Блог о технологиях, технократии и методиках борьбы с граблями
Что делать админу без удаленного доступа к серверу, или рабочей станции. Бегать по этажам, со своего места в серверную, или к клиенту- никаких ног не хватит. Выручает только удаленный доступ, но не ко всем машинам можно достучаться по ssh, у нас же в парке всегда присутствует достаточное количество Windows серверов, и тогда мы прибегаем к помощи RDP.
(more…)
Компания McAfee выложила на своем сайте карту Internet угроз для пользователя. То есть представлена разблюдовка по странам к которым принадлежат домены верхнего уровня, на которые наиболее опасно заходить конечному пользователю.
Самым опасным признан домен Камеруна (с 36.7% сайтами несущими угрозу посетителю) cm, вытеснивший с этой позиции прошлогоднего лидера Гонконг (в котором, в этой связи, была введена обязательная идентификация личности при регистрации домена в зоне hk).
Такой необыкновенный рост следует приписать схожему написанию домена cm и второго лидера хит-парада, домена com, отвечающего за коммерческие организации, чьим сходством нередко пользуются злоумышленники, размещая в камерунских доменах поддельные сайты, чей синтаксис почти ничем не отличается от написания законопослушного оригинального.
На третьем месте расположился Китай, и наши оба домена стабильно входят в десятку лидеров: 9 и 8 места у российского и постсоветского доменов ru и su.
Радостная новость в стане мелкомягких, не успела появиться Windows 7, как обнаружилась DoS уязвимость, причем не абы где, а в самом сердце операционки: она базируется на реализации протокола Microsoft Server Message Block (SMB). Этой уязвимости подвержены серверные платформы Server 2008 и Windows 7, причем для последних это является первой зарегистрированной уязвимостью 0-дня (zero-day).
SMB – это протокол совместного межсетевого использования файлов (ненавижу переводить английскую терминологию) который входит в Microsoft Windows. Уязвимость вызывает ошибку SMB при обработке специально сконфигурированного SMB-пакета. Удаленный злоумышленник может использовать данную уязвимость через специально созданный особым образом сетевой пакет. Удачное использование уязвимости приведет к отказу в обслуживании атакуемой машины и её зависанию, вплоть до ручной перезагрузки системы. Данную уязвимость невозможно использовать для перехвата контроля или установки злонамерного программного обеспечения на атакуемую систему.
Со слов экспертов безопасности код эксплоита уже доступен, хотя специалисты Microsoft и высказывают сомнения относительно возможности использования этого эксплоита для атаки. Пользователям как обычно остается ждать святого дня Microsoft приходящегося на второй вторник месяца, т.е. в данном случае 8.12 и уповать на системы предотвращения вторжений IPS, которые способны предотвратить проникновение в систему не корректно сконфигурированных SMB пакетов.
На этой неделе стало доступно обновление WordPress 2.8.6 в котором фиксятся два эксплоита, которыми мог воспользоваться потенциальный злоумышленник, будучи зарегистрированным пользователем, вошедшим в систему с правами на размещение постов: первая проблема была уязвимость XSS, вторая уязвимость заключалась в использовании имен загружаемых файлов для осуществления атаки в некоторых конфигурациях веб сервера Apache.
Это обновление рекомендуется всем у кого система используется несколькими авторами, особенно если они являются недоверенными.
Вечер вторника ознаменовался битвой: подобно борьбе Геракла с Лернейской гидрой, мне пришлось воевать со старым знакомым спам-ботом, кторого не видит ни один из антивирусов и утилит о которых я писал хвалебную статейку ранее. Антивири видели всякую пакость под 10-15 наименований, пытались вылечить, но после перезагрузки всне начиналось сначала, включая попытки спам- рассылки.
(more…)
Перед заказчиком встала проблема обновления антивируса на шлюзе check point находящемся за прокси сервером, и служащего для защиты внутренней фермы серверов.
Tcpdump чрезвычайно удобный сетевой анализатор, очень помогающий в работе как сетевым администраторам, так и безопасникам. Естественно что для получения максимальной информации при работе с tcpdump, просто необходимо иметь представления о стеке протоколов TCP/IP. Для удобства можно использовать более удобные и интеллектуальные программы, например Wareshark, но часто возникают ситуации когда на тестируемую машину не представляется возможным установить дополнительные сервисы, и тогда tcpdump просто незаменим, не будит же админ, ради анализа пакетов, ставить на unix’овый сервак X-Windows 
тем более что в большинстве unix’овых систем, утилита tcpdump идет по умолчанию.
Понимание протокола TCP/IP дает широкое пространство для использование анализатора и устранения неисправностей и неполадок в работе сети, за счет разбора пакетов. Поскольку оптимальное использование данной утилиты требует хорошего понимания сетевых протоколов и их работы, то получается забавная ситуация, в которой инженеру в любом случае необходимо знать и понимать механизмы передачи данных в сети. т.ч. tcpdump полезна во все отношениях: как устранения неисправностей, так и самообразования.
(more…)
