Архив

Архив раздела ‘Информационная безопасность. Хакерство’

Новая платформа от Check Point — GAiA. Установка.

GAiA Check PointСовсем недавно Check Point представили новую платформу GAiA. GAiA — операционная система нового поколения для обеспечения безопасности.
С технической точки зрения GAiA — операционная система на основе Red Hat. Отличия от предыдущей SPLAT (SecurePlatform):
  • поддержка 64 разрядых систем
  • новый Web интерфейс управления
  • новый Command Line Interface (CLI)
  • и ещё много, много всего.
Я пройдусь по установке и приложу несколько скриншотов, получится своего рода скринкаст. Поехали. Читать далее…

mstsc.exe, память не может быть read. Лечим Trojan-Spy.Win32.Zbot.

18 Январь 2012 1 комментарий

mstsc.exe, память не может быть readПри подключении к удаленному рабочему столу через «Подключение к удаленному рабочему столу» (RDP-клиент, файл mstsc.exe) на Windows XP SP3, появляется сообщение об ошибке mstsc.exe, память не может быть read.
Сам клиент запускается, дает изменять настройки, но при нажатии кнопки «Подключиться», вылазит ошибка и все тут. Читать далее…

Переносим Zebra и OSPFD с SPLAT R70 на SPLAT R75

Разработчики платформы SPLAT (SecurePlatform) начиная с R71 релиза убрали такой полезный компонент как Zebra, вместе с ним пропали демоны ospfd, ripd, bgpd. А ведь только демон ospfd позволял правильно подружить динамическую маршрутизацию SPLAT и Windows, об этом я подробно писал тут.

Но не все так плохо, как кажется. Попробуем перенести компонент Zebra и с SPLAT R70 на SPLAT R75.

Читать далее…

Подключаемся к SPLAT (SecurePlatform) через WinSCP

19 Май 2011 3 comments

Сегодня я расскажу как подключиться к SPLAT (SecurePlatform) на котором установлен CheckPoint посредством WinSCP. Такая необходимость возникает иногда, например при копировании логов и конфигурационных файлов с одного сервера на другой или при копировании пакета обновлений на SPLAT (SecurePlatform). Удобно когда под рукой есть такой рабочий инструмент.

WinSCP — это графический клиент SFTP (SSH File Transfer Protocol) для Windows с открытым исходным кодом. Он также поддерживает [устаревший] протокол SCP (Secure Copy Protocol). Предназначен для защищённого копирования файлов между компьютером и серверами, поддерживающими эти протоколы. WinSCP также доступен как плагин к Far Manager, его мы и будем использовать.

Читать далее…

О захвате прав администратора на удалённой машине

27 Апрель 2010 Нет комментариев

Меня всегда заботил вопрос — как запустить консоль управления компьютером от локальной учётки того самого компьютера. Для захват доменных прав, например.

Задача проста: у нас есть пароль локального администратора машины, но нет прав доменных. А нам они ну очень нужны!

И совершенно случайно оказалось, что «Управление компьютером» из AD технически та же операция, что и вход в «шару» удалённой машины.

Выяснилось, что всего лишь нужно выполнить:

net use \\compname\c$ password /USER:COMPNAME\Administrator

И если Вы правильно указали учётные данные, то права в консоли «Управление компьютером» появятся. Смело жмите правой кнопкой по «Моему компьютеру», «Подключиться к другому компьютеру» и так далее.

Причина: эти операции используют единый механизм аутентификации.

Пользуйтесь на здоровье!

Поздравляем! Вы установили ПорноТВ. Отправьте СМС.

Сегодня попался очередной малварь, который просит отправить СМС, для того чтобы удалить ПорноТВ канал. Канал и вправду веселый, настолько, что блокирует Диспетчер Задач, но видимо не знает, что существует Process Explorer из пакета Sysinternals. Все остальное вполне типично — файл прописывается в автозагрузку в реестре, обзывает себя MediaCodec.exe, переименовывает regedit.exe в reg.exe и запускает дочерним процессом, судя по всему для поддержки записи в разделе автозагрузки и маячит при запуске на рабочем столе.

Удаляется так же просто: снимаем процесс, удаляем файл, удаляем запуск из автозагрузки в реестре. Читать далее…

Убираем баннер СМС с текстом 5862710 на номер 9800

11 Март 2010 14 comments

Сегодня встретил очередного вымогателя денежных средств через СМС. Он стартует при запуске операционной системы и вылазит на четверть экрана при запуске браузера Opera или Internet Explorer. Баннер предлагает отправить СМС с текстом 5862710 на номер 9800. За неимением достаточного количества времени не смог понять, как технически происходит запуск. Понятно было лишь одно, что при снятии задачи с explorer.exe и последующим запуском — баннер исчезал, но при перезагрузке операционной системы снова появлялся.

Тут cforum.ru удалось найти самое быстрое решение для снятия баннера: сначала вводим код 4479927959, затем появляется второй баннер с уведомлением, что Вам +18 лет, вводим код 8694287294.

Если кто-то изучил способ загрузки и место жительства этого зверя, пишите в камменты :)

Очередной вымогатель денег через СМС.

15 Декабрь 2009 1 комментарий

ВирусВ прошлый раз я уже описывал лечение малваря, вируса, трояна, кому как угодно, который вымогает деньги — просит отправить СМС, чтобы компьютер разблокировался. Об этом можно почитать тут. На этот раз, мне попался очередной, похожий малварь. Каким-то образом он заседает в каталог профиля юзера: C:\Users\имя_юзера\Local Settings\Temp\ в виде файлов dasA23.bin, dasA23.rtk, dasA23.tmp. Причем dasA23.tmp — основной, на самом деле — это exe’шник. Хэш MD5 для этих файлов:

6c957d5b884f838cc1c0807efc01192e *dasA23.bin
6c0d28f127149a8840ee960e1c6e7cb9 *dasA23.rtk
053c58b588e5a8beab327ad7bd9d5ba1 *dasA23.tmp

Читать далее…

Тот Самый Непобедимый — USB токен iBank 2 Key под Ubuntu 9.04/9.10

4 Декабрь 2009 7 comments

iBank 2 USB токенЗадача была простая: установить USB токен, который представлен на картинке под Ubuntu 9.04 или 9.10. Токен нужен для работы с интернет-банком компании Бифит.

 

В официальной документации написано:

USB-токены «iBank 2 Key» исполнения «М» предназначены для работы на следующих платформах: Windows XP Professional/XP/Home/2000 Server/Server 2003/2000 Professional/Vista с использованием Java 6. Для ОС Mac OS X версии 10.4.8 или старше используется Java 5.

Будем пробовать установит его под Ubuntu. Читать далее…

Максимальное число одновременных подключений в Check Point NGX R70.1

Check Point. Максимальное Число одновременных подключений.По умолчанию NGX R70.1 поставляется с очень ограниченным максимальным числом активных соединений (в моем случае было 25 000). Это очень немного для больших компаний или для компаний хостеров.

Чтобы увеличить этот лимит, необходимо открыть SmartDashboard и выполнить двойное нажатие мыши на объект Check Point. Перехожу в раздел Capacity Optimization. Здесь можно настроить максимальное количество одновременных подключений — Maximum concurrent connections.

Maximum concurrent connections.