Мнение о Defaced eZine #3 - есть ли у него будущее?

  nometter
  

За дефэйседом я наблюдаю с момента выхода первого номера. Не смотря на то, что я сам осознавал что это полный lol, я спорил со всеми, что из вас всё-таки что-то получится (списывая всё на первый блин). Конечно, нельзя сказать, что я оказался не прав - ваш уровень (уровень журнала имею ввиду) безусловно поднялся, но вы и не стали тем, что представлял себе я. Я просто подвёл для себя некий итог и хочу поделиться им со всеми участниками проекта ну и всеми теми, кто читал этот журнал. Даже не так, я хочу просто рассказать вам о своём впечатлении от прочтения ваших статей, о впечатлении совершенно беспристрастного человека (хотя со многими из вас я знаком), поверьте, несколько разбирающегося в ... короче в том, о чём вы пишите =).

Всё, что изложено ниже - это моё личное мнение. Я не собираюсь никому его навязывать, я не собираюсь ни с кем спорить, я просто хочу, чтобы вы его выслушали\прочитали. А уж что делать дальше - учесть, забить, обматерить, etc - это уже ваше дело.

defaced#3

02. scene news [ by defaced staff ]

Я бы советовал убрать этот раздел. Вдумайтесь, доступная для вас "scene" - это kodsweb, ptzhack, rst, zud и nteam. Кому интересно из номера в номер читать про их перепалки\закрытия\открытия\новых мемберов\etc? Для того, чтобы _качественно_ вести подобный раздел нужны связи, нужны знакомые.

  >проект закрыт хостером после жалобы одного кретина, завсегдатая 
  >ВойдРУ и Секуритилаб, а
  >также многих других, известного под именем paveltitov.
  >
  >К сожалению, мне не известна точная причина его поступка, 
  >да это и не так важно,
  >ведь все и так знают что он собой представляет ).
  

Я, например, знаю, что у него были такие статьи, до которых дефаседу ещё расти и расти.

04. Взлом на примере www.lexabean.com [ by V3R? ]

Думаю, вы со мной согласитесь, что всю эту статью можно свести к паре предложений: Через гугл нашёл сайт с upload.cgi, в одном каталоге с этим скриптом располагался файл password.txt, в котором были пасы к тому самом скрипту. Я закачал новый index.html, похвалился перед мамой и принялся писать статью "Как это было или взлом www.***.com".

В "mailmanz bag" в этом же номере я прочитал такие строки: "мы пишем статьи не только для 'элиты', но и для новичков" (могу ошибаться, но смысл точно такой). Так вот ЧЕМУ может научить эта статья newbie??? Я понимаю в n-ный раз описывать 'php source code injection', может до читателя раньше не доходило, но что в этой статье может помочь новичку при дефейсе? Чекать каталоги на password.txt? Искать upload.cgi через гугл? х3

trash

05. Выполнение команд в скрипте shop.pl [ by durito ]

Ещё несколько похожих на эту статей и вы сможете составить конкуренцию не только xakep.ru, но и anekdotov.net.

А название лучше было бы взять:"Как это было или как я путешествовал по каталогам". Я вот чего не понимаю, если скрипт фильтровал "/", то каким образом работало, то, что уважаемый автор писал в конце?

http://www.xxx.com/cgi-local/shop.pl/page=;cd ..;cd ..;cd ..;cd /etc;ls|

Тогда уж можно было сразу написать типа cd /etc, без cd .. cd .. cd .. =))

За этим следует просто гениальная концовка (btw мне очень интересно, что durito делал дальше с /etc/passwd):

 
  >вот и злополучный passwd нашелся:
  >http://www.xxx.com/cgi-local/shop.pl/page=;cd ..;cd ..;cd ..;cd
  >/etc;cat passwd|
  >
  >И так далее. вот собственно и все.
   
