OK => đến đây ta lại quay lại bài NetBIOS hacking và cách phòng chống. Hầu hết các User đều cho rằng khi Disable netBIOS over TCP/IP ( Bấm vào My Network Places chọn Local Area Connetion, chọn TCP/ IP sau đó bấm vào propperties chọn Advandce, chọn WINS và bấm vào Disable NetBIOS over TCP/IP) là đã chặn đựơc cách thâm nhập vào máy qua NetBIOS. Thực ra việc thiết lập này chỉ chặn trên cổng 139. Khác với NT4, Windows2000 còn chạy một SMB lắng nghe trên cổng 445. Cổng này vẫn còn Active cho dù NetBIOS over TCP / IP đã đựoc Disable Phần Windows SMB cho Cllient từ sau version NT4 SP 6a sẽ tự động chuyển lên cổng 445 nế u như cố gắng kết nối trên cổng 139 => Ta có thể thiết lập một kết nối gọi là " null sesion" tới máy của victim net use \\192,168.203.33\IPC$ "" /u:"" <= thiết lập một kết nối với anonymous user (/u) và pass rỗng (""). Nếu thành công ta cũng có thể sử dụng Net view để xem các tài nguyên được chia sẻ trên máy victim => Để chống lại ta có thể can thiệp vào Registry : HKLM\system\CurrentControlSet\Control\LSA\RestrictAnonymous Bấm đúp vào key RestrictAnonymous ở panel bên phải và nhập vào trong khung Value 2 RestrictAnonymous có 3 giá trị: 0 Đây là gía tr ị mặc định của nó khi cài Winddows 1 Không cho phép tìm hiểu các thông tin của SAM 2 Không cho phép truy nhập Ở đây bạn phải lưu ý rằng nêu bạn để RestrictAnonymous với giá trị là 1 thì vẫn có thể dung một số Tool như user2sid/sid2user hay UserInfor hoặc UserDump để lấy được thông tin về user và truy nhập vào máy bạn được. Tác giả: PhuongDong Giải pháp theo dõi cấu hình hệ thống - Tripwire Một hệ thống mạng tích hợp lớn và phức tạp về c ấu trúc cũng như có số lượng lớn về thiết bị và phần mềm, việc quản trị và bảo quản an tòan các cấu hình đã thiết lập cho Router, Firewall, Switch cũng như Config file, registry trong các hệ thống máy chủ Unix, Windows sẽ rất khó khăn. Các tình trạng thường gặp như mất cấu hình do hư hỏng phần cứng, sai lầm của người quản trị. Các kiểu tấn công hoặc xâm nhập hệ thống thành công của Hacker, Virus… nhằm triệt để giải quyết tình trạng trên Tripwire đã đưa ra công nghệ quản lý và đảm bảo an tòan hệ thống file và cấu hình hệ thống bằng các sản phẩm Tripwire server cho các hệ thống máy chủ với các OS khác nhau. Tripwire server cho các thiết bị mạng. Tripwire là chương trình được Eugene Spafford và Gene Kim viết vào năm 1992. Tripwire là một minh hoạ cho phương pháp dùng chương trình tự động trên hệ thống chủ để phát hiện sự xâm nhập: khi được cài đặt trên hệ thống chủ nó sẽ kiểm tra những thay đổi trên hệ thống, bảo đảm những tập tin quan trọng không bị sửa đổi. Chương trình này ghi lại những thuộc tính của tập tin hệ thống quan trọng, sau đó nó sẽ định kỳ so sánh trạng thái hiện hành của những tập tin này với các thuộc tính được lưu trữ và báo cáo về bất kỳ thay đổi đáng ng ờ nào. Một cách khác của hướng kiểm tra hệ thống chủ là kiểm soát toàn bộ gói tin khi chúng vào và ra khỏi hệ thống chủ. Hệ thống kiểm tra xâm nhập theo hướng mạng sẽ kiểm soát tất cả gói tin trên từng phân mạng, đánh dấu những gói tin bị nghi ngờ. IDS mạng sẽ tìm kiếm những dấu hiệu đáng ngờ - chỉ thị cho biết những gói tin có biểu hiện xâm nhập. Những dấu hi ệu này có thể tìm thấy trong nội dung thực của gói tin bằng cách so sánh