Вбудовані логіни SQL Server 2005, BUILTIN\Адміністратори, , NT AUTHORITY\SYSTEM, sa
Відразу ж після установки SQL Server 2005 у контейнері Loginsз'являється набір логінів, що створюються автоматично. Швидше за все, для підключення користувачів ви не використовуватимете їх. Тим не менш, виникають ситуації, в яких знання вбудованих логінів може стати в нагоді (наприклад, якщо буде ненароком заблокований ваш адміністративний логін).
q BUILTIN\Адміністратори (або BUILTIN\Administrators, залежно від мови операційної системи) - логіну цієї групи Windows автоматично надаються права системного адміністратора SQL Server . Зверніть увагу, що, якщо комп'ютер входить до домену, до цієї групи автоматично потрапляє група DomainAdmins(Адміністратори домену), і, таким чином, адміністратори домену за замовчуванням мають повні права на SQL Server . Якщо така ситуація небажана, цей логін можна видалити. Але і в цьому випадку адміністраторам домену отримати доступ до даних SQL Server буде неважко.
q Ім'я_сервера 2005MSFTEUser$ Ім'я_сервера$Ім'я_примірника , Ім'я_сервера 2005MSSQLUser$ Ім'я_сервера$Ім'я_примірника ,Ім'я_сервера 2005SQLAgentUser$ Ім'я_сервера$Ім'я_примірника - ці три логіни для груп Windowsвикористовуються для підключення відповідних служб до SQL Server 2005. На рівні SQL Server 2005 з ними немає необхідності виконувати якісь операції, оскільки всі необхідні права вже надані. У рідкісних ситуаціях вам може знадобитися додати до цих груп на рівні Windows облікові записи, від імені яких працюють служби SQL Server .
q NT AUTHORITY\NETWORK SERVICE - від імені цієї облікового записуу Windows Server 2003 працюють програми ASP .NET, у тому числі й служби Reporting Services (у Windows 2000 для цієї мети використовується обліковий запис ASPNET). Цей логін Windows використовується для підключення до SQL Server Reporting Services. Йому автоматично надаються необхідні права на бази даних master, msdbта на бази даних, що використовуються Reporting Services .
q NT AUTHORITY\SYSTEM - це локальний системний обліковий запис операційної системи. Такий логін з'являється в тих ситуаціях, коли ви налаштували роботу служби SQL Server від імені локального системного облікового запису. Можна сказати, що за допомогою цього логіну SQL Server звертається до себе. Звичайно ж, цей логін має права системного адміністратора SQL Server .
q sa (від SystemAdministrator)- це єдиний логін типу SQL Server, який створюється за замовчуванням. Він має права системного адміністратора SQL Server , і відібрати ці права у нього не можна. Видалити цей логін також не вдасться. Проте його можна перейменувати або вимкнути. Якщо для SQL Server 2005 буде настроєно аутентифікацію тільки засобами Windows, використовувати цей логін для підключення до сервера не вдасться.
УВАГА!!! УВАГА!!! УВАГА!!!
НЕБЕЗПЕЧНИЙ ЧЕРВЬ!Симптоми:При роботі в мережі раптово вискакує мессадж, який повідомляє про те, що необхідно завершити всі програми із збереженням даних, т.к. через 60 с. відбудеться перезавантаження.
Діагноз:Мереживий хробак w32.Blaster.worm.Червь експлуатує знайдену 16 липня вразливість у сервісі RPC DCOM, що є у всіх операційні системисімейств Windows 2000, Windows XP і Windows 2003. Ця вразливість - переповнення буфера, яке викликається відповідним чином складеним TCP/IP пакетом, що прийшов на порт 135, 139 або 445 комп'ютера, що атакується. Вона дозволяє як мінімум провести DoS-атаку (DoS означає "Denial of Service", або "відмова в обслуговуванні", в даному випадку - комп'ютер, що атакується, перезавантажується), а як максимум - виконати в пам'яті атакованого комп'ютера будь-який код. Новий черв'як при своєму поширенні проводить атаку на 135-й порт, і, у разі успіху, запускає програму TFTP.exe, за допомогою якої завантажує на свій комп'ютер свій виконуваний файл. При цьому користувачеві видається повідомлення про зупинення сервісу RPC та подальше перезавантаження. Після перезавантаження черв'як автоматично запускається і починає сканувати доступні з комп'ютера мережі на предмет комп'ютерів з відкритим 135 портом. При виявленні таких черв'як проводить атаку, і це повторюється спочатку. Причому, судячи з темпів розповсюдження на Наразі, Незабаром черв'як вийде на перше місце в списках антивірусних компаній.
