Hack-FAQ

Будь конкретным и задавай конкретные вопросы! Старайся оформить свою проблему максимально детально перед посылкой в Hack-FAQ. Только так я смогу действительно помочь тебе ответом, указать на возможные ошибки. Остерегайся общих вопросов вроде «Как взломать Интернет?», ты лишь потратишь мой и свой почтовый трафик. Трясти из меня фришки (инет, шеллы, карты) не стоит, я сам живу на гуманитарную помощь!

Q: Занимаюсь разработкой одной фирмы, которая имеет несколько локалок в разных уголках страны. Половину из них уже взял под контроль, но очень хочу рулить ими, как одним целом, чтоб не геморроиться, переключаясь с одной на другую.

A: У начинающих админов (пусть и не нанятых, но незаметных и удаленных :)) существует один общий недуг - очень тяжело следить за сложной распределенной системой. На самом деле, современные средства в некотором смысле стирают расстояния и позволяют удаленно админить несколько локалок с таким же успехом, что и одну местную. Главное знать о нужных средствах вроде описанной в этом же номере Х-тулзе Kaboodle (www.kaboodle.org). Программа, после установки серверной части по разным сетям, позволяет собрать воедино все разбросанные там машинки. Тебе не нужно тыкаться по разным сеткам, открывать новые окн а - просто возникает стройное дерево из всего доступного IT-добра. Есть как unix, так и win-клоны: сети любой конфигурации попадают под чуткий контроль. Учитывая бесплатный софт, не сложно догадаться об ограниченных возможностях удаленного администрирования: прикольных радостей a-la старинный Netbus здесь не держат.

Q: Уже третью неделю не могу докачать редкий варез из P2P; IRC не дает слить, так как у меня канал узкий (диалап). Где еще можно добыть эту редкостную вкусняшку?

A: Стандартный ответ на вопрос «Где?» - в п...е, то есть поисковике :). Разумно попробовать тот же самый Гугл, поскольку все еще встречаются сердобольные кадры, которые выкладывают варез на web. Также помогают и специализированные FTP-искалки a-la www.filesearch.ru, где порой выскакивают серверы НИИ, на халявном пространстве которых можно найти все вплоть до секретных чертежей NASA. Последнее же время, когда в P2P стали активно охотиться на ведьм, я переметнулся к более старому местечку - news-группам. Примерами могут быть news://news.giganews.com/alt.2600.warez, news://news.giganews.com/alt.binaries, которые можно найти на большей части news-серверов. Спроси своего ISP о возможности использования такого сервиса (шаблон - news.ISPname.ru). Бесплатные и общедоступные серверы разыскиваются все тем же Google'ом (олигархи, кому не жаль 7-20 баксов ежемесячно, идут на www.premium-news.com). Единственной проблемой может показаться необходимость тянуть все добро по кусочкам, когда ты начинаешь машинально открывать несколько сот постов, сохраняя аттачи, собирать всю кучу воедино. Избежать всего этого помогают news-leecher'ы, проги для поиска и скачки контента с news-сервантов. Добротный пример, который стабильно снабжал материалом закрытую ныне рубрику Leech - NewsLeecher (www.newsleecher.com).

A: На самом деле, не так уж и много команд. Есть лишь незамысловатое /ctcp nick-bot'a xdcc send #pack'a. Так ты запрашиваешь любой приглянувшийся пак без каких-либо дополнительных познаний. Не ради команд, но для автоматизации поиска и запросов добра, направлю твой взор на решение под названием XDCC-Fetch (xdccfetch.sourceforge.net), которое доступно для Windows и Unix. Единственным условием становится наличие интерпретатора языка Ruby, который весит 12М (линк есть на сайте софтины). Боты, как и любовь, имеют свойство уходить и возвращаться, так что для добычи необходимого бывает полезно мониторить запрашиваемые файлы, теребить приходящих и возвращающихся ботов о распространяемом ими хозяйстве. В надвигающейся версии обещают добавить возможность сортировки результатов поиска по загруженности ботов, так что ты будешь знать, где самая короткая очередь за варезкой.

Q: На некоторые из моих подконтрольных web-серверов нападают хакерюги со своими DdoS-атаками и прочей шнягой. Можно ли как-то мониторить, наблюдать, какую из машин они пытались завалить?

A: С твоими сервантами может случиться что угодно - лишить машины жизни могут не только гнусные хакеры. В любом случае нужно всегда вовремя замечать неполадки в твоей сети. Здесь можно просто пинговать все адреса, перебирая один за другим в надежде не заметить изменяющегося отклика. Однако в подобном допотопном способе есть и слабая сторона, ведь здесь не будет понятно, когда отклик меняется с повышением нагрузки, а когда это пакетный шторм. Более чутким средством кажутся все возможные программные системы мониторинга. WebWatchBot (www.exclamationsoft.com/webwatchbot) может стать неплохим тому примером. Здесь можно задавать промежутки, когда все хозяйство будет проверяться. Результаты опросов могут отсылаться на мыло или другие средства связи, чтобы оповестить тебя о надвигающихся сложностях и надобности предпринять радикальные меры.

Q: Меня доканал AVP. У меня имеется аж 360G данных в системе, все проверить разом - гемор, я оставляю антивирусные рейды на ночь. Однако эта зараза находит архив с паролем и зависает, ожидая ответа. Можно как-то обучить образину?

A: К сожалению, в настройках Касперского я так и не нашел возможности отключить проверку запароленных архивов. Самым простым решением показалось - дождаться первого диалога по теме архивов и дать AV в глаз аргументом - «Делать то же самое и далее». Теперь прога будет пропускать все секретные темы архивов.

