Михаил Флёнов - Linux глазами хакера

А чего ждать? Активное соединение тоже можно перехватить, хотя это сделать немного сложнее. Если хакер получил доступ к компьютеру, который подключен к FTP-серверу, то достаточно дождаться момента, когда пользователь взломанного компьютера запросит передачу данных, и перехватить порт.

В разд. 1.1 мы говорили о том, что на начальном этапе взлома компьютера хакер должен получить как можно больше сведений о жертве. Средством сбора первичной информации является сканирование портов. Делать это с собственного компьютера опасно, поэтому хакеры стараются маскироваться и идут на различные хитрости.

Одна из уловок — использование сценария на PHP или Perl, который с сервера будет производить сканирование. Но этот метод обладает следующими недостатками:

□ необходим сервер, который сможет выполнять сценарии, а не всегда есть возможность найти подходящий;

□ бесплатные серверы с возможностью выполнения сценариев требуют регистрации и обладают хорошей системой журналирования. Если первое препятствие можно обойти, указав неверные данные, то второе является большой проблемой. Сервер зафиксирует сканирование, и служба безопасности может быстро найти будущего взломщика.

Хакеры нашли отличный способ заставить сервер сканировать порты. Для этого всего лишь нужно подключение к FTP-серверу, который работает в активном режиме.

Вспомним, как происходит прием/передача файлов в активном режиме. Для этого FTP-серверу посылается запрос с указанием порта клиентского компьютера, к которому он должен подключиться. Помимо номера порта передается и IP-адрес. Это значит, что клиент с адреса 192.168.1.1 может запросить соединение с компьютером 192.168.8.2 и любым его портом, и сервером это воспримется нормально. Хакеры научились использовать эту особенность для того, чтобы заставить FTP-сервер сканировать порты удаленного компьютера.

Таким образом мне удалось один раз удачно произвести атаку DoS на свой сервер. Я заставил FTP-сервис сканировать компьютер с proxy, через который происходило подключение к Интернету. На прокси-сервере была установлена система обнаружения атак, которая при выявлении попытки сканирования автоматически блокировала любые соединения с компьютером (о таких системах мы поговорим в гл. 12 ). Сканирование прошло удачно, и я со спокойной душой пошел на обед. Вернувшись, услышал от пользователей, что невозможна работа по FTP. Я проверил, сервер работал исправно. Оказалось, что FTP стал недоступен для внешних пользователей, подключающихся через прокси-сервер, который во время сканирования добавил FTP-сервер в черный список.

Для сканирования через FTP-сервер можно использовать программу nmap:

nmap -b имя_пользователя:пароль@ftpсервер:порт

Как видите, эта запись очень сильно похожа на строку подключения через Web-браузер. Если для сканирования будет использоваться анонимный сервер, то имя и пароль указывать не обязательно:

nmap -b ftpсервер:порт

Если сервер работает на 21 порту, то можно опустить и этот параметр.

Для защиты можно исключить активный режим FTP-сервера с помощью сетевого экрана, т.е. блокировать работу с 20 портом, который чаще всего используется для передачи файлов. В этом случае все соединения инициализируются только со стороны клиента.

С помощью FTP-сервера можно рассылать E-mail-сообщения. Для этого создайте на сервере текстовый файл со следующим содержимым:

HALO mailserver.com

MAIL FROM: name@server.com

RCPT TO: recipient@server.com

DATA

Текст письма

.

Рассмотрим, что означают эти строки, которые на самом деле являются командами SMTP-сервера:

□ HALO mailserver.com— строка приветствия SMTP-сервера. Параметр maiiserver.com необходимо заменить на реальное имя сервера;

□ MAIL from: name@server.com— адрес отправителя письма;

□ RCPT ТО: recipient@server.com— получатель письма;

□ DATA— после команды идет содержимое письма.

Последняя строка в файле должна состоять только из одной точки, потому что SMTP-сервер символы и (конец строки и перевод каретки) воспринимает как конец письма. Когда вы нажимаете клавишу , то в ОС Windows создается как раз такая пара символов. ОС Linux ограничивается только переводом каретки. Для нас главное, чтобы в тексте был переход на новую строку, а какой он, — не имеет значения, потому что файл будет передаваться в ASCII-режиме.

Этот файл загружаем на FTP-сервер и выполняем следующие две команды: