Полезные статьи для программистов

ПредупреждениеCERT уязвимость сервера NFSКомментарий редактора. По данным Координационного центра CERT,некоторые серверы NFS с определенными реализациями Mountd главным образом,системы Linux уязвимы для удаленных атак. Это, в частности, касается системCaldera и Red Hat Software.Заплаты можно найти на серверах производителей - Caldera ftp ftp.caldera.com pub OpenLinux updates 1.2 013 и Red Hat Software http www.redhat.com support docs errata.html .Другую информацию, в том числе по конкретным поставщикам, можно найти поадресу http www.cert.org advisories CA-98.12.mountd.html.Следующая заметка является кратким изложением содержания CERT AdvisoryCA-9562 Назначение NFS состоит в совместном использовании файлов различнымикомпьютерами в сети в соответствии с парадигмой клиент-сервер.

Если клиентскомукомпьютеру NFS необходим доступ к файлам на сервере NFS, то он вначале подаетзапрос на монтирование файловой системы.Именно эта процедура оказалась уязвимойдля атак вследствие некорректной реализации программного обеспечения,обрабатывающего запросы на монтирование NFS программа Mountd . Злоумышленникможет вызвать переполнение буфера в области кода, ответственного запротоколирование событий NFS.CERT получил сообщения, указывающие, что злоумышленники активно используютуказанную дыру для атаки на системы и проводят крупномасштабные сканирования впоисках уязвимых систем.

В некоторых системах уязвимый сервер NFSактивизируется по умолчанию.Вызвав переполнение буфера, удаленный злоумышленник может использоватьвозникшее состояние для выполнения произвольного кода с привилегиями root.NFS лучше блокировать до тех пор, пока вы не установите заплату. Вчастности, поскольку в некоторых системах уязвимые версии Mountdустанавливаются и активизируются по умолчанию, CERT рекомендует блокироватьMountd в этих системах, если только вы не собираетесь активно использовать их вкачестве серверов NFS.Ответный удар по спамуКомментарий редактора.

Что делать, если рассыльщики сорной почтыпродолжают бомбардировать вашу организацию своими посланиями несмотря на то,что вы установили новейший фильтр электронной почты? Здравые советы о мерахпротиводействия можно найти в статье Дж. Риварда 9562 Как бороться с сорнойэлектронной почтой Руководство для жертв 9577 по адресу http www.mcs.com jcr junkemaildeal.html.Ривард рекомендует собрать как можно более полную информацию о том, кто насамом деле является рассыльщиком сорной почты, а затем нанести удар возмездия!Он подчеркивает, однако, что ответная ругань редко достигает желаемой цели, вкаком бы виде она не передавалась - по телефону, факсу, обычной или электроннойпочте.

Вместо этого Ривард предлагает холодные, взвешенные действия, направленныепротив хоста рассыльщика, кто бы он ни был.Ввиду того, что определить реального рассыльщика сорной почты далеко непросто, Ривард описывает увлекательное детективное расследование по обнаружениюреального отправителя сообщения см. 9562 Заголовок сорной электроннойпочты 9577 . Пример заголовка и комментарий Риварда взяты с его сервераWeb.Машина, с которой сообщение было отправлено т. е. открывшая соединениеSMTP , имеет адрес 204.116.127.57 и называется newimage.bizimage.com. Важноезамечание имя хоста после From предоставляется входящим соединением и непроверяется почтовой машиной SMTP. Его очень легко подделать отправители могутуказать в этом поле практически все что угодно, например whitehouse.gov илиfbi.gov. Почтовая машина SMTP, принявшая сообщение для доставки, такженазывается newimage.bizimage.com - гм. По крайней мере это согласуется садресом для ответа Reply to, адресом отправителя From, а также строками ReturnPath и Message-ID.В отличие от имени хоста, IP-адрес 204.116.127.57 входящего соединенияпроверяется и генерируется сервером SMTP, поэтому его сложнее подделать еслитолько вся строка Received не была вставлена вручную, чтобы сбить нас со следа- в данном случае это маловероятно, так как заголовок имеет всего три такихстроки . Для определения реального имени хоста нам придется обратиться к DNS.Как оказывается, оно отличается от указанного - на самом деле этоdhcp-8.conpro.org, а не newimage.bizimage.com. Таким образом, пользовательdhcp-8.conpro.org возможно, с бюджетом у другого провайдера Internet отправилэто сообщение во время сеанса SMTP с почтовым хостом newimage.bizimage.com какследует из информации после by , но утверждает, что он принадлежит кnewimage.bizimage.com.Последняя верхняя строка Received была добавлена почтовой машиной моегопровайдера Internet, mailbox.mcs.com. Она подтверждает, что сообщение былополучено от newimage.bizimage.com. Обратите также внимание, что отметка овремени согласуется с предыдущими заголовками Received предполагая, что времяуказано по восточно-американскому стандарту .Комментарий Comments можно проигнорировать - он был вставлен почтовымпрограммным обеспечением рассыльщика сорной почты в нашем случае Pegasus Mailfor Windows , поэтому утверждение об идентификации отправителя ничего незначит.Вы, наверное, уже обратили внимание, что адрес To совпадает с адресомотправителя From . Они одинаковы, потому что рассыльщик сорной почты отправилэто сообщение на свой собственный адрес, а адреса всех своих жертв указал встроке Bcc скрытые копии , чтобы пострадавшие не знали о том, кто еще кромених получил такое сообщение.На основании заголовков мы можем заключить, что почта пришла от кого-то,имеющего бюджет в bizimage.com newimage bizimage.com , где он воспользовалсяуслугами SMTP, а также в conpro.org, где он запустил свою программу рассылкипочты.