Q: Работаю в сетке, где запрещено все и вся, даже снести их систему не получается. Можно ли мне как-то все же загрузить туда свою операционку по-ягодичному хитро? :)

A: Главное, чтобы после загруза не пострадали твои собственные ягодицы :). Для верности направлю тебя к дисклаймеру наверху, который просит формулировать проблему максимально точно. Иначе мне придется сформулировать ее за тебя и сказать, что несмотря на ограничения системы, загрузка с CD остается возможной. Следуя подобному предположению, я предложу установить фриварную систему Bart's PE Builder (www.nu2.nu/pebuilder). С ее помощью ты можешь создать полноценный загрузочный диск, где будет работать винда без привычной установки на винт. Понятно, что будут иметь место некоторые ограничения вроде работы с разрешением 800Х600 и небогатыми настройками сети. Однако доступ к ней будет полноценным, так что ты, вероятно, сможешь проделать то, что было запрещено админами прежде. На будущее: не стесняйся - пиши о себе и своих проблемах во всех деталях.

A: Меня часто спрашивают о возможности сканирования шаров из-под unix. С подобными решениями по теме Мака я еще не сталкивался, но уже знаю наверняка, что ты сможешь цеплять сюда любые виндозные шары. Здесь поможет простое средство для просмотра локальных и сетевых FAT/NTFS-дисков - MacDrive (www.mediafour.com). Когда же требуется профессиональный подход административного уровня, на помощь придет отдельный SMB Manager (www.labo-apple.com). Эта связка поможет разрешить вопрос до появления полноценного сканнера шаров.

Q: В чем заключается frozen мод, который может быть приписан к моему IRC каналу?

A: Подобный наговор известен в ряде сервисных сетей, где опция блокирует административный (или полный - для всех посетителей) доступ к каналу на определенный срок (30, 60 и более дней в зависимости от сети и ее полиси). Получается, что официально канал все еще принадлежит его законным хозяевам, которые остаются при законных статусах операторов. Ограниченными оказываются лишь их действия по настройке канала, который фактически оказывается переведен «во временное пользование» администрации сети. Обыкновенно подобный мод ставится, когда объявилась проблема с каналом, пришел убедительный abuse, админам требуется дополнительное время на выяснение вопроса и обстоятельств. Когда действие колдовства frozen закончится, можно будет вернуться к полноценной работе с каналом или же он будет заблокирован на совсем. Мод выдается не роботами, но живыми иркопами (сервер-опами - чаще), у которых следует настоятельно выяснить длительность действия frozen'a. Так с горемычным каналом #xakep @DALnet случилось, что он оказался не зарегистрирован после прекращения действия темы (30 дней). Будь готов запустить несколько десятков ботов на регистрацию этого канала (ближе к окончанию действия мода), чтобы другой хитрец не опередил, не зарегал вместо тебя тему.

Q: Правда, что теперь вирусы будут называться одинаково в БД разных производителей антивирусов?

A: Меня зовут Иван, в Америке называли бы Джоном, во Франции, должно быть, Жаном. Как ни называй - суть не меняется :). Однако в случае с вирусами все не так, доходит до абсурда, когда в новостях читаешь о появлении десятка новых смертоносных вирей за день. Твое сердце поразят не разбушевавшиеся вирмейкеры, но неразумные программеры, которым недостает единого видения имен заразы. Одному и тому же, долго не задумываясь, они дадут добрый десяток имен. Теперь их разгильдяйству собираются положить большой и толстый конец, кладкой которого будет заниматься Common Malware Enumeration (CME), основанное потливыми усилиями United States Computer Emergency Readiness Team (US-CERT). Эта контора будет присваивать имена наиболее опасной заразе, которые будут рассылаться по держателям БД. Здесь видится разумный расчет уменьшить путаницу во всем непростом деле.

A: С чем боролись - на то и напоролись! Всего за минуту борцы за безопасность стали борцами против безопасности системы. Все дело в том, что кодеры допустили ошибку в обработке архивных cab-файлов. Французские security-специалисты обнаружили, что одного лишь запроса на сканирование файла достаточно для исполнения вражеского кода. Представь подобный расклад: приходит зараженное мыло, которое сразу же проверяется AVP. Ты узнал о вире? Нет, но твоя система была успешно заражена! Благо, что проблему оперативно исправили, и я не слышал от кого-либо из знакомых о летальном исходе. Сейчас, когда MS больше и больше нацеливается на безопасность, хакерам приходится искать новые пути покорения системы. В современном мире, полном страха и отчаяний, AV пользуются уверенным спросом, на который и делается расчет расчленителями AV'еров. То же направление было названо приоритетным среди провокаций против ПО на конфе Black Hat.

Q: Никак не могу крэкнуть установку новой Windows Vista, хотя у меня рабочий серийник. Как научить систему уму-разуму?

A: Учитывая потуги MS к улучшению secure'ности по всем фронтам, я заподозрил подвох, увидел новую защиту от лохотрона. К счастью халявщика, все более прозаично. В очередной раз хозяйство Билли состряпало ошибочку - при неправильной генерации имени файла с ключом. После инсталляции файл будет зваться pkeyconf.xml, когда как система нацелена на работу с pkeyconfig.xml. После переименования файла, ты сможешь заново собрать дистрибутив, получив уже исправленную версию. Речь идет о билде 5129, который, хочется верить, будет еще исправлен на официальном уровне.