Udv,

> Hat, nem tudom, engem ugy tajekoztattak a nagyok, hogy a rootkit
> eredetileg UNIX alatt toltotte be a "RunAs" szerepet.

a runas Un*x megfeleloje leginkabb a "su - user -c 'command'" parancs.
Ami  Windows alatt elegge hianyzik, az a sudo, vagyis az a lehetoseg,
hogy a rendszergazda altal elore meghatarozott alkalmazasokat ugyancsak
elore meghatarozott parameterezessel egy korlatozott felhasznalo is el
tudja inditani ugy, hogy az alkalmazas rendszergazda jogokkal fusson, es
mindehhez nem kell megadni a rendszergazda jelszot. Peldaul a Flash 5.x
nem rendszergazdakent nem fut (amennyire tudom, ezt maga a futo
programkod ellenorzi, tehat nem file iras/olvasas jogokkal van baj). Ha
nem akarom megmondani a rendszergazda jelszot, ilyenkor marad a runas
/savecred ami egyszeri megadas utan megjegyzi azt, es tobbszor nem keri
el. Csakhogy ezutan a "runas /savecred /user:administrator cmd" szo
nelkul ad egy root console-t, mert az okos Windows alkalmazza az
elmentett rendszergazda jelszot... Security rulez.

A targyra visszaterve, a rootkit olyan - altalaban kernel szintu -
modul, modositas, amely lehetove teszi egyes folyamatok vagy file-ok
elrejteset a tobbiek elol - ilyen volt pl. a Sony masolasvedelmi eszkoze
(ld. pl. http://www.terminal.hu/newsread.php?id=11200311055815), ami
zenei CD-rol(!) telepitett Windows PC-re sajat player-t, es ezt
elrejtette az oprendszer egyeb reszei elol.

Az olyan malware-t, amelyik jogosultsagokat igyekszik megszerezni,
altalaban exploit-nak nevezik, ezen belul a helyi felhasznalokent
rendszergazda jogokat szerezni igyekvo a "local root exploit". Ha a
tavoli tamadonak sikerul programot futtatnia egy gepen - legyen az Linux
webszerver, ahol egy gondatlanul megirt webprogramot (CGI) lehet
ravenni, hogy egy parametert parancssorkent futtasson, vagy egy Windows
munkaallomas, ahol a felhasznalo megkattint egy futtathato email
mellekletet - az altalaban korlatozott felhasznalokent fut. Ilyenkor a
tamado (aki a legritkabb esetben elo ember, altalaban buta scriptek
ellen kuzdunk :-) igyekszik letolteni es lefuttatni egy halom local root
exploit-ot, mert ha valamelyik mukodik, akkor a megszerzett
rendszergazda jogok birtokaban azt csinal a geppel, amit akar (altalaban
hatso kaput nyit es aldasos tevekenyseget rootkit-tel elrejti, majd
ertesiti a gazdit). Ha megtesszuk azt a szivesseget, hogy
rendszergazdakent kattintjuk meg az ominozus mellekletet, akkor ezt a
faradsagos munkat (es lebukasi lehetoseget) megsporoljuk a rosszfiunak.
Az is nagy segitseg lehet, a rendszergazda jelszo ures vagy 1-2
karakteres, mert ezt a helyi felhasznalo neveben futo malware eleg
gyorsan meg tudja talalni.

> Megjelentek mar Windowsra olyan Spyware alkalmazasok is, amelyek
> eroszakos tevekenyseguket kepesek nem rendszergazda jogosultsaggal
> rendelkezo felhasznaloi profil alatt is vegrehajtani.

Munkaallomason (nem szerveren) - legyen az Windows vagy Linux - a
korlatozott felhasznalo neveben is lenyegesen nagyobb kart lehet tenni,
hiszen a felhasznalonak ertekes adatai lophatóak el vagy semmisithetoek
meg, van ertelme a billentyuleuteseit naplozni jelszavakra halaszva,
illetve a spammer szoftver is igen jol elfut nem rendszergazdakent. A
lebukas veszelye azonban sokkal nagyobb, es a malware csak akkor tud
mukodni, ha a felhasznalo be van jelentkezve.

> Tehat, az egesz mondanivalom lenyege: Nem jelent tokeletes
> biztonsagot az, hogy a Windowst nem rendszergazdakent hasznalod.

Talan csak a nem letezo gep van tokeletes biztonsagban :-), de a
korlatozott userkent vegzett munka (ami minden tobb felhasznalos
kornyezetben termeszetes) nyilvan csak egyik eleme a vedelemnek.

Udv: 'Z.

Bocs, de igy még nem jártam. Valamelyik szerver vagy egyéb szürö levágta az
elküldött levelem végét, nagy lészét. (Gondolom kissé csodálkozatok is.)
A visszaigazolást meg láttam, de nem olvastam el. :-(
Most újra próbálkozom az egészet postázni:

Török István irta:
>A dolog legnagyobb tanulsaga, hogy az SP2-t barmikor
>ujra lehet futtatni, a rendszerfajlok kozul lecsereli azokat,
>amelyek megvaltoztak a sajatjaihoz kepest - Ezt ki lehet probalni,
>mert kiirja a fajlok nevet, amiket lecserel - ha minden egyezik,
>akkor ilyesmivel nem foglalkozik.

