Спецвыпуск журнала «Хакер» 47, октябрь 2004 г.
Шрифт:
Chkrootkit – специальная программа, позволяющая проверить систему на наличие установленного руткита. Прога поставляется с базой всех известных хакерских комплектов. По этой базе и ведется сканирование. Также chkrootkit обращает внимание на наличие сниферов и исследует MD5-сумму бинарных файлов. В случае ее изменения программа оповещает админа о возможном вторжении хакера.
Logwiper (logcleaner) – небольшая программа, позволяющая чистить системные журналы (логи). Обычно logwiper'ы создаются для бинарных логов (/var/log/wtmp, /var/run/utmp/, /var/log/lastlog), которые вычистить не так-то просто. Для обращения к этим логам нужно знать специальную структуру utmp, которая описана в хидере /usr/include/utmp.h.
Аккаунт (account) – учетная запись на сервере. Один из фактов взлома – получение валидного аккаунта. При этом слово «валидный» означает то, что юзер должен иметь хороший командный интерпретатор (/bin/sh, /bin/bash и т.д.) в качестве оболочки. В противном случае взломщику нет никакой выгоды от добытого аккаунта.
Дефейс (deface) – замена главной HTML-страницы на web-сайте. Несмотря на то что дефейс – удел скрипткидисов (script-kiddies – подвид мегахакеров, умеющих использовать только известные баги и готовые эксплоиты), на популярных порталах по безопасности вывешен TOP дефейсов известных сайтов. Но, по мнению серьезных хакеров, дефейс – это просто ребячество. Настоящий взлом должен приводить к абсолютным правам на атакуемом сервере.
Хэш (hash) – значение некоторой (однозначной, в противном случае происходит коллизия) фунции (хэш-функции) какого-либо аргумента. Причем по хэшу, даже зная вид функции, нельзя вичислить ее аргумент (то есть то, от чего «берется хэш»). Звучит немного запутанно, но именно эта формулировка наиболее точно описывает то, что сейчас называют хэшем. Хэширование в последнее время применяют для «шифрования» паролей: в системе хранится только значение хэш-функции от текстовой строки – самого пароля. При антентификации заново вычисляется хэш от вводимого пользователем пароля, и если он совпадает с хранящимся в системе, ползователь «пускается» в систему. Хэширование может осуществляться каким угодно алгоритмом, но если говорить о *nix-системах (да и не только о них), наиболее распространенным является MD5. Он нашел свое применение в шифровании теневых (shadow) паролей, а также паролей, хранящихся в MySQL.
Зарутать (порутать) – получить права root в *nix-системе каким-нибудь методом, будь то локальная или удаленная атака.
Задосить – провести DoS/DDoS-атаку. Такое нападение приводит к тому, что атакуемый сервер перестает нормально функционирвать (виснет, перестает отвечать на удаленные запросы). Оно и понятно, ведь DoS чаще всего основывается на беспорядочном флуде (посылке огромного количества сетевых пакетов), в результате которого сервер просто захлебывается в приходящем мусоре и не успевает анализировать данные.
Эксплоит, сплоит (exploit) – программа, реализующая какую-то ошибку в сервисе или системном бинарнике. Сплоит можно назвать эффективным, если он ломает удаленный демон, открывая на машине удаленный рутовый шелл. Но реальных эксплоитов очень мало, обычно рядовые сплоиты основаны на срыве буфера (buffer overflow) у локальных файлов или добыче прав nobody через модуль HTTPD.
Маскарад (masquerade) – не только веселый праздник, но и подмена внутреннего IP-адреса хостов, находащихся в «виртуальной» сети (типа 10.0.0.0, 192.168.0.0), IP-адресов шлюза, посредствам которого эта сеть подключена в интернет. В результате чего локальные машины (часто говорят: «С нереальными адресами») получают право использовать интернет на полную катушку.