Ліки:Існують три способи захисту від хробака. По-перше, у бюлетені Microsoft наведено посилання на патчі для всіх вразливих версій Windows, що закривають пролом в RPC (ці патчі були випущені ще 16 липня, тому тим, хто регулярно оновлює систему, не варто турбуватися). По-друге, якщо 135-й порт закритий файрволлом - хробак не зможе проникнути на комп'ютер. По-третє, як крайній мірі допомагає відключення DCOM (детально ця процедура описана в бюлетені від Microsoft). Таким чином, якщо ви ще не зазнали атаки хробака - настійно рекомендується якнайшвидше завантажити патч для вашої ОС з сервера Microsoft (наприклад, скористайтесь службами Windows Update), або налаштувати блокування портів 135, 139 та 445 у файрволлі. Якщо ваш комп'ютер вже заражений (а поява повідомлення про помилці RPCоднозначно означає, що він заражений), то необхідно вимкнути DCOM (інакше кожна наступна атака викликатиме перезавантаження), після чого завантажити та встановити патч. Для знищення черв'яка необхідно видалити з ключа реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запис "windows auto update"="msblast.exe", після чого знайти і стерти файл msblast.exe - це і є тіло черв'яка. Докладніше про процедуру видалення хробака можна прочитати на сайті Symantec.
На даний момент не всі антивіруси виявляють черв'яка - сподіватися на захист з їхнього боку можна буде тільки після виходу оновлень.
Якщо таке повідомлення у вас поки що не з'являлося качайте патчі від Дяді Білла:
Тут лінки на ліки для NT 4.0 і 2000, 2003 Server
Буквально за кілька днів перед здаванням номера до друку Metasploit обзавівся
Новим модулем, про який ми просто не могли не розповісти. Завдяки
нову команду getsystem, на скомпрометованій системі стало можливо перейти
з User Level у ring0, отримавши права NT AUTHORITY\SYSTEM! І це – у будь-яких
версіях вінди.19 січня 2010 стала публічною 0-day вразливість, що дозволяє виконати
підвищення привілеїв у будь-якій версії Windows, починаючи від NT 3.1, випущеної ще
1993 року, і закінчуючи новомодною "сімкою". На exploit-db.com хакер Tavis
Ormandy були опубліковані як вихідники сплоїта KiTrap0d, так і скомпілований
бінарник, готовий до застосування. Опробувати оригінальний сплоїт може будь-який
бажаючий. Для цього потрібно лише витягти з архіву vdmexploit.dll та vdmallowed.exe,
якимось чином передати на машину-жертву, і там запустити exe-шник. В
результаті, незалежно від того, під акаунтом якого користувача виконано
запуск, з'явиться консоль із привілеями системного користувача, тобто NT
AUTHORITY\SYSTEM. Заради перевірки можна запустити сплоіт на своїй машині,
попередньо залогінившись у систему під звичайним користувачем. Після запуску
сплоїта відкриється нове вікно cmd.exe з максимальними привілеями.Що дає? Уяви ситуацію, що сплоїть пробиває деякий додаток і
отримує шелл на віддаленому комп'ютері. Нехай це буде згуртувати для Internet
Explorer - у цьому випадку у зломщика на руках буде доступ до системи з правами
того користувача, під обліком якого було запущено браузер. Не сперечаюся, дуже
часто це буде обліковий запис з правами адміністратора (користувач сам винен), але
якщо ні? Ось тут і можна заюзати KiTrap0d, щоб підняти свої привілеї
до NT AUTHORITY\SYSTEM! Мало того, навіть ті користувачі, які входять до групи
адміністратора, не можуть звертатися до деяких ділянок системи, наприклад,
читання хешей паролів користувачів (про це нижче). А NT системний акаунт -
може! При цьому, на момент публікації статті жодного патчу з боку
Microsoft, що закриває вразливість, не було випущено.Операція "Захоплення системи"
Демонструвати в дії оригінальний сплоїти ми не будемо, тому що 25
січня до Metasploit було додано новий скрипт, завдяки якому використати
KiTrap0d стало ще зручніше. Спочатку потрапив у бази модулів варіант був
нестабільний і спрацьовував не завжди, але не минуло й півдня, як усі помилки були
усунуті. Зараз модуль закачується разом з усіма іншими оновленнями,
так що для встановлення достатньо вибрати пункт у меню "Metasploit update".
