HACK-FAQ
Xakep, номер #034, стр. 034-078-1
Horrific (hack-faq@real.xakep.ru) www.cydsoft.com/vr-online
Задавая вопросы, конкретизируй их. Давай больше данных о системе, описывай абсолютно все, что ты знаешь о ней. Это мне поможет ответить на твои вопросы и указать твои ошибки. И не стоит задавать вопросов вроде "Как сломать www-сервер?" или вообще просить у меня "халявного" Internet'а. Я все равно не дам, я жадный :).
Q: Расскажите, плз, про новый вирус SirCam.
Н: Это простое Windows-приложение. Размер - 130 Кб. Написан он явно на Delphi. В процессе распространения он может прикреплять к себе файлы DOC, XLS, ZIP, так что размер вложенного в письмо файла может быть более 130 Кб.
После запуска червь рассылает сообщения, содержащие вложенные файлы с копией червя. Распространяется по локалке, если в сети есть расшаренные на запись диски. В определенное время SirCam выполняет процедуру, которая может напакостить, а именно - удалить файлы с твоего винта. А также он распространяется классическим методом, через почту. Имя файла случайное, но имеет двойное расширение, типа filename.gif.exe.
После заражения в системе могут появиться файлы SCT1.DLL и SCY1.DLL. А также можно найти в системе или корзине файлы SirC32.exe, SCam32.exe, ScMx32.exe. В autoexec.bat может появиться строка: @win \recycled\SirC32.exe
Q: Подскажите несколько списков рассылок, не требующих подтверждения (язык значения не имеет). Хочу товарища подписать ;).
Н: Зайди на любой порносайт и попробуй зарегиться. Креду указывать не надо, укажи только e-mail и нажми Enter или Submit, ну, в общем, отправь данные. Несмотря на то, что сервер проматерится на неправильность данных о креде, мыло будет записано в базу рассылки новостей. После этого твой "товарищ" задолбается спам качать.
Q: Возможно ли отправить письмо жертве так, чтобы в поле "От:" у нее было один е-мэйл (ex. vasya@taburetkin.ru), а при ответе на это письмо ответ шел бы на другое мыло (ex. agent@fsb.ru)??
H: Можно. Заведи мыло vasya@taburetkin.ru, в настройках мыльника (для The Bat) выбери "Ящик -> Свойства" и укажи обратный адрес, какой захочешь. Некоторое ламье может упустить эту простую уловку, но зоркий глаз продвинутого юзера заметит подставу. Обратный адрес никуда не скрывается и, например, в том же The Bat бросается прямо в глаза. Хотя в OE он не так заметен.
Q: Понимают ли Линухи/ФриБзди FAT32 и NTFS5 (на котором пасется W2k)? И вообще, какие *nix'ы на каких файловых системах могут сидеть?
Н: Некоторые linux-ы действительно могут работать на FAT, но вот на NTFS5 вроде ни одна еще не смогла. Он даже монтирует NTFS5 с проблемами. Вообще-то, я тебе не советую ставить сервер на FAT или даже FAT32, потому что у них защищенность - полный ноль. А вот замонтировать любой linux может практически любую файловую систему.
Q: Для чего нужны рут-шелы и где достать рут-шел аккаунты?
H: Для начала объясню, что такое рут-шелл. В окнах есть учетная запись "Администратор". Ей позволено делать все. А в *nix эту роль выполняет учетная запись рут (root). Шел (Shell) - это командный интерпретатор, с помощью которого можно выполнять команды прямо на сервере. Итак, если ты получишь Shell на каком-нибудь сервере с правами root (то есть со всеми правами), то ты сможешь делать все что захочешь. Это и называется рут-шелл.
