On Wed, Apr 14 2010, Artem Chuprina wrote: > И нет, по большинству из них имеется в виду не > винда, а "железный" роутер. > > FTP, telnet и HTTP в двух ипостасях - подбор пароля и дальнейшее > управление машинкой, tftp - вообще, извините, заливка прошивки, SNMP - я > думаю, просто слишком много расскажет, если хорошо допросить.
Да и HTTP (вебморды) часто хватает для перепрошвки (а вот tftp - наоборот: чтобы какой-нибудь роутер смог подключиться к WAN и _потом_ оттуда прошиваться в рабочем режиме, на свой внешний адрес... ну, может, и бывает, но не попадалось). Зато припоминаю я, что во времена unicode bug в IIS tftp.exe почему-то часто использовался для втаскивания своего кода на похаканную виндовую машину. Может, потому что FTP тогда чаще закрывали файрволлом, а TFTP упускали. А может, из cmd.exe /c проще было им воспользоваться. > MAA> Вот странные люди из акадо даже 53/udp фильтруют. На вопрос > MAA> "зачем" ответить не смогли. > > Вероятно, были атаки. Какой-нибудь распространенный червяк, работающий > через DNS. (Причем, скорее, даже не взлом DNS, а именно работа через > DNS уже руткитовой части.) Скорее всё же рефлекс от bind'овых червяков. Ибо блокирование внешних запросов к DNS ничуть не мешает руткиту именно _работать через DNS_ (провайдера). Обсуждали подобное несколько лет назад в RU.NETHACK (ну, речь шла о виндовых троянах): первый рефлекс (и у меня тоже) - закрыть 53 порт, поставить внутренний DNS, спать спокойно. Но вот трояну это совершенно не мешает взаимодействовать с трояносервером через честный gethostbyname(). -- Regards, Anton Kovalenko +7(916)345-34-02 | Elektrostal' MO, Russia