Тепер, маючи доступ до віддаленої системи, можна набрати "run kitrap0d" та привести
сплоїть у дію. "Але раз пішла така п'янка, реалізуємо ми для цієї справи
спеціальну команду", - подумали розробники Metasploit. В результаті
вийшла чудова така команда "підвищити привілеї", доступна через
розширення meterpreter - нам вона дуже подобається:).Отже, ми маємо доступ до віддаленої системи (наочний приклад
експлуатування наведено у статті "Операція "Аврора") і ми знаходимося в консолі
метасплоїту. Подивимося, як у нас справи з правами:meterpreter > getuid
Ага, звичайний користувач. Можливо, він навіть входить до групи
адміністраторів, але нам це не має значення. Підключаємо модуль, у якому реалізована
цікава для нас команда getsystem, і перевіримо, чи занурилася вона, відобразивши на
екрані довідку:meterpreter > use priv
Loading extension priv...success.
meterpreter > getsystem -h
Usage: getsystem
Примітка, щоб досягти власної привілеї, що з місцевої системи.
OPTIONS:H Help Banner.
-t Технологія використання. (Default to "0").
0: All techniques available
1: Service - Named Pipe Impersonation (In Memory/Admin)
2: Service - Named Pipe Impersonation (Dropper/Admin)
3: Service - Token Duplication (In Memory/Admin)
4: Exploit - KiTrap0D (In Memory/User)Як видно, сплоїти KiTrap0D реалізує лише частину функціональності команди.
Якщо тобі вдалося відхопити шелл із користувачем, який вже має права
адміністратора, то для підняття рівня NT AUTHORITY\SYSTEM можна використовувати
три інші техніки (вибрати потрібну дозволяє ключ -t). Так чи інакше, не вказавши
взагалі жодних параметрів, ми вкажемо метасплоїту, що той може використати
будь-який із підходів. У тому числі і KiTrap0D, що підвищить наші привілеї до рівня
"Система", хоч би якими правами ми зараз мали.meterpreter > getsystem
...got system (via technique 4).Ага, отримали повідомлення про успішне підвищення привілеїв, причому для атаки
використовувався саме KiTrap0D – мабуть, у нього пріоритет. Чи ми дійсно
піднялися у системі? Перевіримо наш поточний UID (ідентифікатор користувача):meterpreter > getuid
Є! Усього одна команда в консолі метасплоїта та права NT AUTHORITY\SYSTEM у
нас у кишені. Далі взагалі кажучи, можна все. При цьому нагадаю, жодного
патчу від Microsoft на момент виходу журналу ще не було.Дампім паролі
Якщо вже на руках є доступ до системного облікового запису, то треба витягти з цього
щось корисне. В арсеналі Metasploit є чудова команда hashdump.
більш просунута версія відомої утиліти pwdump. Більше того, в останній
версії метасплоїту включений перероблений варіант скрипта, який використовує
модернізований принцип вилучення LANMAN/NTLM хешей і доки не детектується
антивірусами. Але сенс не в цьому. Важливо, що для виконання команди hashdump
необхідні права NT AUTHORITY\SYSTEM. Інакше програма видасть помилку
"[-] priv_passwd_get_sam_hashes: Operation failed: 87". Відбувається це тому,
що LANMAN/NTLM-хеші паролів користувачів зберігає у спеціальних гілках реєстру
HKEY_LOCAL_MACHINE\SAM та HKEY_LOCAL_MACHINE\SECURITY, які недоступні навіть
адміністраторам. Їх можна прочитати лише з привілеями системного облікового запису.
