- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Защита файлов журналов в nt
В первую очередь для защиты файлов журнала нужно ограничить физический доступ к серверу. Одним из немногих методов изменения файлов журнала является перезагрузка системы. Если взломщик не сможет добраться до сервера, он не сможет изменить файлы журнала. Кроме того, большинство методов защиты файлов журнала под UNIX подходят и для NT. Ниже приведен список основных действий, которые нужно выполнить для защиты журналов в NT.
-
Установить правильные права доступа к файлам журнала.
-
Использовать отдельный сервер.
-
Проводить регулярное резервное копирование журналов
-
Использовать одноразовое накопители.
-
Кодировать файлы журнала.
-
Регулярно просматривать файлы журнала.
Существуют также средства от сторонних производителей, которые работают с системой syslog и таким образом облегчают отправку журналов на отдельный сервер. В их число входят:
-
SL4NT —можно получить по адресу: http://www.netal.com/sl4nt.htm
-
Kiwi's syslog —можно получить по адресу: http: //www.kiwi-enterprises.com
Кроме того, если ваши серверы UNIX и NT отправляют файлы журналов на одну машину, это значительно облегчает администрирование всей системы.
Информация о файлах
Информация о файлах также может быть использована для обнаружения взлома. В большинстве случаев при создании люка взломщик должен изменить некоторые системные файлы. Помните, что независимо от типа операционной системы, всегда существуют файлы, которые отвечают за ее работу. Эти файлы никогда не должны изменяться. Для создания люка взломщик должен изменить некоторые из них. Таким образом, для скрытия следов присутствия взломщик должен скрыть изменения в системных файлах.
Взгляд со стороны взломщика
Очевидно, что взломщику крайне важно сделать так, чтобы после проникновения в систему и создания люков система выглядела так же, как до проникновения. Таким образом, все файлы, которые были изменены, следует привести к предыдущему виду. С датой, это сделать легко: для этого достаточно запомнить первоначальную дату перезаписи и изменить ее после редактирования файла. Поскольку система не знает, что дата создания была изменена, она примет ее. Таким образом, если измените дату создания, все будут считать, что файл не изменялся.
Существует несколько утилит под UNIX, которые можно скачать по адресу: ftp://ftp.technotronic.com/unix. Эти утилиты позволяют изменять атрибуты файлов. Одной из таких программ является fix.с, которая позволяет изменять контрольную сумму и прочие атрибуты файла. Кроме того, утилиты изменения атрибутов имеют некоторые программы из наборов взломщика. Помните, что такая информация, по сути, является только атрибутом и хранится в файле. Вы можете установить атрибут размера файла равным 1 Мбайт, тогда как реальный размер будет равен 15 Мбайт. Большинство наборов для подмены файлов не только создают люки в системе, но также скрывают следы присутствия взломщика.
Под NT существует не много утилит, которые позволяют взломщику скрывать следы.Однако, как было показано на примере даты и времени, кое-что все таки можно сделать. В принципе программу скрытия следов написать довольно просто.