Кто стучится в дверь мою?

была уже какая-то похожая прога, но надо было звонить модемом на комп, типа, 3 звонка с промежутком в 20 секунд и комп чё-то там начинет делать(ставит пиво в холодильник :)

Ага. А был ещё такой вирус. Он мне очень понравился тем, что один и тот же файл работал как .bat, .com и .sys. Эх, вот раньше вирусы писали, не то что сейчас.

Только вопрос: я правильно понимаю, что всё это нужно только для того, чтобы nmapом (большую часть времени) не было видно открытых портов? От снифера всё равно не спасает.

>Только вопрос: я правильно понимаю, что всё это нужно только для того, чтобы nmapом (большую часть времени) не было видно открытых портов? От снифера всё равно не спасает.
Это скорее нужно для того, чтобы при штатной работе удаленное управление было отключено и включалось ТОЛЬКО по требованию (при знании магического слова трах-тибидох-тибидох :-)). Или как черный ход для злобных админов. Второе - выгоднее :-)

wget http://host.com:86/
wget http://host.com:82/
wget http://host.com:85/
wget http://host.com:86/
wget http://host.com:81/
wget http://host.com/secret.porno.avi

Баловство это все!

Придет злобный хакер и по портам надает!

echo "$SUBJ" | sed 's/мою/ко мне/'

сейчас вирусы писать бессмысленно - в современных ОС с разделением прав и защитой памяти они не могут размножаться, остается уповать на дыры и глупых юзеров, а это уже черви и трояны...

>остается уповать на дыры и глупых юзеров, а это уже черви и трояны...
Следует ли из этого:
дыра == червь
глупый юзер == троян
?
То есть, для создания трояна необязательно уметь программировать, достаточно найти тупого юзера и заслать :-)

>сейчас вирусы писать бессмысленно - в современных ОС с разделением прав и защитой памяти они не могут размножаться, остается уповать на дыры и глупых юзеров, а это уже черви и трояны...

в "современной ОС" виндовс с разделением прав не особо.. просто размножаться вирусы стали не локально на компе, а глобально по сетям..

> всё это нужно только для того, чтобы nmapом (большую часть времени) не было видно открытых портов? От снифера всё равно не спасает.

nmap не будет видеть никогда, потому что порт можно открыть только для того IP, с которого пришла knock-последовательность.

Если заморачиваться защитой от снифера, то она может быть такой: текущее время шифруется общей для клиента и сервера секретной фразой, на её основе генерируется новая последовательность портов. Это если не доверять защищённости ssh/ssl/vpn.

> Ага. А был ещё такой вирус. Он мне очень понравился тем, что один и тот же файл работал как .bat, .com и .sys. Эх, вот раньше вирусы писали, не то что сейчас.

Да, было время...
Вот откопал в своём личном архиве досовую прогу, которая запущенная как turner1.com копирует себя в turner1.bat и наоборот. Слабо так в Linux? :)) 


        .model  tiny
        .code
        org     100h
start   db      '@GOTO',09,'A',0Dh,0Ah,0Ah,5Ch
        mov     dx,offset message
        mov     ah,9
        int     21h
        mov     ah,5bh
        xor     cx,cx
        mov     dx,offset nm
        int     21h
        jc      rrr
        mov     bx,ax
        mov     ah,40h
        mov     cx,offset enn
        mov     dx,100h
        sub     cx,dx
        int     21h
rrr:    ret

message db      "Hi from 'com' file.",24h
nm      db      'turner1.bat',0
en      db      0Dh,0Ah,3Ah,41h,0Dh,0Ah
bc      db      "@echo Hi from 'batch' file.",0Dh,0Ah,'@copy %0 *.com'
enn:
end     start

> От автора: это всё равно не безопасно

Смотря что полагать безопасным, а что нет. После стука открывается порт ssh, который сам по себе считается достаточно безопасным. ;-)

И сканер портов тут мало поможет, т.к. "This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port." По этому есть только риск, что подслушают сниффером из локалки, но локалка есть далеко не всегда... ;-)

Пожалуй, нитересная вещь, хотя она и не отменяет всех прочих мер безопасности. :)

Фтопку нах ! Уже давно есть -m recent в iptables, где можно делать более гибкие правила. Например я сделал что нужно пропинговать сервак 2 раза с разным размером пакета, на 30 секунд отктываются SYN по некоторым портам , тогда открываются некоторые прелести. А сие чудо закрывать дыру автоматом умеет ?

