Печенюшка

Меня всегда заботил вопрос – как запустить консоль управления компьютером от локальной учётки того самого компьютера. Для захват доменных прав, например.

Задача проста: у нас есть пароль локального администратора машины, но нет прав доменных. А нам они ну очень нужны!

И совершенно случайно оказалось, что «Управление компьютером» из AD технически та же операция, что и вход в «шару» удалённой машины.

Выяснилось, что всего лишь нужно выполнить:

net use \\compname\c$ password /USER:COMPNAME\Administrator

И если Вы правильно указали учётные данные, то права в консоли «Управление компьютером» появятся. Смело жмите правой кнопкой по «Моему компьютеру», «Подключиться к другому компьютеру» и так далее.

Причина: эти операции используют единый механизм аутентификации.

Пользуйтесь на здоровье!

Сегодня попался очередной малварь, который просит отправить СМС, для того чтобы удалить ПорноТВ канал. Канал и вправду веселый, настолько, что блокирует Диспетчер Задач, но видимо не знает, что существует Process Explorer из пакета Sysinternals. Все остальное вполне типично – файл прописывается в автозагрузку в реестре, обзывает себя MediaCodec.exe, переименовывает regedit.exe в reg.exe и запускает дочерним процессом, судя по всему для поддержки записи в разделе автозагрузки и маячит при запуске на рабочем столе.

Удаляется так же просто: снимаем процесс, удаляем файл, удаляем запуск из автозагрузки в реестре. Читать далее…

Сегодня встретил очередного вымогателя денежных средств через СМС. Он стартует при запуске операционной системы и вылазит на четверть экрана при запуске браузера Opera или Internet Explorer. Баннер предлагает отправить СМС с текстом 5862710 на номер 9800. За неимением достаточного количества времени не смог понять, как технически происходит запуск. Понятно было лишь одно, что при снятии задачи с explorer.exe и последующим запуском – баннер исчезал, но при перезагрузке операционной системы снова появлялся.

Тут cforum.ru удалось найти самое быстрое решение для снятия баннера: сначала вводим код 4479927959, затем появляется второй баннер с уведомлением, что Вам +18 лет, вводим код 8694287294.

Если кто-то изучил способ загрузки и место жительства этого зверя, пишите в камменты

В прошлый раз я уже описывал лечение малваря, вируса, трояна, кому как угодно, который вымогает деньги – просит отправить СМС, чтобы компьютер разблокировался. Об этом можно почитать тут. На этот раз, мне попался очередной, похожий малварь. Каким-то образом он заседает в каталог профиля юзера: C:\Users\имя_юзера\Local Settings\Temp\ в виде файлов dasA23.bin, dasA23.rtk, dasA23.tmp. Причем dasA23.tmp – основной, на самом деле – это exe’шник. Хэш MD5 для этих файлов:

6c957d5b884f838cc1c0807efc01192e *dasA23.bin
6c0d28f127149a8840ee960e1c6e7cb9 *dasA23.rtk
053c58b588e5a8beab327ad7bd9d5ba1 *dasA23.tmp

Читать далее…

Задача была простая: установить USB токен, который представлен на картинке под Ubuntu 9.04 или 9.10. Токен нужен для работы с интернет-банком компании Бифит.

В официальной документации написано:

USB-токены «iBank 2 Key» исполнения «М» предназначены для работы на следующих платформах: Windows XP Professional/XP/Home/2000 Server/Server 2003/2000 Professional/Vista с использованием Java 6. Для ОС Mac OS X версии 10.4.8 или старше используется Java 5.

Будем пробовать установит его под Ubuntu. Читать далее…

По умолчанию NGX R70.1 поставляется с очень ограниченным максимальным числом активных соединений (в моем случае было 25 000). Это очень немного для больших компаний или для компаний хостеров.

Чтобы увеличить этот лимит, необходимо открыть SmartDashboard и выполнить двойное нажатие мыши на объект Check Point. Перехожу в раздел Capacity Optimization. Здесь можно настроить максимальное количество одновременных подключений – Maximum concurrent connections.

Для того чтобы изменить порт по умолчанию для SSH с 22 на любой другой, необходимо отредактировать файл /etc/ssh/sshd_config.

[Expert@cpmodule]# vi /etc/ssh/sshd_config

Раскомментирую строку: #Port 22

Устанавливаю необходимый порт, который будет прослушиваться. Сохраняю файл.

Для того, чтобы изменения вступили в силу, необходимо перезапустить SSH демон. Перед перезагрузкой, необходимо убедиться, что текущая политика и правила на Check Point позволяют подключиться используя новый порт.

Перезагружаем SSHD:

[Expert@cpmodule]# /etc/rc.d/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
[Expert@cpmodule]#

В SecurePlatform существует два уровня проверки подлинности:

1. Пароль Администратора

2. Пароль для входа в эксперт режим (команда expert)

Для того, чтобы изменить пароль Администратора, необходимо в командной строке выполнить: \passwd admin

Для того, чтобы изменить пароль для входа в эксперт режим, необходимо выполнить команду: passwd

Сегодня я расскажу об установке лицензии на Check Point R70.1.

Лицензия выдается на IP-адрес, причем если раньше компания выдавала лицензии только на белые адреса, то сейчас можно спокойно получить на серый адрес. Лицензия представляет собой файл CPLicenseFile.lic. Файл имеет примерно следующее содержимое:

Sign {
LICENSE IP_Address never Signature_Key-NGX Features
}= Certificate_Key Index=0 Version=0

При установке лицензии на Check Point, необходимо, чтобы существовал интерфейс с таким IP адресом и был в состоянии Connected. Поэтому, часто получают лицензию на неиспользуемый IP-адрес, затем создают в системе loopback интерфейс, назначают ему адрес из лицензии и работают. Итак приступим… Читать далее…

В прошлом посте я рассказывал про установку Check Point R70 и обновление его до R70.1. Сегодня я расскажу об установке хотфикса fw1_HOTFIX_FGC_HF_HA10_125_splat.tgz для R70.1. Данный хотфикс предназначен для устойчивости от Sockstress TCP DoS атаки. Более подробно можно прочитать на сайте supportcenter.checkpoint.com в SecureKnowledge (sk42723). Сам хотфикс для SecurePlatform скачивается по ссылке supportcenter.checkpoint.com. Итак, приступаю к установке… Читать далее…