросов к DNS ничуть не мешает руткиту именно _работать через DNS_ > (провайдера). Обсуждали подобное несколько лет назад в RU.NETHACK (ну, > речь шла о виндовых троянах): первый рефлекс (и у меня тоже) - закрыть > 53 порт, поставить внутренний DNS, спать спокойно. Но вот трояну это > совершенно не мешает взаимодействовать с трояносервером через честный > gethostbyname(). > Я позавчера установил руткит (правда наполовину руткит) одному пацану, используя свой динамический IP. ;) и динамический запрос DNS так сказать. На домашнем компе запустил апач, создал сайт в программе quanta. Дал ему ссылку, он туда зашел и скачал архив. Он думал что это игра для Linux'a. Запустил сценарий ./install.sh от рута, и я его взломал. :(((( только плохого не думайте, у меня были с ним счеты. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/20100415044408.469c1...@zont