  

06. Как был взломан netbilling.com [ by durito ]

Возможно эта статья будет кому-то интересна (в частности тем, кто не умеет юзать xspider).

08. ZUD Truth [ by defaced staff ]

На самом деле я не люблю zud, rst, kodsweb и прочих "xpaxo clones" ((c) ech0), но это реально перебор. Таким образом, можно извратиться совершенно над любым текстом, будь то about, article или ещё что. Я понимаю, если бы вы были членами gobbles, 7350, adm, вы Не в праве судить, ламмер он или нет. Вы сделали для it-sec ничуть не больше чем сам Wolf. Хотя, если вы думаете, что дефейсить blabla.co.uk (euro к тебе это не относится) - это элитно, то я молчу.

Если же дело в личной неприязни кого-то из дефасед к Wolf'у, то это, имхо, не должно было касается всего журнала.

09. Чистка логов в Linux/FreeBSD [ by defaced staff ]

  > Во многих статьях, описывающих взломы какой-нибудь 
  >системы, часто автор пишет
  >что после проникновения надо заметать следы. Далее 
  >обычно следуют слова "качаем
  >такую-то прогу с сайта, компилим,запускаем...".
  

Кстати, а вы не заметили, что в ваших статьях такого не бывает? Что в статьях аля "Как это было" вы НИРАЗУ не уходили дальше чем echo vasya > index.html? Ааааа, ну да, журнал же называется defaced.

Эта статья заслуживает высокой оценки. Возмите её за шаблон.

11. Последние из Магикан [ by c0d3x{RST} ]

lol я посмотрю, как такая расписка спасёт тебя от того же самого fsb. Поверь на слово, если захотят, посадят, даже за то, что ты в туалете после себя не смыл.

12. CGI Trojans [ by defaced staff ]

  > нужно сменить название процесса скрипта:
  >
  >if ($paramz{sess} eq "g0t_r00t"){
  > $port = 30009;
  > $proc = "httpd";
  > for ($i=0;$i<60;$i++){ $proc=$proc."\000"; }
  > $0=$proc;
  > ...
  >}
  

0dd technique? У меня почему-то не получилось сменить название процесса:

  sh-2.05b$ cat s1.pl
  #!/usr/bin/perl
  $proc = "httpd";
  for ($i=0;$i<60;$i++){ $proc=$proc."\000"; }
  $0=$proc;
  sleep(5);
  
  sh-2.05b$ perl s1.pl &
  [1] 2140
  sh-2.05b$ ps -aux | grep 2140
  Bad syntax, perhaps a bogus '-'?
  root 2140 0.1 0.5 3672 1392 pts/1 S 13:35 0:00 perl s1.pl
  sh-2.05b$
  

  > Хех, это старый трюк. Так лучше, но теперь ещё проблема: 
  >после запуска шелла
  >его будет видно через ps/top/etc. Есть способ изменить 
  >название процесса (тоже
  >ламерский, но удобный  :
  >
  > system("ln -s /bin/sh /tmp/ls"); # создаём ссылку на шелл
  > system("/tmp/ls -i"); # и запускаем её
  

хмммм ты думаешь "/tmp/ls -i" будет менее заметен чем просто "sh"? Любой файл, запущенный из /tmp по определению привлекает гораздо больше внимания, чем из оригинальной папки.

Идея безусловно хорошая. Для новичков сойдёт. Только не надо было автору мудрить с вещами, о которых он имеет смутное представление, а просто написать куда и что сувать.

14. Сканер портов [ by Dark Eagle ]

И в 100000-ный раз я прочитал, как же всё-таки писать примитивный (не multithread) port scanner. Euronymous, где оригинальность? Подобных статей в одном только Хакере было штук 5, Осталось только в 100000000000-ный раз рассказать о "Принципах работы proxy-серверов".

16. N1ghtWiSH project [ by defaced staff ]

Ёпта. Ни комментов, НИЧЕГО! Шо там хоть за техника реализована? Думаю, там что-то мега-передовое, судя по остальным релизам zudteam.

