Ввод заветного
сочетания символов "Яр-Тур.~" напрочь вышибает Word'97,
равно как и Word'2000 при включенной проверке грамматики на лету (по
крайней мере, при установленных модулях для проверки русской грамматики).
Причем сие происходит только при набивании вручную, при копировании
из клипборда все тихо. Чудны дела твои...
DoS-атака на линуксовые
ftp-серверы (4.03.2000 02:44:17)
Упоминалась в RSN, теперь поподробнее:
В общем, ситуация следующая
По адресу : http://neworder.box.sk/showme.php3?id=1465
лежит описание DoS-атаки для NT-вого WarFtpd ( патчики против нее
для этого демона уже есть ;-}} ) ,
Соответственно
- бинарник , запускаемый из под Windows '9x/NT , лежит здесь:
http://www.ussrback.com/diewa170/diewa170.exe
а его source code :
http://www.ussrback.com/diewa170/diewa170.zip
При рассмотрении более вооруженным глазом оказалось , что данная атака
валит не только WarFtpd , но и обычные ftpd в Linux - пробовались
на выбор wu-ftpd , proftpd , ftpd-BSD ( BSD-шный порт ftpd под Linux
) , с kernel до 2.11 включительно .
Как оказалось,
ftpd прибивается самим inetd с записью в log'ах :
inetd[1069]: ftp/tcp server failing (looping), service terminated
При этом ftpd падает на срок примерно 10 минут ,
затем - поднимается , В log'aх остается сильномогучая запись о большом
количестве коннектов с определенного адреса , так что сильно далеко
злоумышленник не спрячется ... ;-}} Хотя - никто ему не помешает попортить
провайдеру крови .
Как с ЭТИМ бороться .
Лечится радикальной заменой inetd на xinetd . Последний лежит на http://www.xinetd.org Там же лежат
его FAQ , rpm'ы и source .
Как ставим .
1) Из лежащих на сайте rpm'ов собирать xinetd НЕЛЬЗЯ . Oни там
- мягко говоря - КРИВЫЕ .
2) Собирать его можно и нужно из сорцов или из srpm командой rpm
--rebuild xxxx.src.rpm , а потом уже получившийся пересобраный rpm
устанавливать .
3) Далее - inetd после установки xinetd надо обязательно прибить
4) xinetd умеет преобразовывать конфиг inetd.conf в xinetd.conf
, но ТОЛЬКО ИДУЩИМ С НИМ perl'овым скриптом - xconv.pl , который после
установки лежит в /usr/sbin Дополнительный исполняемый файл itox ,
делающий то же самое - неработоспособен .
Сухой
остаток . Для Redhat и клонов .
Берем ftp://ftp.freshmeat.net/pub/rpms/xinetd/xinetd-2.1.8.8p1-1.src.rpm
Делаем из него
rpm --rebuild xinetd-2.1.8.8p1-1.src.rpm
Система транслирует пргрму в rpm и ложит в /usr/src/redhat/RPMS/i386
Оттуда ставим оба rpm'a - сам продукт и xinet-devel .
НЕ перезагружая систему запускаем просто
setup ══ system service ════убираем галочку возле inetd
( сие можно сделать и ручками , но так - проще . ;-}} )
Далее посредством командочки
/usr/sbin/xconv.pl < /etc/inetd.conf > /etc/xinetd.conf преобразуем
inetd.conf в xinetd.conf.
На всякий случай смотрим его более вооруженным глазом , и при
необходимости - правим .
Перезагружаем цомпутер и получаем неубивабельный ftpd в Linux
P.S. На решение данной проблемы меня подтолкнул
автор Black Cat Linux
г-н Леонид Кантер.
Посему - ВСЕ ЛАВРЫ - его скромной персоне ...
P.P.S. "Рабочий" Linux стоит на Black Cat Linux v6.02 + fixes + ftpd
- ftpd-BSD - портированый BSD-шный . Взят с : http://www.eleves.ens.fr:8080/home/madore/programs/#prog_ftpd-BSD
Письмо в общем-то исчерпывающее, и мне очень жаль, что автор пожелал
остаться неназванным. Упомянутый xinetd - продвинутая в плане безопасности
замена стандартного inetd, обеспечивающая, например, контроль доступа,
ограничения на входящий трафик и количество соединений с одним хостом
(что собственно и позволяет справляться со многими DoS-атаками), ну
и для кучи - перекидывать tcp-пакеты на другой хост, работая по совместительству
NAT'ом.
shareware trojan
(1.03.2000 23:02:16)
Информацию о том, что, возможно, не все чисто с рекламным
движком
от Aureate для shareware-программ, я в первый раз получил от Дмитрия
Бычкова недели три назад, но особого внимания этому не придал - ну
мало ли какие тексты программисты впихивают в свои программы, чувство
юмора у всех разное.
Однако ж история получила продолжение. Для начала - письмо:
============ 25/02/2000 ==============
Начало
всей истории: В связи с поступлением файла ACID.TXT
от AkKort'a (sos@russiamail.com), я начал изучение вопроса, описанного
в нем, так как прочитанному просто не поверил.
Для
начала выяснилось, что файлы:
amcis2.dll
ipcclient.dll
........
msipcsv.exe
(это у себя где-то в \windows ищите, у меня они в \winnt\system32
лежат, [WinNT4/SP6]), и, возможно, другие, с ними связанные, не имеют
ничего в поле Copyrights (смотри Property/Version по правой кнопке
мыши на файле).
Меня это насторожило, я начал смотреть
далее. Никто из файлов (список в аттаче) не привлек особого внимания,
и в конце я пришел к файлу - msipcsv.exe
Все вызовы
из остальных модулей шли именно к функциям из этого EXE. Я начал его
просматривать.
Внутри msipcsv.exe для начала был
обнаружен текст:
-----------------------------------------
In its feet, because if it steps on you, you're fucked! Where
is an elephant's sex organ? My girlfriend is a naemad, excepting the
Dionysian rituals, of course. Sesquipedallion fever, baby! I'm losing
my perspicacity! Defenestration is your friend. If you're reading
this, you're probably pretty smart. Llamas and aardvarks and bunnies,
oh my! Caffeine, despite its negative reputation in the medical community,
is actually quite good for you. Mike is a studly programmer. Recent
studies indicate that certain kinds of grapefruit juice have strong
drug interactions.
----------------------------------------
После
прочтения этого, у меня возникло желание поизучать замечательный msipcsv.exe
еще более детально. Внутри также обнаружились строки от библиотеки
по сжатию/расжатию данных - (видимо чтобы что-то передавалось упакованным)
deflate 1.0.4 Copyright 1995-1996 Jean-loup Gailly
Inflate 1.0.4 Copyright 1995-1996 Mark Adler
После обнаружения этих строк я уже был морально готов увидеть и работу
с сетью. Она не заставила себя долго ждать: идентификатор класса CSocket
идет чуть ниже в теле .exe-файла, там же видны строки запросов по
HTTP.
Ну и конечно стало интересно - кому же это
все нужно.
Автор программы и не пытался этого скрыть,
URLы в файле видны как plain text:
adsoftware.com
aureate.com
Я специально проверил дистрибутив
WinNT Server 4 (без сервис паков), на наличие этих файлов - так вот,
их там не оказалось.
Было уже ранее утро, я остановился
в своих исследованиях и решил продолжить потом.
======================================
И вот...
Дополнение от 26/02/2000:
Как
я понял, cмысл всей этой затеи: эта прога как-то хитро встраивается
в браузер и начинает тебе подсовывать баннеры, причем не те, что на
странице ты видишь, а какие она сама считает нужным показать.
Причем все баннеры и свои "инструкции" она скачивает с сайта aureate.com.
Также оттуда она скачивает всякие хитрые патчи для себя, и туда же
отправляет про тебя всякую статистику.
Свой кэш
по скаченным банерам и также части HTML кода, подсовываемого вам в
браузер, хранится в директории (системной скрытой): c:\winnt\amcdl
для windows9x - думаю это будет: c:\windows\amcdl проверьте у себя
- там много чего интересного найдете... ;-)
По большому
счету на эту aureate.com стоило подать в суд за такое. Думаю рано
или поздно так и поступят.
Как с этим боротся?
