Коментар редактора. За даними Координаційного центру CERT, деякі сервери NFS з певними реалізаціями Mountd (головним чином, системи Linux) уразливі для віддалених атак. Це, зокрема, стосується систем Caldera та Red Hat Software. Латки можна знайти на серверах виробників - Caldera (ftp://ftp.caldera.com/pub/OpenLinux/updates/1.2/013/) та Red Hat Software (http://www.redhat.com/support/docs/errata . html). Іншу інформацію, в тому числі по конкретних постачальникам, можна знайти за адресою: http://www.cert.org/advisories/CA-98.12.mountd.html. Наступна замітка є коротким викладом змісту CERT Advisory CA-98.12.
╚ Призначення NFS полягає у спільному використанні файлів різними комп'ютерами в мережі відповідно до парадигмою клієнт-сервер. Якщо клієнтського комп'ютера NFS необхідний доступ до файлів на сервері NFS, то він спочатку подає запит на монтування файлової системи. Саме ця процедура виявилася вразливою для атак внаслідок некоректної реалізації програмного забезпечення, обробного запити на монтування NFS (програма Mountd). Зловмисник може викликати переповнення буферу в області коду, відповідального за протоколювання подій NFS.
CERT отримав повідомлення, що вказують, що зловмисники активно використовують зазначену дірку для атаки на системи і проводять великомасштабні сканування в пошуках уразливих систем. У деяких системах уразливий сервер NFS активізується за замовчуванням.
Викликавши переповнення буферу, віддалений зловмисник може використовувати виникло стан для виконання довільного коду з привілеями root.
NFS краще блокувати до тих пір, поки ви не встановите латку. Зокрема, оскільки в деяких системах вразливі версії Mountd встановлюються і активізуються за замовчуванням, CERT рекомендує блокувати Mountd в цих системах, якщо тільки ви не збираєтеся активно використовувати їх в якості серверів NFS.
Удар по спамуКоментар редактора. Що робити, якщо розсильників смітної пошти продовжує бомбардувати вашу організацію своїми посланнями незважаючи на те, що ви встановили новітній фільтр електронної пошти? Здорові поради про заходи протидії можна знайти у статті Дж. Ріварда ╚ Як боротися з смітної електронною поштою (Керівництво для жертв) ╩ за адресою: http://www.mcs.com/ ~ jcr / junkemaildeal.html.
Рівард рекомендує зібрати якомога повнішу інформацію про те, хто насправді є розсильників смітної пошти, а потім завдати удару відплати! Він підкреслює, однак, що у відповідь лайка рідко досягає бажаної мети, в якому б вигляді вона не передавалася - по телефону, факсом, звичайною або електронною поштою. Замість цього Рівард пропонує холодні, зважені дії, спрямовані проти хоста розсильників, хто б він не був.
З огляду на те, що визначити реального розсильників смітної пошти далеко не просто, Рівард описує захоплююче детективне розслідування з виявлення реального відправника повідомлення (див. ╚ Тема смітної електронної пошти ╩). Приклад заголовка і коментар Ріварда взяті з його сервера Web.
Машина, з якою повідомлення було надіслано (тобто відкрила з'єднання SMTP), має адресу 204.116.127.57 і називається newimage.bizimage.com. Важливе зауваження: ім'я хоста (після From) надається входять з'єднанням і не перевіряється поштового машиною SMTP. Його дуже легко підробити; відправники можуть вказати у цьому полі практично все що завгодно, наприклад whitehouse.gov або fbi.gov. Поштова машина SMTP, яка прийняла повідомлення для доставки, також називається newimage.bizimage.com - гм. Принаймні це узгоджується з адресою для відповіді Reply to, адресою відправника From, а також рядками Return Path і Message-ID.
На відміну від імені хоста, IP-адреса (204.116.127.57) вхідного з'єднання перевіряється і генерується сервером SMTP, тому його складніше підробити (якщо тільки вся рядок Received: не було вставлено вручну, щоб збити нас зі сліду - в даному випадку це малоймовірно, так як заголовок має всього три таких рядки). Для визначення реального імені хоста нам доведеться звернутися до DNS. Як виявляється, воно відрізняється від зазначеного - насправді це dhcp-8.conpro.org, а не newimage.bizimage.com. Таким чином, користувач dhcp-8.conpro.org (можливо, з бюджетом в іншого провайдера Internet) відправив це повідомлення під час сеансу SMTP з поштовим хостом newimage.bizimage.com (як випливає з інформації після by:), але стверджує, що він належить до newimage.bizimage.com.
