Хакер - Спецвыпуск журнала «Хакер» #47, октябрь 2004 г.

Размер, как у и любого комплекса сетевого анализа nmap, достаточно большой. Хотя и совершенствуется способ «снятия отпечатков», все еще достаточно часто приходится получать аналогичные этому выводы программы: «Это точно Винда. Версия? Или Миллениум, или 2к сервер, возможно, и 2к адванс-сервер, хотя похоже на ХР, даже вроде с первым сервиспаком». При этом Linux определяется достаточно четко.

Однозначный must have. Любой удаленный анализ сильно упрощается при использовании этой софтины. Программа считается одно из основных утилит хакера.

( www.robota.net/download?file=93)

Эта утилита представляет собой набор руткитов для ядер 2.4. Вполне интересная софтина, тем более если учесть, что все еще очень многие сервера крутятся на ядрах серии 2.4.

Основной плюс набора – минимальное изменение системной конфигурации. Работает приложение на уровне ядра, перехватывая некоторые системные вызовы ОС.

Пока возможности этого руткита очень ограниченны. Он способен лишь скрывать сетевую активность некоторых приложений.

Если нужно установить маленький и очень простой руткит – это ПО для тебя. Неплохо, когда эта софтина лежит у тебя в боекомплекте, но и без нее можно спокойно обойтись ;-).

( http://packetstormsecurity.org/UNIX/penetration/log-wipers/vanish2.tgz)

Одна из самых необходимых утилит на захваченной машине – чистильщик лог-файлов. После долгих и упорных тестов я предлагаю использовать Vanish2.

В архиве обнаружился только файл кода на языке С и хедер. Добавить make программистам уже не хватило сил, поэтому компилировать программу следует так: «gcc vanish2.c -o vanish2».

Очень грамотная чистка как текстовых, так и бинарных логов всей системы. Основное внимание следует обратить на чистки журналов messages, secure и httpd.access_log. С этой задачей ПО справилось очень хорошо: все чисто и ровно. Также к сильной стороне чистильщика следует отнести и отсутствие временных файлов после работы, они создаются во время чистки, но удаляются по ее завершении. Если процесс будет прибит, а анализ журнала не закончен, то останутся временные файлы, по которым можно вычислить, что работал логвайпер. Отсутствовали и core-файлы, то есть после работы в системе не остается практически никаких следов.

Пожалуй, единственный недостаток – это скорость работы. Полный анализ двухнедельных логов сервера занял около 10 минут.

Must have. Лучший чистильщик из всех предложенных. С задачей сокрытия следов твоей деятельности справится очень хорошо, правда, затратив на это уйму времени.

( http://www.earth.li/projectpurple/progs/sendip.html)

Размер очень маленький, а возможности интересные. Главная задача данного ПО – это отправлять пакеты на определенный IP с измененным адресом возврата. Возможность отправки пакетов от других IP-адресов поможет тебе скрыть свою активность в сети. Например, если появятся признаки того, что тебя засекли, просто запускаешь программу, указываешь ей необходимые параметры… В результате на жертву обрушиваются пакеты как будто от вполне миролюбивого хоста, что легко может сбить с толку админа. Но следует учитывать, что правильно расставленные админом сниферы выдадут тебя с потрохами «благодаря» этой софтине.

Очень общие настройки параметров исходящих пакетов, что не позволяет использовать эту программу против грамотных админов и IT-специалистов.

Если намечается атака на защищенный UNIX-хост, то запастись программой крайне желательно. При правильном использовании удастся сбить с толку подавляющее большинство администраторов. Запас беды не чинит, поэтому не поленись скачать, скомпилить и научиться пользоваться данной программой – на войне все средства хороши.

( www.p-a-t-h.sourceforge.net)

Это целый набор хакера, написанный на языке Perl. Для работы достаточно иметь на машине интерпретатор Perl, и уже можно исследовать сети.

В дистрибутиве, датированном 09.11.2003, содержатся следующие утилиты: программа-генератор произвольных пакетов, неплохой снифер, ICMP и ARP-роутер. Что интересно, этот комплекс комплектуется как консольной версией, так несложным GUI-интерфейсом. Нас, прежде всего, интересует консоль, которая реализована очень хорошо. А функциональности всего комплекса я бы поставил твердую «троечку». Просто аналогичных утилит очень много, причем они включаются как в состав целых комплексов, так и плавают по интернету в виде отдельных бинарников. Основной плюс (а часто минус) этого комплекта – это использование интерпретируемого языка для выполнения своей работы.

Если тебя интересуют маленькие и могучие программы на Perl или твоя задача – разобраться с работой сниферов, то этот набор для тебя. Если нет – его легко можно заменить бинарниками, описанными выше.

Q: Как определить, пересылаются ли логи на другие машины в сети или нет?

A: Функцию пересылки логов поддерживает демон syslogd. Во-первых, обрати внимание на процесс сервиса. Если он запущен с параметром –ss, можешь не волноваться – пересылки логов нет. Если параметры опущены, загляни в /etc/syslog.conf и поищи подстроку «@адрес_системы». Если таковая имеется, можно сделать вывод, что логи пересылаются на сторонний сервер в автоматическом режиме.

Q: Что может светить за нелегальное сканирование портов?

A: Сканирование портов – нарушение порядка в сети. Ты можешь возмутиться, мол, я же ничего не сделал – просто посмотрел состояние портов. В лучшем случае админ удаленного сервера ничего не заметит, но, если на сервере стоит утилита, отслеживающая скан, сисадм может пресечь твою деятельность, отписав провайдеру. Часто у провайдера имеется так называемый регламент, в котором есть пункт, оговаривающий сканирование. Так что, учитывая серьезность ситуации, тебя могут отключить от сети. Впрочем, физическое отключение – довольно редкое явление, но все же я рекомендую сканировать порты с удаленного шелла консольной программой (например, nmap’ом).

Q: Существуют ли специальные услуги по проверке серверов на прочность?

A: Да, такие услуги оказываются. Например, компания Positive Technologies (www.ptsecurity.ru) предлагает взломать сервер всего за $1000. Сотрудники компании пытаются хакнуть заказчика, получить там шелл и стащить конфиденциальную информацию, которая бы являлась доказательством того, что взлом удался. Эта услуга была названа «penetration testing». Естественно, проверить свой сервер на дырки – удовольствие дорогое. Клиентами займутся сотрудники PT и SecurityLab. Они гарантируют абсолютную конфиденциальность и полноту тестирования. На рынке присутствуют и другие компании: Digital Security (www.dsec.ru), НПО «Информзащита» (www.infosec.ru). Впрочем, можно пойти другим путем – пригласить знакомого хакера, если таковой имеется.