ICQ флудинг - как это работает?

Очень часто мерзкий хацкер пытается закидать тебя большим количеством сообщений, причем приходят они от сгенерированных UIN’ов (номеров Аси), то есть от пользователей, которых даже не существует в киберпространстве. Это называется ICQ флудинг. В поиске таких программ можно найти очень много всех видов и мастей.

Что нужно знать врагу, чтобы тебя зафлудить?

А не слишком-то и много... Всего лишь твой ICQ порт и IP адрес. Чтобы узнать IP адрес, нужно для начала посмотреть «INFO» пользователя. В поле «Current/Last I.P. Number» ты увидишь IP адрес жертвы. Если же ты видишь надпись «N/A», то это значит, что IP адрес скрыт.

Итак, даже если IP адрес скрыт, то его все равно можно увидеть. Самый простой и быстрый способ: отсоединиться от сети ICQ (уйти в оффлайн) и посмотреть «INFO» пользователя уже в оффлайне. IP-шничек нарисуется, как на картине маслом. Теперь можешь снова выходить в онлайн.

Второй, более простой метод! Вводим в командной строке "NETSTAT", и видим всех, кому посылали какие-либо сообщения. Естественно, перед этим нужно послать сообщение жертве.

Итак, IP адрес ты знаешь, теперь осталось только определить порт ICQ. Для этого существует множество специальных программ. Нужно будет только ввести IP адрес жертвы, и прога скажет тебе порт, на котором висит ICQ клиент. Обычно ICQ порт должен находиться в диапазоне 1000-1100, но так бывает не всегда. Стандартные ICQ порты — 1027,1029,1080,1032. Но бывают и другие.

Без "сканера Интернет портов" ты, конечно, все-равно ничего не сделаешь, так что его уж не поленись — скачай. В Сети такого мусора кучи (я использую PortScan).

Итак, с большими усилиями, через 5 недель ты все-таки достал порт-сканер и заодно узнал, что же это такое — хакерские сайты. Теперь вводим IP-адрес жертвы и начинаем сканировать с 1000 порта. Если ты нашел любой открытый порт в этом диапазоне, значит, он тот, что тебе нужен. Все! IP-адрес и ICQ порт ты знаешь. В атаку! Вводим информацию во флудер — и вперед...

Способы защиты от флудеров!

А вот теперь, когда ты знаешь, как вся эта система работает, объясню, как лучшим способом защититься от этой самой распространенной атаки. Все программы, написанные для антифлудинга, — отстой. Самая эффективная защита предусмотрена непосредственно в самой Аське. Итак, запускаем ICQ и в основном меню выбираем опцию «Безопасность».
Еще один очень эффективный способ защиты, это подмена IP адреса.

NetBus — троянец-игрушка!

Идея заслать во вражеский стан «своего» человека, который мог бы собирать информацию, совершать диверсии и вообще выполнять любые задания центра, далеко не нова. Но лишь в относительно недавнее время она стала так массово и успешно применяться для компьютерных диверсий.

Итак, по порядку. Предположим, что кто-то хочет собрать некоторую информацию или совершить какое-либо действие на чужой машине. Есть 2 способа это сделать. Можно заранее проинструктировать программу, что делать. Типа:

«По прибытии отыщешь мне каталог Windows, в нем соберешь все файлы с расширением PWL и отправишь мне по почте».

Но это старо... Лучше сказать программе так:

«По прибытии выходишь со мной на связь и выполняешь мои указания».

Таким образом программа становится «глазами» и «руками» в чужом компьютере. Имея их, можно выполнить многое. Не буду расписывать все команды, реализованные в конкретной версии популярнго трояна — НетБаса (NetBus). Их увидит любой, запустив программу управления соответствующего трояна.

Для примера приведу лишь несколько самых прикольных/полезных команд НетБаса.

• Открыть/закрыть подставку для чашки кофе, один раз или с интервалом
• Поменять местами клавиши мыши
• Выполнить команду "запустить программу" и перейти на определенный URL
• Управлять координатами курсора мыши
• Показать диалог с выбором и сообщить выбор
• Отлогинить пользователя
• Посылать/принимать нажатия клавиш (текст)
• Получить снимок экрана
• Просмотреть содержимое жестких дисков, скачать/заслать/удалить файл
• Записать текущий звук и прислать
• Открыть/закрыть/сфокусировать окно

Вернемся к технологии. Итак, центральное место в работе этой программы занимает связь между сервером и клиентом. Для начала поймем, как происходит связь 2-х компьютеров через Интернет. В случае НетБаса используется протокол TCP. Это похоже на разговор по телефону.