Взагалі кажучи, використовувати сплоїт і потім команду hashdump для того, щоб
локально витягти з реєстру хешу, не обов'язково. Але якщо така
можливість є, чому б і ні?meterpreter > getuid
Server username: NT AUTHORITY\SYSTEMmeterpreter > run hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY 3ed7[...]
[*] Завантажити user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Guest:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...Хеші отримані. Залишається згодувати їх якомусь із брутфорсерів, наприклад,
l0phtcrack.Як повернути привілеї?
Смішна ситуація сталася, коли я спробував повернути права звичайного
користувача назад. Знайдена команда rev2self не спрацьовувала, і я як і раніше
залишався "NT AUTHORITY\SYSTEM": мабуть, вона призначена для роботи з трьома
іншими підходами, реалізованими в getsystem. Виявилося, щоб повернути
привілеї, необхідно "вкрасти" токен процесу, запущеного тим користувачем,
який нам потрібний. Тому відображаємо всі процеси командою ps та вибираємо з них
підходящий:meterpreter > ps
Process list
============
PID Name Arch User Path
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...Як ми бачимо, explorer.exe запущений якраз під звичайним користувачам
акаунтом і має PID=1560. Тепер, власне, можна і "украсти токен", заюзавши
команду steal_token. Як єдиний параметр їй передається PID
необхідного процесу:meterpreter > steal_token 1558
Stolen token with username: WINXPSP3\user
meterpreter > getuid
Server username: WINXPSP3\userСудячи з поля "Server username", операція виконалася успішно.
Як це працює?
Насамкінець варто розповісти про природу вразливості, що призвела до появи
сплоїти. Пролом у захисті виникає з вини помилки в обробнику системного
переривання #GP (який називається nt!KiTrap). Через неї з привілеями ядра
може бути виконаний довільний код. Це відбувається тому, що система
неправильно перевіряє деякі виклики BIOS"а, коли на 32-бітній x86-платформі
виконується 16-бітна програма. Для експлуатації вразливості сплоїт створює
16-бітна програма (%windir% \twunk_16.exe), маніпулює з деякими
системними структурами та викликає функцію NtVdmControl(), щоб стартувати
Windows Virtual DOS Machine (aka підсистема NTVDM), що в результаті попередніх
маніпуляцій призводить до виклику обробника системного переривання #GP та
спрацьовування сплоїту. До речі, звідси випливає і єдине обмеження
сплоїта, який спрацьовує лише на 32-бітових системах. У 64-бітних
операційних банально немає емулятора для запуску 16-бітних додатків.Чому інформація з готовим сплоїтом потрапила до публічного доступу? Про наявність
вразливості автор сплоїта інформував Microsoft ще на початку минулого року і
навіть отримав підтвердження, що його звіт було прийнято до розгляду. Тільки віз
і нині там. За рік офіційного патчу від компанії не було, і автор вирішив
опублікувати інформацію публічно, сподіваючись, що справа піде швидше. Подивимося,
чи вийде латка на момент появи журналу у продажу:)?Як убезпечити себе від сплоїту
Оскільки повноцінного оновлення для вирішення вразливості поки що немає,
доведеться скористатися обхідними шляхами. Найнадійніший варіант -
відключити MSDOS і WOWEXEC підсистеми, що відразу позбавить сплоїт
функціональність, т.к. він більше не зможе викликати функцію NtVdmControl()
для запуску NTVDM системи. У старих версіях Windows це реалізується через
реєстр, в якому потрібно знайти гілку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
і додати якийсь символ до її назви. Для сучасних ОС
встановлювати обмеження на запуск 16-бітних програм треба через
групові політики. Для цього викликаємо GPEDIT.MSC, далі переходимо до розділу
"Конфігурація користувача/Адміністративні шаблони/Компоненти Windows/Сумісність
додатків" та активуємо опцію "Заборона доступу до 16-розрядних
додатків".WWW
Опис уразливості від автора сплоїту:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.htmlТимчасове рішення для усунення проблеми від Microsoft:
http://support.microsoft.com/kb/979682WARNING
Інформація представлена в освітніх цілях. Використання її в
протизаконних цілях може призвести до кримінальну відповідальність.NT AUTHORITY/SYSTEM ERROR,
повідомлення XP - як видалити вірусЯкщо у Вас російська версія – то перш ніж качати обов'язково змініть мову.