на каждую **** с затычкой, найдется *** с винтом. В-общем, security over obscurity...

> А сие чудо закрывать дыру автоматом умеет ?

А читать кто-то умеет, прежде чем орать про топки?

"Automatically close rules"

ну блин, это круто! :))

must be однозначно.

З.Ы. интересно, а апологеты маздая что-нибудь интересное на это смогут сказать? :)))

А чем ssh не устроил то?

никто ssh и не отменяет.

сказано же, что бы не открывать ssh всему миру и в то же время иметь возможность зайти на него с любой машины.

"сказано же, что бы не открывать ssh всему миру и в то же время иметь возможность зайти на него с любой машины."

Ну открыт у вас ssh всему миру, дальше то что? Задосят? Так и в данном случае могут задосить ;)

хех.

а подобрать пароли?

в общем, ничего хорошего в открытом ssh я не вижу (к тому же не у всех трафик бесплатный.)

а подобрать эти идиотские стуки? Чем они лучше паролей, то?

бгы.

пароль из одного знача - 62 варианта (26 маленьких букв+26 больших+цифры).

пароль из двух знаков - 62х62 = 3844 варианта.

и так далее.

стук из одного порта - 131072 варианта (tcp и udp)

стук из двух портов: 17179869184 вариантов.

и так далее :)))

есть вопросы? :))

Кто стучиться, мать твою! :))))))))))))

> А сие чудо закрывать дыру автоматом умеет ?

иногда лучше жевать (читать) чем говорить. Учи албанский, умник.

> а подобрать эти идиотские стуки? Чем они лучше паролей, то?

на сайте, в обсуждении к статье этот вопрос рассматривается, и аргумент такой что снифером ты в среднем задетектиш кучу всяких пакетов (все время кто то норовит постучать по серваку), а какой из них участвует в последовательности хз...

система отцтой. плюсов нет

анонимус отстой, плюсов нет.

я тоже считал. 1 порт - 32000 5 последовательных постукиваний по портам - 33554432000000000000000

1 символ - 26+26+32+32+10+20+1=147 вариантов 5 символов на 1 номер порта, 5 портов(147^(5^5)) - 1,5238189451165715290524049619041e+54

вариантов с классическими простукиванием портов в 45413343462841854365241675433638 раз меньше чем вариантов с паролем в 25 символов.

это не найоп - посчитано, пусть и в самом худшем случае, когда порты большие (около 32000).

А, что по ip не догадаться, кто участвует в последовательности?

>>с паролем в 25 символов.

не 25 а 3125 =)

> А чем ssh не устроил то?

Сканируют постоянно. По сему есть неприятная возможность, что в один прекрасный момент возникнет зазор между обнаружением уязвимости и установкой обновления. Или переносить на другой порт или - так.

> интересно, а апологеты маздая что-нибудь интересное на это смогут сказать?

Можем. У нас в WinXP есть raw-сокеты, и кое-кто с ними даже работал. Так что никаких проблем не видим. Еще у нас есть winpcap - библиотека + драйвер, так что аналогичную софтинку слабать или это портануть - без проблем. Искренне ваши, апологеты маздая.

P.S.: коллеги-линуксоиды, давайте не будем ТАК глупо подставляться, а?

>ТАК глупо подставляться

а в чем проблема? :)

Правильно! Файрволы на свалку! ;-}

>Или переносить на другой порт

а что, с этим часто бывают сложности? И потом, одно другому не мешает ;)

А вообще любопытная вещица, посмотрим..

>в современных ОС с разделением прав и защитой памяти они не могут размножаться

Согласен.

>сейчас вирусы писать бессмысленно

А с этим - не согласен. Потому как несовременная ОС установлена на 90% компьютеров :(

> а что, с этим часто бывают сложности? И потом, одно другому не мешает ;)

Не мешает и сложностей нет. Но упрямые логи показывают, что как-то находят. Тебе приятно три раза в неделю находить в логах упорные попытки влезть по ssh? Мне нет - ведь влезут рано или поздно с таким упорством-то...

