LINUX.ORG.RU

Кто стучится в дверь мою?


0

0

Интересная статья про инструмент под названием knockd, который может производить любые удалённые действия с вашей Линукс системой после того, как вы постучали по определенным портам в определенной последовательности. (От автора: это всё равно не безопасно).

>>> Подробности

★★★★★

Проверено: Shaman007 ()

была уже какая-то похожая прога, но надо было звонить модемом на комп, типа, 3 звонка с промежутком в 20 секунд и комп чё-то там начинет делать(ставит пиво в холодильник :)

fugu
()
Ответ на: комментарий от fugu

Ага. А был ещё такой вирус. Он мне очень понравился тем, что один и тот же файл работал как .bat, .com и .sys. Эх, вот раньше вирусы писали, не то что сейчас.

Только вопрос: я правильно понимаю, что всё это нужно только для того, чтобы nmapом (большую часть времени) не было видно открытых портов? От снифера всё равно не спасает.

Davidov ★★★★
()
Ответ на: комментарий от Davidov

>Только вопрос: я правильно понимаю, что всё это нужно только для того, чтобы nmapом (большую часть времени) не было видно открытых портов? От снифера всё равно не спасает.
Это скорее нужно для того, чтобы при штатной работе удаленное управление было отключено и включалось ТОЛЬКО по требованию (при знании магического слова трах-тибидох-тибидох :-)). Или как черный ход для злобных админов. Второе - выгоднее :-)

anonymous
()

Баловство это все!

Придет злобный хакер и по портам надает!

ManJak ★★★★★
()

echo "$SUBJ" | sed 's/мою/ко мне/'

sdio ★★★★★
()
Ответ на: комментарий от Davidov

сейчас вирусы писать бессмысленно - в современных ОС с разделением прав и защитой памяти они не могут размножаться, остается уповать на дыры и глупых юзеров, а это уже черви и трояны...

anonymous
()
Ответ на: комментарий от anonymous

>остается уповать на дыры и глупых юзеров, а это уже черви и трояны...
Следует ли из этого:
дыра == червь
глупый юзер == троян
?
То есть, для создания трояна необязательно уметь программировать, достаточно найти тупого юзера и заслать :-)

anonymous
()
Ответ на: комментарий от anonymous

>сейчас вирусы писать бессмысленно - в современных ОС с разделением прав и защитой памяти они не могут размножаться, остается уповать на дыры и глупых юзеров, а это уже черви и трояны...

в "современной ОС" виндовс с разделением прав не особо.. просто размножаться вирусы стали не локально на компе, а глобально по сетям..

pronvit
()
Ответ на: комментарий от Davidov

> всё это нужно только для того, чтобы nmapом (большую часть времени) не было видно открытых портов? От снифера всё равно не спасает.

nmap не будет видеть никогда, потому что порт можно открыть только для того IP, с которого пришла knock-последовательность.

Если заморачиваться защитой от снифера, то она может быть такой: текущее время шифруется общей для клиента и сервера секретной фразой, на её основе генерируется новая последовательность портов. Это если не доверять защищённости ssh/ssl/vpn.

ilya_evseev
()
Ответ на: комментарий от Davidov

> Ага. А был ещё такой вирус. Он мне очень понравился тем, что один и тот же файл работал как .bat, .com и .sys. Эх, вот раньше вирусы писали, не то что сейчас.

Да, было время...
Вот откопал в своём личном архиве досовую прогу, которая запущенная как turner1.com копирует себя в turner1.bat и наоборот. Слабо так в Linux? :)) 


        .model  tiny
        .code
        org     100h
start   db      '@GOTO',09,'A',0Dh,0Ah,0Ah,5Ch
        mov     dx,offset message
        mov     ah,9
        int     21h
        mov     ah,5bh
        xor     cx,cx
        mov     dx,offset nm
        int     21h
        jc      rrr
        mov     bx,ax
        mov     ah,40h
        mov     cx,offset enn
        mov     dx,100h
        sub     cx,dx
        int     21h
rrr:    ret

message db      "Hi from 'com' file.",24h
nm      db      'turner1.bat',0
en      db      0Dh,0Ah,3Ah,41h,0Dh,0Ah
bc      db      "@echo Hi from 'batch' file.",0Dh,0Ah,'@copy %0 *.com'
enn:
end     start

anonymous
()

> От автора: это всё равно не безопасно

Смотря что полагать безопасным, а что нет. После стука открывается порт ssh, который сам по себе считается достаточно безопасным. ;-)

И сканер портов тут мало поможет, т.к. "This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port." По этому есть только риск, что подслушают сниффером из локалки, но локалка есть далеко не всегда... ;-)

Пожалуй, нитересная вещь, хотя она и не отменяет всех прочих мер безопасности. :)

atrus ★★★★★
()

Фтопку нах ! Уже давно есть -m recent в iptables, где можно делать более гибкие правила. Например я сделал что нужно пропинговать сервак 2 раза с разным размером пакета, на 30 секунд отктываются SYN по некоторым портам , тогда открываются некоторые прелести. А сие чудо закрывать дыру автоматом умеет ?

iron ★★★★★
()

на каждую **** с затычкой, найдется *** с винтом. В-общем, security over obscurity...

Loh ★★
()
Ответ на: комментарий от iron

> А сие чудо закрывать дыру автоматом умеет ?

А читать кто-то умеет, прежде чем орать про топки?

"Automatically close rules"

atrus ★★★★★
()

ну блин, это круто! :))

must be однозначно.

З.Ы. интересно, а апологеты маздая что-нибудь интересное на это смогут сказать? :)))

gr_buza ★★★★
()
Ответ на: комментарий от andreyu

никто ssh и не отменяет.

сказано же, что бы не открывать ssh всему миру и в то же время иметь возможность зайти на него с любой машины.

gr_buza ★★★★
()
Ответ на: комментарий от gr_buza

"сказано же, что бы не открывать ssh всему миру и в то же время иметь возможность зайти на него с любой машины."

Ну открыт у вас ssh всему миру, дальше то что? Задосят? Так и в данном случае могут задосить ;)

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

хех.

а подобрать пароли?

в общем, ничего хорошего в открытом ssh я не вижу (к тому же не у всех трафик бесплатный.)

gr_buza ★★★★
()
Ответ на: комментарий от Loh

бгы.

пароль из одного знача - 62 варианта (26 маленьких букв+26 больших+цифры).

пароль из двух знаков - 62х62 = 3844 варианта.

и так далее.

стук из одного порта - 131072 варианта (tcp и udp)

стук из двух портов: 17179869184 вариантов.

и так далее :)))

есть вопросы? :))

gr_buza ★★★★
()

Кто стучиться, мать твою! :))))))))))))

php-coder ★★★★★
()
Ответ на: комментарий от iron

> А сие чудо закрывать дыру автоматом умеет ?

иногда лучше жевать (читать) чем говорить. Учи албанский, умник.

firsttimeuser ★★★★★
()
Ответ на: комментарий от Loh

> а подобрать эти идиотские стуки? Чем они лучше паролей, то?

на сайте, в обсуждении к статье этот вопрос рассматривается, и аргумент такой что снифером ты в среднем задетектиш кучу всяких пакетов (все время кто то норовит постучать по серваку), а какой из них участвует в последовательности хз...

firsttimeuser ★★★★★
()
Ответ на: комментарий от gr_buza

я тоже считал. 1 порт - 32000 5 последовательных постукиваний по портам - 33554432000000000000000

1 символ - 26+26+32+32+10+20+1=147 вариантов 5 символов на 1 номер порта, 5 портов(147^(5^5)) - 1,5238189451165715290524049619041e+54

вариантов с классическими простукиванием портов в 45413343462841854365241675433638 раз меньше чем вариантов с паролем в 25 символов.

это не найоп - посчитано, пусть и в самом худшем случае, когда порты большие (около 32000).

anonymous
()
Ответ на: комментарий от firsttimeuser

А, что по ip не догадаться, кто участвует в последовательности?

Loh ★★
()
Ответ на: комментарий от anonymous

>>с паролем в 25 символов.

не 25 а 3125 =)

anonymous
()
Ответ на: комментарий от andreyu

> А чем ssh не устроил то?

Сканируют постоянно. По сему есть неприятная возможность, что в один прекрасный момент возникнет зазор между обнаружением уязвимости и установкой обновления. Или переносить на другой порт или - так.

atrus ★★★★★
()
Ответ на: комментарий от gr_buza

> интересно, а апологеты маздая что-нибудь интересное на это смогут сказать?

Можем. У нас в WinXP есть raw-сокеты, и кое-кто с ними даже работал. Так что никаких проблем не видим. Еще у нас есть winpcap - библиотека + драйвер, так что аналогичную софтинку слабать или это портануть - без проблем. Искренне ваши, апологеты маздая.

P.S.: коллеги-линуксоиды, давайте не будем ТАК глупо подставляться, а?

no-dashi ★★★★★
()

А вообще любопытная вещица, посмотрим..

MiracleMan ★★★★★
()
Ответ на: комментарий от anonymous

>в современных ОС с разделением прав и защитой памяти они не могут размножаться

Согласен.

>сейчас вирусы писать бессмысленно

А с этим - не согласен. Потому как несовременная ОС установлена на 90% компьютеров :(

Led ★★★☆☆
()
Ответ на: комментарий от magesor

> а что, с этим часто бывают сложности? И потом, одно другому не мешает ;)

Не мешает и сложностей нет. Но упрямые логи показывают, что как-то находят. Тебе приятно три раза в неделю находить в логах упорные попытки влезть по ssh? Мне нет - ведь влезут рано или поздно с таким упорством-то...

atrus ★★★★★
()
Ответ на: комментарий от atrus

> Не мешает и сложностей нет. Но упрямые логи показывают, что как-то находят. Тебе приятно три раза в неделю находить в логах упорные попытки влезть по ssh? Мне нет - ведь влезут рано или поздно с таким упорством-то...

Ага, с таким же успехом миллион обезьян напишет "Гамлета"... :)

SKYRiDER ★★★
()
Ответ на: комментарий от SKYRiDER

> Ага, с таким же успехом миллион обезьян напишет "Гамлета"... :)

Если бы... Я смотрел в логи, там по списку пробуются несколько старых уязвимостей. И, вобщем, нет гарантии, что не попробуют новые, когда таковые найдутся..

atrus ★★★★★
()
Ответ на: комментарий от atrus

поставить vpn сервер, сделать себе там статический айпи и закрыть ssh на вход только с этого айпи, ну и прописать еще какие известные айпи, проблем-то..

SteepZ
()
Ответ на: комментарий от SteepZ

вот именно, гораздо проще постучать по портам, и никаких vpn не надо.

anonymous
()
Ответ на: комментарий от anonymous

> сейчас вирусы писать бессмысленно - в современных ОС с разделением прав и защитой памяти они не могут размножаться

wasm.ru до полного посветления... Перехват WinAPI _из прикладухи_ в NT-подобных ОС и прочие чудеса техники. Любые гадости - было б желание...

> остается уповать на дыры и глупых юзеров, а это уже черви и трояны...

Просто нынешние западлостроители ТУПЫЕ как полено. Старая досовская школа уже из таких вещей давно выросла, а "поколение пепси" нихрена кроме инета не умеет.

Даже когда в ходу были win9x, НИКТО не додумался до совершенно убойной вещи, которая тем не менее не определялась ни одним антивирусом. Прописать в autoexec.bat "echo y|format c: /q". Ну какой придурок будет перед перезагрузкой смотреть что у него в autoexec? :) Я помнится даже хотел эту вещь касперу отправить или дрвебу, типа новый вирус обнаружил... Отметился бы в истории хоть чуть-чуть. :)

Кстати аналогичным способом вполне можно глумиться над любителями Slackware. Именно слака, другие дистры не подходят. Там правда посложнее чем с autoexec, но тоже вполне реально. Сам способ говорить не буду, а то все эту дыру затыкать бросятся. :)

anonymous
()
Ответ на: комментарий от anonymous

Для буквоедов - перед format c: ещё echo y|lock c:

anonymous
()
Ответ на: комментарий от SteepZ

> поставить vpn сервер, сделать себе там статический айпи и закрыть ssh на вход только с этого айпи, ну и прописать еще какие известные айпи, проблем-то..

Тогда смысл? Ведь это всё ради возможности быстьро, при необходимости попасть на сервер откуда угодно. Так скачал putty ещё эту утилиту и всё. А с vpn смотреть на кислое лицо владельца компа, которому совершенно не в радость то, что у него настройку правят и по фиг, что врешёшь в зад?

К тому же это не отменяет возможность взлома самого vpn...

atrus ★★★★★
()
Ответ на: комментарий от anonymous

это говорит лишь о том, что нт не является современной ос

anonymous
()

А вот интересно, а можно настроить чтобы стучать в уже открытые другими программами порты?

А так хорошая штука, я бы себе давно поставил, но у меня NAT у провайдера...

Тут некоторые говорят, что сниффером ловится последовательность простукивания. А если ее разбавить холостыми коннектами на другие порты? Или тогда все сбросится?...

anonymous
()
Ответ на: комментарий от anonymous

> А вот интересно, а можно настроить чтобы стучать в уже открытые другими программами порты?

Проверь. ;-) Судя по описанию - смогёт, а по факту... :?

> Тут некоторые говорят, что сниффером ловится последовательность простукивания.

Сниффером реально ловить только в локалке. А если сервак на колокейшоне? Кто там сниффить сможет? Провайдер? Так они и так смогут вломиться. Топором... ;-)

> Или тогда все сбросится?...

Думаю, сбросит. Иначем, смысла нет...

atrus ★★★★★
()
Ответ на: комментарий от atrus

> Сниффером реально ловить только в локалке. А если сервак на колокейшоне? Кто там сниффить сможет? Провайдер?

если бы.. вон, на dediwebhost два сервера, физически рядышком, в один свич воткнуты. и с одного в promisc mode _ловятся_ пакеты второго. надо полагать, враг точно так же смогет снифать.

dk2
()
Ответ на: комментарий от anonymous

Да, блин, Ты гений. Это просто чудо-дыра. Ты, наверное, установку какого-либо софта называешь "хаком", а установку соединения с портом - DoS-ом? Есть такие типчики, у меня в конторе один такой работает. Старый дилетант с патологичным желанием поразить чужое воображение во время разговора.

stimpack80
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.