Представь себе, что в компьютере есть более 30 тысяч "телефонов" (портов) и с каждого можно позвонить на каждый данный компьютер или на удаленный. После соединения можно передавать/принимать информацию. Правда, по некоторым "телефонам" не дозвониться, так как они уже заняты системными службами.

Сервер НетБаса действует следующим образом. Попав на компьютер и запустившись, он устраивается у условленного телефона и ждет звонка. Когда ему звонят, он снимает трубку и представляется:

«Здравствуйте! НетБас версии 1.62 слушает. Чем я могу Вам помочь?»

До версии 1.70 номер порта был фиксированный — 12345. Таким образом проверить наличие трояна на машине сервера было крайне просто: надо просто законнектиться на этот порт и посмотреть, будет ли ответ. В нормальном случае либо никто не ответит, либо просто пошлют.

«А если какой-то гад засунул этот твой НетБас на мою машину?» — спросишь ты. А вот тогда тебе нужно в любой момент времени посмотреть список текущих соединений, и если кто-то на твоей машине уже полчаса треплется с порта 12345 — значит, у тебя ночует НетБас.

Проверить текущие соединения легко: для этого запусти netstat.exe в командной строке. И эта прога тебе все покажет: кто, когда, с кем, во сколько...

Но хватит теории — перейдем к практике. Посмотрим, как можно побаловаться с НетБасом и даже хакнуть его «подручными» средствами, пользуясь ламерским программным исполнением оного.

Для данной "лабораторной работы" нам понадобится НетБас до версии 1.70 и программа telnet.exe (входит в стандартный набор Windows).

1. Запускаем «patch.exe /noadd»
2. Запускаем telnet.exe

Опция noadd говорит серверу НетБаса не прописывать себя в автозагрузку виндов, а сработать одноразово. (Надеюсь, ты не хочешь сам себя заразить трояном?) Теперь надо связаться с засевшим у тебя на компе агентом. Если помнишь, он ждет на порте 12345. В программе телнет выбираешь меню [connect] пункт [Remote System]. В поле [hostname] набираешь "localhost" (то есть коннектишься к собственному компьютеру), а в поле [port] — 12345 и давишь на пимпу connect.

Если троян на месте, он живо откликнется, сообщив свою версию. Например, «NetBus 1.60». Он готов к работе. Можешь набрать "GetInfo" и нажать ввод — НетБас выдаст тебе информацию о компьютере.

Ты должен знать, как тебя "хакают"!

Для того, чтобы в сети найти компьютер с такой лазейкой, хакеру необходимо просканировать диапазон IP-адресов одной сетки. Что для этого нужно? Для Windows 98/NT — программа «Legion». После запуска этой программы нужно указать IP-адреса, которые будут использоваться для сканирования.

Сначала хакер выбирает предполагаемого провайдера, услугами которого впоследствии он будет пользоваться. Например, это будет выдуманный нами провайдер lamersite.ru. Запустив свой mIRC, он отправляется на всем знакомый IRC и в окошке «status» пишет:

/whois *.lamersite.ru.

Вот он уже и знает один из IP-адресов нашего выдуманного провайдера (к примеру 121.31.21.10). Теперь нужно указать диапазон IP-адресов этого провайдера. Хакер запускает "Legion" и заполняет поля «Enter Start IP» (введите начальный IP) и «Enter End IP» (введите конечный IP).

Enter Start IP: 121.31.21.1
Enter End IP: 121.31.21.254

Остается только выбрать скорость соединения и нажать на кнопку «Scan». Если после сканирования в правом окне сканера появится что-то вроде «\\121.31.21.87\C», то в левом окне можно открыть этот IP и щелкнуть два раза на ответвлении «C». Появится сообщение «MAPPED ON DRIVE E:».

Это означает, что на данном IP есть машина c незашаренным (то есть открытым для всех) диском С:\ ..и этот диск можно установить как еще один диск на своем компе. То есть у хакера на компе появится еще один диск (в данном случае — Е), по которому он будет лазить, как по своему собственному, хотя он и находится на удаленной машине. Остаётся найти на диске ламера файлы с расширением *.PWL и ваши аккаунты (login и password) у него в кармане...