Трохи про сам вірус:
Учора, приблизно після 23 години по Москві, в багатьох форумах стали з'являтися повідомлення про дивну поведінку Windows 2000 і Windows XP при заході в Мережу: система видала повідомлення про помилку сервісу RPC і необхідність перезавантаження. Після перезавантаження повідомлення повторювалося максимум через кілька хвилин, і не було кінця.Проведене розслідування показало, що провиною всьому епідемія нового мережевого черв'яка, що почалася сьогодні, w32.Blaster.worm. , яке викликається відповідним чином складеним TCP/IP пакетом, що надійшов на порт 135, 139 або 445 атакованого комп'ютера. Вона дозволяє як мінімум провести DoS-атаку (DoS означає "Denial of Service", або "відмова в обслуговуванні", в даному випадку - комп'ютер, що атакується, перезавантажується), а як максимум - виконати в пам'яті атакованого комп'ютера будь-який код.
Перше, що викликало занепокоєння мережевої громадськості ще до появи черв'яка - це наявність дуже простого у використанні експлоїту (програми для використання вразливості), що зазвичай призводить до ситуації, коли будь-хто може взяти цю програму і почати їй користуватися аж ніяк не в мирних цілях. Однак це були квіточки.
Новий черв'як при своєму поширенні проводить атаку на 135-й порт, і, у разі успіху, запускає програму TFTP.exe, за допомогою якої завантажує на атакований комп'ютер свій виконуваний файл. При цьому користувачеві видається повідомлення про зупинення сервісу RPC та подальше перезавантаження. Після перезавантаження черв'як автоматично запускається і починає сканувати доступні з комп'ютера мережі на предмет комп'ютерів з відкритим 135 портом. При виявленні таких черв'як проводить атаку, і це повторюється спочатку. Причому, судячи з темпів поширення зараз, незабаром черв'яка вийде перше місце у списках антивірусних компаній.
Існують три способи захисту від хробака.
По-перше, у бюлетені Microsoft наведено посилання на патчі для всіх вразливих версій Windows, що закривають пролом в RPC (ці патчі були випущені ще 16 липня, тому тим, хто регулярно оновлює систему, не варто турбуватися).
По-друге, якщо 135-й порт закритий файрволлом - хробак не зможе проникнути на комп'ютер.
По-третє, як крайній мірі допомагає відключення DCOM (детально ця процедура описана в бюлетені від Microsoft). Таким чином, якщо ви ще не зазнали атаки черв'яка - настійно рекомендується якнайшвидше завантажити патч для вашої ОС з сервера Microsoft (наприклад, скористайтеся службами Windows Update), або налаштувати блокування портів 135, 139 і 445 у файрволлі.
Якщо ваш комп'ютер вже заражений (а поява повідомлення про помилку RPC однозначно означає, що він заражений), то необхідно вимкнути DCOM (інакше кожна наступна атака буде викликати перезавантаження), після чого завантажити і встановити патч.
Для знищення хробака необхідно видалити з ключа реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run запис "windows auto update"="msblast.exe", після чого знайти та стерти файл msblast.exe - це і є тіло хробака. Докладніше про процедуру видалення хробака можна прочитати на сайті Symantec.На даний момент не всі антивіруси виявляють черв'яка - сподіватися на захист з їхнього боку можна буде тільки після виходу оновлень.
Вміщено AHTOH 17-08-2003 о 23:29:НЕБЕЗПЕЧНИЙ ЧЕРВЬ! Nt Authority / System Error
__________________
Поломки
Приношу добро, наношу користь...
