Virtualbox. Проброс портов на гостевую систему. Режим NAT.

1
23.02.2012
в

Приветствую.
Иногда бывает необходимо поднять на виртуальной системе какой-либо сервер или демон, который должен быть доступен из сети интернет.

Вообще для того, чтобы обратиться к удаленному хосту, тот должен иметь прямой ip-адрес, в нашем случае прямой «айпишник» будет принадлежать тому устройству, на котором работает виртуальная машина с гостевой операционкой. Используем режим NAT, перенаправим порт, и при обращению к порту, скажем, 80-му, мы попадем запросом не на хост-систему, а на виртуальную.
Надеюсь, вы поняли =)
Рассмотрим ситуацию с гостевой windows xp.
(далее…)

Анализ DDoS-бота Dirt Jumper v5

9
23.02.2012
в

Не так давно в публичный доступ просочился билдер для DDoS-бота Dirt Jumper версии 5. Я уже писал о предыдущих версиях, так же расскажу со временем о Simple и September, которые построены на исходника Dirt Jumper, но о них позже.

И так, начнем, передо мной 2 сэмпла, один, хранящийся еще с октября и новый, полученный вместе с утекшим билдером.

File Name:  DJS.exe
File Size:  194560 bytes
MD5:        ef9c4bfa9906251d52c3658252224d85
SHA1:       2b19632d659834082f6d3990fe1f5d767a6c997c
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     4672828ee47947268d73d1c2a1fd1713
  DATA      3.62     1d4ae05c0211f9ea19df9f338d56e56c
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.5      2b9af02d60edec287ae4c9b3e0485dbe
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.19     28765e2052b1ca47b176a8ee8084fa57
  .reloc    6.64     79a038d651070c4e5d8fb2bbba37bc86
  .rsrc     3.37     d54b88c104472e46d28e57efdbc3d8b2
File Name:  stub.exe
File Size:  194560 bytes
MD5:        506ba7a322288cc4dc55b7c32fea9f4f
SHA1:       d4795b350632ec0a2ea69cc8ab481634c903742d
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     a6a2f999004ea4755f19af496de79c30
  DATA      3.62     1d4ae05c0211f9ea19df9f338d56e56c
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.5      2b9af02d60edec287ae4c9b3e0485dbe
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.19     28765e2052b1ca47b176a8ee8084fa57
  .reloc    6.64     79a038d651070c4e5d8fb2bbba37bc86
  .rsrc     3.37     d54b88c104472e46d28e57efdbc3d8b2

Virustotal демонстрирует результат 18/43 — ведущие антивирусные вендоры не дремлют, хоть и не дают конкретного детекта, что это бот.

Файлы идентичны по содержимому, разница только в адресах панелей управления.
(далее…)

Попытка взлома блога школьниками? xD

5
20.02.2012
в

В логах обнаружил, что вечером 18-го какой-то школяр пытался брутить блог:

95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "GET /wp-login.php HTTP/1.1" 200 1150 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "POST /wp-login.php HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:30 +0400] "POST /wp-login.php HTTP/1.1" 503 213 "-" "-"

И так 995 попыток)
Сомневаюсь, что это прокси.

Так же было сканирование на уязвимости, хотя это тоже детские шалости:

95.67.169.24 - - [18/Feb/2012:19:26:24 +0400] "GET /readme.html HTTP/1.1" 200 4881 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-includes/rss-functions.php HTTP/1.1" 500 20 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php.save HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php_bak HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /%23wp-config.php%23 HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:25 +0400] "GET /wp-config.php~ HTTP/1.1" 503 213 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:26 +0400] "GET /wp-config.php.swp HTTP/1.1" 404 4862 "-" "-"
95.67.169.24 - - [18/Feb/2012:19:26:27 +0400] "GET /wp-config.php.swo HTTP/1.1" 404 4862 "-" "-"

Ушлый хрен из Самары, в следующий раз юзай прокси, не позорься. Брутить бесполезно, учетки пользователей на этом блоге прав никаких не имеют, а нормальный пароль тебе попросту не сбрутить.

Вообще не понимаю немного, почему столько вредителей постоянно лезут со своими ботнетами/сканерами. Сайт не коммерческий и прибыли мне не приносит, если он лежит — то это только читателям минус, а не моим финансам.

IceSword 1.22

7
20.02.2012
в

IceSword — инструмент для обнаружения скрытых файлов, записей в реестре, процессов и прочих элементов, используемых вредоносными программами для закрепления в системе. Это не антируткит в привычном понимании, но программа вполне пригодна для борьбы с руткитами и тяжело удаляемыми инфекциями.

Полный список подконтрольных элементов:

  • Процессы
  • Порты и сетевые подключения
  • Модули ядра
  • Автозагрузка
  • Службы
  • SPI
  • Полный контроль над реестром
  • Полной контроль над файловой системой

IceSword — довольно мощная утилита, которая способна нанести вред системе при неумелом использовании, используйте ее только в случае, если вы уверены в своих действиях.

Программа умеет делать импорт собранной информации в текстовый файл.
Имеет интуитивно понятный интерфейс.
Язык английский.
Стабильная работа гарантируется под Windows xp/2003/vista.
Работа под семеркой не проверялась, но теоретически она невозможна без дополнительных манипуляций с конфигурацией системы из-за необходимости загрузки неподписанного драйвера.

Кстати, о драйвере.
Имя ему IsDrv122.sys (c:\windows\system32\drivers\IsDrv122.sys)
Не виден в проводнике, но на него реагируют другие антируткиты и иногда антивирусы, что временами может навлечь на мысль о заражении. Вы можете спокойно его удалить, если он мешает, но после запуска программы он будет создан заново.

Скачать IceSword 1.22 (md5:49582E999155CDF2812A1D645CAF0831)

Установка VirtualBox+Windows XP

10
16.02.2012
в

Для того чтобы провести анализ того или иного приложения без риска для своей операционной системы, нам понадобится система виртуальная, об установке которой мы сейчас и поговорим.

Даже с такой несложной задачей у некоторых бывают проблемы. Я коротко опишу процесс установки сначала самой виртуальной машины VirtualBox, затем установку в качестве гостевой системы windows xp professional.

На самом деле ничего сложного. Нам понадобится:

  • Virtualbox + VM VirtualBox Extension Pack. Скачивается с официального сайта:

https://www.virtualbox.org/wiki/Downloads

Версии под линукс: https://www.virtualbox.org/wiki/Linux_Downloads

  • Установочный образ Windows XP Professional SP3, качать его или купить — ваш выбор.
  • Не менее 6 гигабайт свободного пространства на жестком диске.
  • Не менее 768 мегабайт оперативной памяти. Для комфортной работы от 1 гигабайта и более.
  • Процессор особого значения не имеет, достаточно будет и 1 гигагерца.

Скачиваем установщик, ставим, затем устанавливаем двойным кликом пакет дополнений VM VirtualBox Extension Pack.
Теперь создадим новую виртуальную машину.
(далее…)

Вверх