từng bit với kiểu mẫu đã biết về dạng tấn công. Ví dụ, hệ thống có thể tìm kiếm những kiểu mẫu trùng với kiểu tấn công bằng cách sửa đổi các tập tin hệ thống. Tripwire server cho các hệ thống máy chủ: Các chức năng chính : - Kiểm tra các sự thay đổi của hệ thống - Phân tích và thống kê trên Logfile - Dễ dàng thiết lập các Policy cho hệ thống quản lý với hệ thống file cấu hình - Được thiết kế phục vụ cung cấp nhiều dạng báo cáo và các tính năng báo động khác nhau như email, syslog, SNMP traps, XML , HTML hoặc gửi trực tiếp đến Tripwire Manager console. - Tích hợp sẳn Cơ chế dòng lệnh ICE - Quản trị dễ dàng từ trung tâm bằng Tripwire Manager, IBM Tivoli, HP OpenView và Micromuse Netcool Mô hình hoạt độ ng: Tripwire server cho các thiết bị mạng: Tripwire® cho Network Devices là sản phẩm phục vụ bảo quản và sao lưu cho các hệ thống thiết bị mạng như Router, Switch, Firewall. Quản trị cấu hình thiết bị với các chức năng sau: - Hổ trợ kết nối đến hệ thống bằng SSH/SCP - User Lockout/Timeout: cho phép thiết lập thời gian kết thúc kết nối đến các ứng dụng hoặc các chương trình quản trị, cấu hình một cách tự động. - Phục hồi hệ thống cấu hình một cách nhanh chóng - Quản trị hệ thống bằng web, SNMP - Kết hợp dễ dàng v ới các hệ thống quản trị trung tâm như Netforensics, EMS, Tripwire manager…. Sơ đồ họat động hệ thống: (Nguồn: athena.com.vn) Windows Hacking Rundll32 Shortcuts "rundll32 shell32,Control_RunDLL" - Run Control Panel "rundll32 shell32,OpenAs_RunDLL" - Mở cửa sổ 'Open With ' "rundll32 shell32,ShellAboutA Info-Box" - Mở 'About Window Window' "rundll32 shell32,Control_RunDLL desk.cpl" - Open Display Properties "rundll32 user,cascadechildwindows" - Xếp tầng tất cả cửa sổ "rundll32 user,tilechildwindows" - Minimize All Child-Windows "rundll32 user,repaintscreen" - Refresh Desktop "rundll32 shell,shellexecute Explorer" - Re-Start Windows Explorer "rundll32 keyboard,disable" - Lock The Keyboard "rundll32 mouse,disable" - Disable Mouse "rundll32 user,swapmousebutton" - Swap Mouse Buttons "rundll32 user,setcursorpos" - Set vị trí con trỏ sang (0,0) "rundll32 user,wnetconnectdialog" - Hiển thị cửa sổ 'Map Network Drive' "rundll32 user,wnetdisconnectdialog" - Hiển thị cửa s ổ 'Disconnect Network Disk' "rundll32 user,disableoemlayer" - Hiển thị cửa sổ BSOD chú ý '''(BSOD) = Blue Screen Of Death ''' "rundll32 diskcopy,DiskCopyRunDll" - Hiển thị cửa sổ Copy Disk "rundll32 rnaui.dll,RnaWizard" - Run 'Internet Connection Wizard', Nếu run với "/1" - silent mode "rundll32 shell32,SHFormatDrive" - Run cửa sổ 'Format Disk (A)' "rundll32 shell32,SHExitWindowsEx -1" - Restart Windows Explorer "rundll32 shell32,SHExitWindowsEx 1" - Shut Down Computer "rundll32 shell32,SHExitWindowsEx 0" - Logoff Current User "rundll32 shell32,SHExitWindowsEx 2" Reboot nhanh Windows9x "rundll32 krnl386.exe,exitkernel" - Bắt Windows 9x Exit "rundll rnaui.dll,RnaDial "MyConnect" - Run 'Net Connection' Dialog "rundll32 msprint2.dll,RUNDLL_PrintTestPage" - Choose & Print Test Page của Printer hiện thời "rundll32 user,setcaretblinktime" - Set tốc độ của con trỏ "rundll32 user, setdoubleclicktime" - Set tốc độ DblClick "rundll32 sysdm.cpl,InstallDevice_Rundll" - Search For non PnP Devices Windows 2k DNS & WINS & FTP config Tác