Остання (верхня) рядок Received була додана поштового машиною мого провайдера Internet, mailbox.mcs.com. Вона підтверджує, що повідомлення було отримано від newimage.bizimage.com. Зверніть також увагу, що позначка про час узгоджується з попередніми заголовками Received (припускаючи, що час вказано по східно-американським стандартом).
Коментар (Comments) можна проігнорувати - він був вставлений поштовим програмним забезпеченням розсильників смітної пошти (у нашому випадку Pegasus Mail for Windows), тому твердження про ідентифікацію відправника нічого не значить.
Ви, напевно, вже звернули увагу, що адреса To: співпадає з адресою відправника From:. Вони однакові, тому що розсильників смітної пошти відправив це повідомлення на свою власну адресу, а адреси всіх своїх жертв вказав у рядку Bcc: (приховані копії), щоб постраждалі не знали про те, хто ще крім них отримав таке повідомлення.
На підставі заголовків ми можемо укласти, що пошта прийшла від кого-то, що має бюджет у bizimage.com (newimage@bizimage.com), де він скористався послугами SMTP, а також у conpro.org, де він запустив свою програму розсилки пошти.
Більше того, зважаючи на збігу зворотної адреси та імені відправника повідомлення машини (newimage), а також з урахуванням комерційного звучання імені домену bizimage я сильно підозрюю, що це невелика шарашка, власники якої вважають розсилку рекламної пошти цілком законним заняттям, тому скаржитися адміністратору bizimage.com буде безглуздо. Швидше за все, звертатися зі скаргою доведеться до їх провайдеру доступу.
Коментар редактора. Одним з найбільш корисних інструментів детектива в Web є база даних Whois в InterNIC (http://rs.internic.net/cgi-bin/whois/) і Traceroute, за допомогою яких ви можете встановити імена і IP-адреси вузлів між вашим і цільовим хостом. Traceroute допоможе вам дізнатися провайдера або з'єднання Internet розсильників смітної пошти. Утиліта tracert на базі DOS поставляється з Windows. Крім того, ви можете скористатися однією з наступних утиліт: http://hookomo.aloha.net/hol/docs/trace.html або http://www.net.cmu.edu/bin/traceroute/.
Визначивши, хто є власником домену і хто надає хосту з'єднання з Internet, ви можете відправити скаргу людині або організації з відповідними повноваженнями для прийняття належних заходів. Рівард радить не посилати електронну пошту безпосередньо розсильників. Зрештою, навіщо розкривати своє ім'я та адресу електронної пошти комусь, хто вже довів свою нещепетільность?
Якщо ви відчуваєте необхідність висловити свої почуття безпосередньо розсильників смітної пошти, то краще робити це по телефону, факсом або ╚ черепашачою ╩ (тобто звичайної) поштою. Звичайно, набагато більш ефективний підхід - направити свою скаргу адміністратору пошти провайдера або, ще краще, в ящик провайдера для повідомлень про зловживання. Багато провайдерів Internet мають спеціальну адресу для повідомлень про зловживання, причому зазвичай він має вигляд abuse@host.domain (наприклад, abuse@netcom.com).
При складанні скарги пам'ятаєте, що ви звертаєтеся до людини, яка може ні сном ні духом не відати про розсилку смітної пошти, так що постарайтеся утриматися від міцних виразів. Врешті-решт, ваша мета полягає в тому, щоб зупинити потік смітної пошти, а не накидатися з прокльонами на безневинну жертву. Якщо смітна пошта свідчить про незаконну діяльність або підбурює до неї, наприклад мова йде про піраміду чи проституції (див. Subject заголовка смітної пошти в даному прикладі - ╚ Get Paid to Have Sex! ╩), то вам слід повідомити про це відповідні інстанції.
Тема смітної електронної пошти Return-Path: Received: by mailbox.mcs.com (/==/ Smail3.1.28.1 # 28.15) id; Thu, 26 Sep 1996 1:37 CDTReceived: by newimage.bizimage.com from localhost ( router, SLmail95 V1.2, beta 1); Thu, 26 Sep 1996 2:27:09 Received: by newimage.bizimage.com from newimage.bizimage.com (204.116.127.57:: mail daemon; unverified, SLmail95 V1.2, beta 1); Thu, 26 Sep тисяча дев'ятсот дев'яносто шість 2:27:01 Comments: Authenticated sender is From: newimage@bizimage.comTo: "newimage", "newimage" Date: Thu, 26 Sep 1996 2:02:38 +0000 MIME-Version: 1.0Content-type: text / plain; charset = US-ASCIIContent-transfer-encoding: 7BITSubject: Get Paid To Have Sex! Reply-to: newimage@bizimage.comPriority: normalX-mailer: Pegasus Mail for Windows (v2. 42a) Message-Id: X-UIDL: 91b0bb953b2c7fa13610d8b46eade1f4Status: U