|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/400 02 Sep 2004 19:49:58
To : 3APA3A
Subject : Re: logs on printer. ;-)
--------------------------------------------------------------------------------
Доброго времени суток.
Wed Sep 01 2004 17:29, 3APA3A wrote to Olli Artemjev:
OA>> Так как ксакепы люди серьезные ;), то они могут и знать о наличии
OA>> системы логов на принтер. Рассмотрим их действия при таком раскладе:
OA>> Чтобы надуть систему с принтером берется сеть из полулимона
OA>> зомбированных хостов на динамических адресах (спамеры за
OA>> сравнительно недорого сдадут список ip в аренду, если у вас нет
OA>> своего zombie-net'а), каждый из участников которой от рождения и по
OA>> сути своей логов не ведет. Далее испольтзуется транзитное соединение
OA>> через случайную цепочку из десятка-другого этих машин ( Параноики не
OA>> озабоченные скоростью работы могут использовать большее количество
OA>> соксов.
3> И откуда нам, бедным, знать такие приемы...
3> http://www.security.nnov.ru/soft/3proxy/howtor.asp#CHAIN
это к чему url? К тому где прокси брать? Или к тому, что спамеры таки логи
ведут? Hе знаю ведут ли логи Ваши знакомые спамеры, а мои знакомые спамеры
этой ф-ии у ботов не имеют, так как каждый лох тупо сканирующий блоки адресов
и пользующий потом этот самый открытый сокс уменьшает их шансы на закрытие их
спамящего сервера еще на чуть чуть. =) Ведь если к машине сотнями в час, как
мухи на мед, липнут коннекты пионеров - определить с уверенностью какой из
коннектов был от спамерского сервера сложнее. Соответственно дорогой хостинг
на широком канале проживет немного больше и принесет бабала намного больше. =)
3> Вот только какая досада - во-первых в логах ценен не только IP адрес,
Hу и что ты считаешь ценным в логах от открытой из vmware сессии, причем из
только что поставленной в вмвари винды зарегистрированной на имя user компании
company и на которой никто никогда больше работать не будет, а
образ диска винды от vmware отправится в /dev/null сразу после удачного
взлома?
vmware пиратская с ближайщего рынка или, что еще лучше, скарженная в пользу
фермера дяди Боба из штата висконсин. :)
3> во-вторых если атака продолжается достаточно длительное время,
3> у некоторых государственных структур, особенно не наших (хотя у
3> наших такие возможности тоже все больше и больше), есть шанс
3> проследить источник не прослеживая всю цепочку.
Механизм работы в студию пожалуйста. И чем подробнее тем интереснее. ;)
PS: Всегда хотел сказать спасибо за security.nnov.ru, сейчас вот по случаю
переписки выражаю признательность. Особенно за список рассылки. :)
--
Bye.Olli.
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