18. Швейцарский армейский нож хакера [ by GipsHackers Crew ]

А это уже визитная карточка журнала ][акер - "Как юзать проги"? Статья будет интересна тем, кто полный ноль в англицком и/или не умеет юзать nc -h )

21. Удаленный контроль через UDP [ by Clashmaster ]

Статья, конечно, грамотная. Но автор слишком уж углубился в дебри iso\osi - я вам со всей ответственностью заявляю, что, чтобы написать udp backdoor, знать все уровни iso\osi совсем не обязательно =)

>--3) Как спуфить дейтаграммы?

Ещё мне не понравилось, что автор не вникал в некоторую часть того, что он переводит. Я сделал такой вывод из описания к исходнику, который вроде как "спуфает дайтаграммы". На самом деле этот, кстати, сильно покоцанный, код _пытается_ создать udp-сервер на порту 0 (кстати, в source port в датаграмме будет что-то типа 32786) и с него послать датаграмму на destination_addr на порт 34567. Спуффинг - это обман. Спуфанный пакет - значит, что пакет имеет source ip, port или ещё что не соответствующий реальному. А в этом примере всё реальное. И без raw socket, уважаемый автор, вы ничего соспуфать не сможете.

========== Include =========

  /shoutcast_pwd.pl - брутфорсер для Shoutcast 1.9.2
  

брутфорс - штука не благодарная.. anyway может кому пригодится

  /wiper.c - логвайпер для Linux и FreeBSD
  

как шаблон, пособие.

  /squir.py - эксплоит раскрытия пути в Squirrelmail
  

питон? :\ Почему не на qbasic?

  /shellcodez_x86/linux - execve шеллкод для Linux
  

Зачем? В инете нехватка execve-шеллкодов?

  /shellcodez_x86/freebsd - execve шеллкод для FreeBSD
  

Зачем? В инете нехватка execve-шеллкодов?

  /httpd_ids/ - IDS для HTTP-сервера Apache
  

ммм.. не пробовал на самом деле. В основном из-за страха остаться без http-сервера

  /tnpscan/ - онлайновый сканер портов на php
  

Круто! Но старо.

Из всего журнала, только одна статья оказалась более менее интересной ("чистка логов в *nix"). Три я бы сказал, 'на любителя': phpportscan, про беспроводные сети и cdma. К остальным, не описанным выше, у меня нет эмоций - я считаю их просто бесполезными (да, да и про БД тоже - причём тут it-security я не понимаю. Можно, конечно, отмазаца типа c++ для kewl pals, но для этого есть cpp.ru).

А include - ничего, что заслуживало бы внимания. Итог:

1. практически полное отсутствие оригинальности
2. надо лучше фильтровать авторов (durito,c0d3x{RST})
3. проверять статьи на баги
4. завязывать с php, питоном, дефейсами и соц. инженерией
5. не переписывать\не переводить чужие статьи - такого даже в ][akep'е нет.

Хочу пару слов сказать насчёт печати defaced.

С одной стороны, такой шанс выпадает раз в сто лет и не воспользоваться им просто тупо. Доводы euro просто нелепы.

Я понимаю, если бы дефаседу было несколько лет, если бы у него были богатые традиции, своя культура, _устоявшаяся_ концепция, тогда можно было задирать нос. Но вам же (журналу) от горшка два вершка.

С другой, я даю 100%, что вы станете клоном Хакера.

Дело в том, что в печатном издании нельзя публиковать действительно умные, грамотные, технические статьи (к примеру, как в x25zine), потому что основной контингент читателей - ламмеры - просто перестанут его покупать, говоря типа: "уууу да там всякая х..я для программистов" (какой-то чел на этом же форуме так отозвался о x25zine). А печатать его для 100 человек никто не будет.

Ну да ладно, на этом заканчиваю.