Фаервол, брандмауэр, сетевой экран (firewall) – программное или аппаратное средство, предназначенное для защиты компьютера (компьютерной сети) от внешних вторжений. В аппаратном виде фаервол представляет собой отдельный компьютер (или устройство), специально предназначенный для обработки сетевых пакетов. Как правило, такие машины снабжены операционкой реального времени (с минимальными задержками между командами), поэтому они могут справиться с масштабной DDoS-атакой. Понятно, что их цена очень высока. В локальных сетях общего назначения применяются программные фаерволы. В Linux такая программа называется iptables, в FreeBSD – ipfw, в OpenBSD – pf. Эти проги выполняют одну роль – анализируют заголовки пакетов и принимают различные решения на основе правил, написанных системным администратором.
Рулес (от rule) – правило, которое записывается в таблицы фаервола. Рулесы могут задаваться как для разрешения, так и для запрещения приема/отправки пакета. Обычно подобное правило включает в себя адрес отправителя/получателя и порт назначения, а также политику. Однако рулесы могут включать в себя очень много параметров, а могут не включать ничего, кроме политики. Все зависит от админа и его умственных способностей :).
Брутфорс (brute force) – взлом «грубой силой», основанный на тупом (не всегда, чаще – упорядоченном) переборе пароля в лоб. Если взломщик добыл парольный хэш, он может осуществить брутфорс по словарю либо по произвольным символам. Исход брутфорса никто предугадать не может: в случае действительно сложного и длинного пароля взломщику понадобится много (миллионов) лет, чтобы перебрать все возможные варианты.
Брутфорсер (bruteforcer) – программа, позволяющая организовать длительный процесс брутфорса. Если говорить об удаленном переборе (когда негодяй подбирает пароль на определенный удаленный сервис), хорошим брутфорсером является софтина Brutus под Win32 и hydra под UNIX. Хотя никто не мешает написать собственный брутфорсер и отточить его под конкретный сервис. Так делают многие хакеры. В случае локальных атак, когда у злоумышленника имеется парольный хэш, он прибегает к утилитам MD5Inside, John The Ripper или L0phtcrack.
Вордлист (word list) – словарь, по которому ведется перебор паролей. Не думай, что он содержит беспорядочный набор английских слов – вордлисты могут составляться по определенной тематике. Скажем, получил взломщик права на итальянском сервере, а затем добыл /etc/shadow. 99%, что пароль админа состоит из итальянского слова. Взломщик ищет иностранный вордлист, качает его и скармливает John The Ripper'у. Через несколько часов брутфорсер объявляет, что пароль успешно подобрался (если админ попался ушастый). В принципе, язык не единственный критерий сортировки, иногда вордлисты состоят из списка женских имен или названий городов. Некоторые словари ты можешь найти на сайте www.nsd.ru.
Бот (bot, от robot)– специальная программа-робот, послушно выполняющяя удаленные команды хозяина (ботовода), чаще всего через IRC. Как только команда поступает, бот осуществляет злые действия – проводит DoS, ищет баги в софте, закидывает приватами жертву и т.д. Ситуация усугубляется, когда на одном канале находятся до тысячи ботов. Все они, как ты уже догадался, запущены на взломанных серверах (или затрояненных десктопах).
Авторутер (autorooter) – софтина, ищущая баг в сервисах и автоматически его эксплуатирующая. Как правило, авторутер снабжен сканером и эксплоитом. После запуска сканер находит IP-адрес с уязвимым сервисом. Затем запускается эксплоит, который делает свое черное дело и создает хакерский аккаунт на удаленной системе, а затем отчитывается об успешной работе аттакующему. После всего процесс повторяется. Авторутеры используются при эпидемиях, когда мир узнает о масштабной уязвимости в операционной системе. Бывает, что авторутерами снабжаются боты, сидящие в IRC. При этом робот ищет новую жертву, затем устанавливает на машине копию и запускает ее. Словом, размножается как кролик :).