Более того, ввиду совпадения обратного адреса и имени отправляющей сообщениямашины newimage , а также с учетом коммерческого звучания имени доменаbizimage я сильно подозреваю, что это небольшая шарашка, владельцы которойсчитают рассылку рекламной почты вполне законным занятием, поэтому жаловатьсяадминистратору bizimage.com будет бессмысленно.

Скорее всего, обращаться с жалобойпридется к их провайдеру доступа.Комментарий редактора.

Одним из наиболее полезных инструментовдетектива в Web является база данных Whois в InterNIC http rs.internic.net cgi-bin whois и Traceroute, с помощью которых вы можете установить имена и IP-адреса узловмежду вашим и целевым хостом.

Traceroute поможет вам узнать провайдера илисоединение Internet рассыльщика сорной почты.

Утилита tracert на базе DOSпоставляется с Windows.

Кроме того, вы можете воспользоваться одной изследующих утилит http hookomo. aloha.net hol docs trace.htmlили http www.net.cmu.edu bin traceroute .Определив, кто является владельцем домена и кто предоставляет хостусоединение с Internet, вы можете отправить жалобу человеку или организации ссоответствующими полномочиями для принятия надлежащих мер. Ривард советует непосылать электронную почту непосредственно рассыльщику.

В конце концов, зачемраскрывать свое имя и адрес электронной почты кому-то, кто уже доказал своюнещепетильность? Если вы ощущаете необходимость выразить свои чувства непосредственнорассыльщику сорной почты, то лучше делать это по телефону, факсу или 9562 черепашьей 9577 т. е. обычной почте.

Конечно, намного более эффективный подход - направитьсвою жалобу администратору почты провайдера или, еще лучше, в ящик провайдерадля сообщений о злоупотреблениях.

Многие провайдеры Internet имеют специальныйадрес для сообщений о злоупотреблениях, причем обычно он имеет видabuse host.domain например, abuse netcom.com .При составлении жалобы помните, что вы обращаетесь к человеку, который можетни сном ни духом не ведать о рассылке сорной почты, так что постарайтесьвоздержаться от крепких выражений.

В конце концов, ваша цель состоит в том,чтобы остановить поток сорной почты, а не обрушиваться с проклятьями наневинную жертву.

Если сорная почта свидетельствует о незаконной деятельностиили подстрекает к ней, например речь идет о пирамиде или проституции см.Subject заголовка сорной почты в данном примере - 9562 Get Paid to HaveSex 9577 , то вам следует сообщить об этом в соответствующие инстанции.

Заголовок сорной электронной почтыReturn-Path lt Newimage bizimage.com ix gt Received by mailbox.mcs.com Smail3.1.28.1 28.15 id lt m0v6A4b-000D3NC mailbox.mcs.com gt Thu, 26 Sep 96 01 37 CDTReceived by newimage.bizimage.com from localhost router, SLmail95 V1.2,beta 1 Thu, 26 Sep 1996 02 27 09Received by newimage.bizimage.com from newimage.bizimage.com 204.116.127.57 mail daemon unverified,SLmail95 V1.2,beta 1 Thu, 26 Sep 1996 02 27 01Comments Authenticated sender is lt Newimage newimage.bizimage.com gt From newimage bizimage.comTo newimage lt newimage bizimage.com ix gt , newimage lt newimage bizimage.com ix gt Date Thu, 26 Sep 1996 02 02 38 0000MIME-Version 1.0Content-type text plain charset US-ASCIIContent-transfer-encoding 7BITSubject Get Paid To Have Sex Reply-to newimage bizimage.comPriority normalX-mailer Pegasus Mail for Windows v2.42a Message-Id lt 19960926022709.01171a12.in newimage.bizimage.com gt X-UIDL Status U.