Самый простой из всех способов получить доступ к диску в сети заключается в том, что зная IP-адрес с открытыми сетевыми ресурсами, можно соединиться с компьютером нажав на Пуск, выбрав «Поиск компьютера» и указав IP-адрес жертвы.

Выводы:

Чтоб не стать добычей хакера:

- нерасшаривайте (без особой надобности) свои ресурсы в сети,
- используйте прокси-сервер для скрытия своего реального IP,
- контролируйте открытые порты своего компьютера (netstat)!

TELNET - очередная "дыра" в твоей системе!

Как заТЕЛНЕТиться к компу?

Начнём с того, что каждый сервер имеет своё ПО, привязанное к определённому порту. Соответственно, если мы хотим просмотреть веб-содержимое сервера, то соединяемся к 80 порту сервера; если хотим скачать/залить файлы через FTP - то к 21; если же подключаемся через Telnet - то к 23 порту сервера. Нужно сказать, что это номера портов "по умолчанию" и они могут быть другими.

Далее, узнаём IP сервера (ping в ком.строке) и через двоеточие указываем номер порта для коннекта.
Например: ххх.ххх.ххх.ххх:23

Как узнать, под какой ОС сидит сервак?

Зателнеться к нему на telnet-сервер и почитай там текст приглашения (в нем обычно бывает указана ось). Это не самый лучший способ, так как админы часто меняют название оси в этом приглашении, чтобы запутать хацкеров. Но мы их, как всегда, перехитрим . Заходи telnet'ом на 80-ый порт (web-сервер) и формируй кривой запрос POST. Для этого прямо руками надо написать следующее:

POST bla bla
bla
bla

Пишешь слово "POST", потом пробел, набор любых символов, еще пробел, еще набор любых символов, жмешь Enter, еще один набор символов, опять Enter и еще набор символов и Enter.

Получив такой ужасный POST-запрос, web-сервер, естественно, начнет плеваться: он вернет тебе ответ, состоящий из заголовка и тела-хтмлки. Все это, включая заголовок ответа, отобразится у тебя на экране. В этом самом заголовке, кроме всего прочего (даты, номера ошибки, content-type'а и етс), будет содержаться информация о самом web-сервере - например, "Server: Apache/1.3.12 (Unix) (Red Hat/Linux)".

Подведём итоги

Если ты не знаеш (и не хочеш знать) что такое Telnet, следует отключить эту службу, т.к. по умолчанию в виндах она включена, чем и незамедлит воспользоваться зловещчий хацкер!

Интернет с резинкой

Что такое Cookies?

Cookie - это небольшая порция информации, которую сервер передает браузеру пользователя. Браузер будет хранить эту информацию, и передавать её с каждым запросом серверу. Некоторые cookie хранятся только в течение одной сессии (удаляются после закрытия браузера), другие - записываются в файл. Обычно этот файл называется 'cookie.dat' или 'cookie.txt'.

Сами по себе cookies не могут делать ничего, это лишь инфа для сервера. Например, в случае авторизованного доступа к чему либо, в cookies сохраняется (!)логин и пароль пользователя, что позволяет не вводить их каждый раз.

Но есть одна прОблем - этим файлом может воспользоваться не только сервер. Для хакеров этот файл - булочка с маслом! Элементарно прочитал содержимое, и логин с паролем лоха у него в кармане. Не забывайте об этом! Попробуйте у себя на машине просмотреть этот файл и там увидите свой логин и пароль.

Чтоб просмотреть, заходим в папку 'Program Files' (а лучше диск Ц) и запускаем поиск, по слову "cookie". Если поймали cookie.dat (Опера, Мозила), то просматриваем его в программе WinHex. Когда откроется WinHex, жмём [Ctrl+F10] (извлечь текстовые строки) и устанавливаем значения "Пять букв для слова" --> Сохранить как TXT.

После этих манипуляций получим текстовый файл с кучей данных о посещённых серверах и о себе-любимом. Кстати, поражает фантазия администраторов серверов, которые обзывают нас (клиентов) по-всякому. Вот некоторые варианты: коммунист, аватар, скунс, леди, васёк и т.п

Web-браузеры

- атака на браузер с засылкой троянской программы;
- сбор данных о пользователе (с какой страницы пришел, под каким IP);
- извлечение сохранённых на винте компроментирующих данных;

Поясним сказанное на конкретных примерах. Практически все браузеры - дырявые! Через дыры лезут черви, вирусы и другие вандалы. Независимо от текущей политики безопасности в настройках браузера, при посещении страницы всегда существует угроза подцепить какую-нибудь заразу, проникающую сквозь антивирусы и брандмауэры. Одним словом, ездить на дырявом браузере - небезопасно! Компьютер помнит все наши шаги, сохраняя на винте массу инфы, которую не просто удалить. Займёмся клиентской проблемой - то есть браузером.

Internet Explorer

Самый популярный обозреватель всех времен и народов, одновременно самый небезопасный и дырявый. Практически каждую неделю в нем обнаруживается свежая порция новых дыр, а сколько ошибок остается невыявленными - остается только гадать! Но дыры - это еще так себе, ...хуже всего, что IE страдает хроническим недержанием конфиденциальной инфы. В первую очередь это относится к кэш'у, истории и кукам.

По умолчанию кэш размещается в каталоге: \user-name\Local Settings\Temporary Internet Files\ и в любой момент может быть удален по команде: “Сервис -> Свойства обозревателя -> Общие -> Временные файлы интернета -> Удалить файлы”. Но не все так просто! За счет грубых ошибок в системе индексации, часть файлов просто не удаляется, в чём можно убедиться заглянув в указанный каталог после его "очистки". Самое интересное, что индексный файл index.dat (находящийся в том же подкаталоге) физически не очищается и продолжает хранить адреса посещенных сайтов.

История хранится в папке History, в том же каталоге, что и Temporary Internet Files. Куки лежат в папке Cookies в подкаталоге на один уровень выше. Так что, приходится быть начеку! А еще лучше... сменить браузер на более надежный!

Opera

Этот браузер практически не содержит дыр (во всяком случае, подтвержденных атак зафиксированного не было) и все данные, поступающие из сети (кэш, куки, история посещений) хранятся в единственном месте - в папке Opera\profile. Блуждая по сети с Оперой, за хакерские атаки можно не волноваться, а содержимое профиля (вместе с самой Оперой) очень легко перенести на флэшку. Тогда на жестком диске никаких следов нашего пребывания уже не остается.

FireFox

...довольно популярный, но увы - дырявый и категорически небезопасный браузер, причем с каждым днем дыр в нем обнаруживается все больше и больше. И хотя массовых атак на Лисов не наблюдалось (т.к. большинство сидит под IE), угроза подцепить троянскую лошадь при посещении Web-странички вполне реальна.

Свои следы Лис хранит сразу в двух местах: \user-name\Application Data\Mozilla\Firefox\Profiles\4uszwife.default, где помимо кучи пользовательских схем, настроек и расширений дает приют файлам cookies.txt и history.dat, о назначении которых можно догадаться и без комментариев.

Кэш сосредоточен в папке \user-name\Local Settings\Application Data\Mozilla\Firefox\Profiles\4uszwife.default\Cache, и не всегда корректно очищается штатными средствами. К тому же, для Лиса существует огромное кол-во расширений, многие из которых запоминают инфу в своих собственных местах.

Так что, несмотря на агрессивное продвижение на рынок, Лис не является безопасной программой, но этот недостаток компенсируется обилием плагинов, расширяющих функциональность Лиса до совершенно недостижимых для IE границ.

HeatSeek

В отличие от трех предыдущих, HeatSeek - это мощная система шифрования, кодирующая всю информацию, записываемую на жесткий диск, благодаря которой достигается полная приватность и конфиденциальность. Даже если винт попадет в руки спецслужб, расшифровать его содержимое ни за что не удастся, а нам не придется каждый раз очищать кэш.

Шифруется всё: содержимое самих страниц, графические изображения, история, куки и даже закладки! Однако следует помнить, что инфа, физически проходящая через компьютер провайдера передается в незашифрованном виде и может быть использована для компромата! Самое главное, что все это удовольствие не стоит ни копейки и может быть скачено с http://www.heatseek.com/ совершенно бесплатно!

Заключение

Большинство персональных брандмауэров по умолчанию ведут логи, чтобы в случае атаки было можно разобраться, кто нас поимел и куда. Естественно, перед посещением "сакраментальных" местечек сети протоколирование лучше включить.

При наличии статического IP нелишне позвонить провайдеру и попросить исключить себя из области кэширования (по умолчанию провайдеры кэшируют информацию на своих серверах, экономя на входящем трафике), правда это может несколько замедлить скорость Web-серфинга, но зато уменьшит количество оставляемых следов.

Пользуйтесь презервативами!