> Не мешает и сложностей нет. Но упрямые логи показывают, что как-то находят. Тебе приятно три раза в неделю находить в логах упорные попытки влезть по ssh? Мне нет - ведь влезут рано или поздно с таким упорством-то...

Ага, с таким же успехом миллион обезьян напишет "Гамлета"... :)

> Ага, с таким же успехом миллион обезьян напишет "Гамлета"... :)

Если бы... Я смотрел в логи, там по списку пробуются несколько старых уязвимостей. И, вобщем, нет гарантии, что не попробуют новые, когда таковые найдутся..

поставить vpn сервер, сделать себе там статический айпи и закрыть ssh на вход только с этого айпи, ну и прописать еще какие известные айпи, проблем-то..

вот именно, гораздо проще постучать по портам, и никаких vpn не надо.

> сейчас вирусы писать бессмысленно - в современных ОС с разделением прав и защитой памяти они не могут размножаться

wasm.ru до полного посветления... Перехват WinAPI _из прикладухи_ в NT-подобных ОС и прочие чудеса техники. Любые гадости - было б желание...

> остается уповать на дыры и глупых юзеров, а это уже черви и трояны...

Просто нынешние западлостроители ТУПЫЕ как полено. Старая досовская школа уже из таких вещей давно выросла, а "поколение пепси" нихрена кроме инета не умеет.

Даже когда в ходу были win9x, НИКТО не додумался до совершенно убойной вещи, которая тем не менее не определялась ни одним антивирусом. Прописать в autoexec.bat "echo y|format c: /q". Ну какой придурок будет перед перезагрузкой смотреть что у него в autoexec? :) Я помнится даже хотел эту вещь касперу отправить или дрвебу, типа новый вирус обнаружил... Отметился бы в истории хоть чуть-чуть. :)

Кстати аналогичным способом вполне можно глумиться над любителями Slackware. Именно слака, другие дистры не подходят. Там правда посложнее чем с autoexec, но тоже вполне реально. Сам способ говорить не буду, а то все эту дыру затыкать бросятся. :)

Для буквоедов - перед format c: ещё echo y|lock c:

> поставить vpn сервер, сделать себе там статический айпи и закрыть ssh на вход только с этого айпи, ну и прописать еще какие известные айпи, проблем-то..

Тогда смысл? Ведь это всё ради возможности быстьро, при необходимости попасть на сервер откуда угодно. Так скачал putty ещё эту утилиту и всё. А с vpn смотреть на кислое лицо владельца компа, которому совершенно не в радость то, что у него настройку правят и по фиг, что врешёшь в зад?

К тому же это не отменяет возможность взлома самого vpn...

это говорит лишь о том, что нт не является современной ос

А вот интересно, а можно настроить чтобы стучать в уже открытые другими программами порты?

А так хорошая штука, я бы себе давно поставил, но у меня NAT у провайдера...

Тут некоторые говорят, что сниффером ловится последовательность простукивания. А если ее разбавить холостыми коннектами на другие порты? Или тогда все сбросится?...

> А вот интересно, а можно настроить чтобы стучать в уже открытые другими программами порты?

Проверь. ;-) Судя по описанию - смогёт, а по факту... :?

> Тут некоторые говорят, что сниффером ловится последовательность простукивания.

Сниффером реально ловить только в локалке. А если сервак на колокейшоне? Кто там сниффить сможет? Провайдер? Так они и так смогут вломиться. Топором... ;-)

> Или тогда все сбросится?...

Думаю, сбросит. Иначем, смысла нет...

> Сниффером реально ловить только в локалке. А если сервак на колокейшоне? Кто там сниффить сможет? Провайдер?

если бы.. вон, на dediwebhost два сервера, физически рядышком, в один свич воткнуты. и с одного в promisc mode _ловятся_ пакеты второго. надо полагать, враг точно так же смогет снифать.

Да, блин, Ты гений. Это просто чудо-дыра. Ты, наверное, установку какого-либо софта называешь "хаком", а установку соединения с портом - DoS-ом? Есть такие типчики, у меня в конторе один такой работает. Старый дилетант с патологичным желанием поразить чужое воображение во время разговора.