giả: thangdiablo DNS Còn về việc DNS tác dụng ra sao?Nó hoạt động thế nào v.v thì trong HVA đã có hàng tá rùi.Tôi không đề cập nữa. Sau đây là cách config basic DNS trong windowns2k. Khi các bạn cài Windowns2k nếu ngay từ đầu nếu bạn không install DNS DHCP WINS v.v thì mặc định trong Administrative Tools sẽ không có những soft này. Vì vậy để Install DNS các bạn làm như sau: Vào Cpanel >Add&RemoveProgram >Windowns Compoment >Networking >Detail >DNS. Sau đó nhắp NEXT để install. Trong khi install thì sẽ có 1 bảng thông báo yêu cầu file DNS.Cái này nằm trong forlder I 386 có sẵn trong CD của OS2k.Bạn hãy copy cái folder này vào máy mà dùng cho những lần Install sau. Sau khi đã Install xong DNS thì chúng ta chuẩn bị bước vào config nó để nó run thật ngon. Lúc này khi vào Administrative Tools bạn sẽ thấy thêm 1 soft là soft DNS.Bây giờ hãy click vào nó đi nào. Của sổ giao diện DNS xuất hiện bạn sẽ nhìn thấy Root DNS name.Phía bên dưới là -Forward Lookup Zone -Reverse Lookup Zone Bây giờ ta làm việc với từng Zone một. Với Forward Lookup Zone trước tiên bạn hãy tạo zone mới bằ ng cách : Right click vào Forward Lookup Zone chọn New Zone >Next >Primary(nếu đây là DNS chính),Secondary(DNS phụ) Tại sao lại có việc chính và phụ ở đây?Đơn giản vì phòng khi cái DNS Pri die thì cái DNS secon lãnh trách nhiệm cao cả ngay Sau đó tiếp tục nhấp Next >Zone Name (vd : thangdiablo.com) >Zone file >Next Tôi nói thêm 1 chút về Forward Lookup Zone là nó có nhiệm vụ dịch từ Domain ra IP. Đến lượt Rverse Lookup Zone (RLZ) bạn cũng phải tãi Zone mới bằng cách giống như trên Riglt click RVZ chọn Newzone >Next >Primary Lúc này có cái khác là nó sẽ xuất hiện 1 bảng thông báo bắt bạn điền NET ID: vd 172.24. Trong trường hợp này Ip của tớ bắt đầu là 127 nên có nghĩa là lớp B.Vì vậy NET ID ta chỉ điền địa chỉ mạng là 172.24 thôi.Còn phía sau là địa chỉ máy thì khỏi điền. Còn nếu Ip của các bạn là lớp C thì các bạn hãy điền vào đó X.X.X Nhắp Next bạn sẽ thấy của sổ Zone File tiếp tục nhắp Next bạn sẽ thấy 172.24.in- addr.arpa.dns (theo vd bên trên của tớ) Bây giờ bạn hạy tạo thêm 1 poiter trong RLZ bằng cách Rightclick vào khoảng trống chọn New poiter và đi ền nốt địa chỉ máy mà lúc nãy các bạn chưa ghi vào đó. Quay lại với Forward Lookup Zone bạn tạo thêm cho mình 1 record là Newhost.Nhớ điền Ip của máy làm DNS server vào đó. Khi bạn tạo Record Newhost thì bạn nhìn phía bên dưới sẽ thấy chữ Creat Associated Poiter Record (PTR)Check vào ô này thì nó sẽ tự động update poiter cho RLZ Bây giờ bạn chuyển qua RLZ tạo 1 record Newpoiter bằng cách Rclick vào khoảng trống chọn Newpoiter.Lúc này bạn điền địa chỉ máy của bạn vào. Theo vd của tớ bên trên thì tớ sẽ điền .1.1 RLZ có tác dụng dịch ngược IP ra Domain. Về cơ bản vậy là bạn đã hoàn thành xuất sác rùi đó Bây giờ là phần kiểm tra mình đã nói mấy lần trong bài Webserver và cả bài gì nữa thì mình không nhớ.Nếu các bạn không biết test thì post lên mình sẽ giúp.  . OK => đến đây ta lại quay lại bài NetBIOS hacking và cách phòng chống. Hầu hết các User đều cho rằng khi Disable netBIOS over TCP/IP ( Bấm. Netforensics, EMS, Tripwire manager…. Sơ đồ họat động hệ thống: (Nguồn: athena.com.vn) Windows Hacking Rundll32 Shortcuts "rundll32 shell32,Control_RunDLL" - Run Control Panel