Я сделал просто - полез в c:\winnt\system32 и вытер
нафиг следующее: (для windows9x будет, соответственно, немного другой
путь)
Затем потер кэш
этой проги - он (как я уже говорил) в c:\winnt\amcdl. Перегрузил NT,
проверил оба браузера - все пашет. Вот в общем-то и все.
Какой вывод? Устанавливая программы третьих производителей (а я про
производителей операционных систем вообще молчу), ты наверняка ставишь
себе какой нибудь backdoor, хочешь ты этого или нет, и никакие свежие
антивирусы от этого не помогут. За тобой все равно будут смотреть,
данные твои будут иметь, в броузер тебе будут засовывать не то, что
ты смотришь, а в нужный момент могут и все грохнуть.
Поищите эти файлы у себя на диске...
Delmore [SOS group]
delmore@moscowmail.com
На самом деле, подменой баннеров в броузере, конечно же, никто
не занимается - назначение движка состоит в показе баннеров внутри
shareware-программ - таких как CuteFTP, ReGet и т.п. До сих пор все
не очень страшно - понятно, подобный движок должен периодически скачивать
очередную порцию баннеров, и возмущаться нечего - все эти программы
честно о баннерах предупреждают. Но вот то, что описано в acid.txt
- передача имени владельца системы, взятое из реестра, списка установленного
софта, номер телефона для dial-up'а - уже совсем не смешно, и за такое
в приличной компании бьют канделябром.
Уже после того как этот текст попал на web, выяснилось, что провалявшись
несколько дней с гриппом, я прилично отстал от жизни. Как раз всю
последнюю неделю скандал покруг Aureateвского движка и разворачивался.
Фактов, подтверждающих сказанное выше, приведено не было, Aureate
выступила с клятвенными
уверениями в том, что она чтит прайваси и уголовный кодекс, это
же подтвердила и NAI
(правда, из последнего текста неясно, проверялся ли код, или так,
поверили на слово). С еще одной версией случившегося можно ознакомиться
здесь.
Так что тревогу в общем-то можно считать ложной, хотя претензии к
движку все же остаются - например, он остается в системе и после деинсталляции
основной программы, что, во-первых, не создает впечатления грамотного
программирования, а во-вторых, создает отличную почву для всевозможных
подозрений.
Компания ReGet Software официально заявляет,
что текущая версия ReGet 1.6 не имеет никакого отношения к компании
Aureate Media, вызвавшей скандал, связанный с тем, что библиотеки,
устанавливаемые баннерной службой этой компании, по некоторым данным,
отправляют на сервер компании информацию о системе без ведома пользователя.
Стоит отметить, что в некоторых ранних бета-версиях ReGet 1.5 действительно
использовался баннерный SDK компании Aureate Media, поэтому ReGet
до сих пор числится в списке членов сети Aureate, однако уже официальный
релиз ReGet 1.5 был выпущен с баннернной службой от компании Conducent,
Inc., так что пользователи всех версий ReGet 1.6 - как зарегистрированных,
так и бесплатных - могут быть абсолютно спокойны, ReGet не использует
рекламных модулей от Aureate.
Все-таки не везет проекту OGR.
И старт переносился, и сейчас, через неделю после начала, пришлось
его приостановить.
На сей раз ребята напоролись на проблему порядка следования байт в
слове.
На привычных интеловских платформах в слове вначале идет младший
байт- т.е. число 0x1234 в памяти хранится как 0x34 0x12, порядок этот
получил название Little Endian. На других платформах может встречаться
и Big Endian, это характерно для RISC-процессоров, а, скажем, MIPS
и Alpha, насколько я помню, позволяют переключаться между этими схемами
При работе в гетерогенных средах все это обычно приводится к единому
знаменателю - в winsock'е для написания переносимых приложений есть
несколько функций с именами типа htonX/ntohX (преобразования из привычного
порядка хоста в принятого для сети и обратно, вместо X подставляется
l для long, s для short).
Вот ровно вызов функции ntohl и был пропущен в коде OGR-клиента...
Комментировать этот факт особо не хочется, но впечатление удручающее
- только за последние несколько месяцев это третья крупная плюха после
всем памятных сбоев статистики при запуске CSC и ошибки в коде, раздающем
ключи CSC.
Также в web-версии
обзора: - тут icq давили-давили... - Interix - VelvetSweatshop