Ez tényleg igen jó ötlet, bár egy kicsit lassú, mire az SP2 lefut

1000 bocs, de a HIX szürö másodszor is levágta a levelem érdemi részét.
Valami nem látható extra karakter kerülhetett a szó vége és a pont közé.
Illetve a Citromaillel is lehetnek gondok, mert pl. a POP3 letöltés
hol megy hol nem.
Az elözöre küldtem törlés replyt, de gyanús, hogy hatásos lenne.
Mindenesetre visszajelzés még nincs. Volt már olyan, hogy igy nem sikerült
Citromailröl törölnöm.
Most 3x a webes felületre küldöm. Tehát:

Török István irta:
>A dolog legnagyobb tanulsaga, hogy az SP2-t barmikor
>ujra lehet futtatni, a rendszerfajlok kozul lecsereli azokat,
>amelyek megvaltoztak a sajatjaihoz kepest - Ezt ki lehet probalni,
>mert kiirja a fajlok nevet, amiket lecserel - ha minden egyezik,
>akkor ilyesmivel nem foglalkozik.

Ez tényleg igen jó ötlet, bár egy kicsit lassú, mire az SP2 lefut.
Annyit jegyeznék meg, hogy az ilyen spyware-virus dolgokon sokat javit, ha
el sem tudnak indulni. Márpedig automatikusan el kell nekik indulni a boot
során. Ezen segit a csökkentett mód - bár mintha lenne olyan progi, ami igy
meg nem fut. Illetve az Msconfiggal ez-azt ki lehet ugyan kapcsolni, de
messze nem az összes automatikusan elinduló cucc jelenik meg.
Helyette van egy jó progi, az Autoruns 8.43. Az a Mark Russinovich jegyzi,
aki az emlékezetes Sony rootkit sztorit is kiboritotta.
http://www.sysinternals.com/Utilities/Autoruns.html
A DOS-os NOD32 is hasznos lehet, esetleg DOS-os F-Prot. De érdemes mellette
USB drive-on tartani az Ad-Aware és a Spybot frissitett verzióit.
Egyszerüen át kell másolni a mappáikat, és direktben futtathatók Win alól.

>Az utana kovetkezo hotfixek ugyan pruszkolnek, hogy ok bizony mar telepitve
>vannak - /Q kapcsoloval viszont tudomasul veszik, hogy kuss legyen.

Én nem a /Q kapcsolót használom, hanem a /passive-et, igy jobban lehet
követni, hogy hol tart, és az esetleges hibaüzenet is megjelenik.
Pontosabban /passive /nobackup /norestart, amivel futtatni szoktam batch
fájlból az összes, vagy csak a havi hotfixeket.
Nekem nemigen szoktak prüszkölni. Általában a régebbi hotfix nem ir felül
egy esetleges frissebbet, de egy SP újrarakás után az összes újabb hotfixet
is újra fel kell rakni.

WynX

(webes bekuldes, a bekuldo gepe: chip.antsz.hu)

Kozel  egy  evtizede  nyuzunk  egy  HP4 Pluszt. Kb 10 ember nyomtat ra
egesz nap. Ezen felbatorodva jutottam el a www.farbax.hu -ra.
Mar  vettem  naluk  nem  egy  hasznalt  HP4  Pluszt  a cegemnek. Oreg,
strapabiro  monstrumok.  Volt  olyan,  amivel  addig csak 12000 oldalt
nyomtattak.  Mellesleg  tonerre, festekkazettara, festegszalagra is az
egyik legnyerobb hely.
--
Meszaros Geza

>Ehhez az alaplaphoz Intel S478 proci dukal, es itt jon a kepzavar.
>Az Intel honlapjan joszerivel csak a most kaphato procikrol vannak
>infok, vannak tablazatok, marketinges kiadvanyok, de atfogo 
>tablazatot
>nem sikerult talalnom.

A Prescott magos P4-ek a jobban fűtős széria..:( Nekem volt belőle 
3Ghz/1MB cache/800Mhz/HT-s széria...és mondhatom mezei dobozos 
gyári hűtővel 75-80Cfok körül volt a proci...:(

Létezik NorthWood ( 400 és533Mhz-es széria) is ami HT-s...és van 
belőle 2.8Ghz-es széria is....Ezek nagyságrendekkel jobbak, mert mert 
nem fűtenek, mint állat és gyorsak is...

Egyébként még lenne is ilyen alaplapom (S478) ami kezeli a HT-t, 
Prescottot, stb.... több mint 1év garis (2év volt rá eredendően) Megvan 
minden gyári tartozék , dobozában újszerű állapotban.Nézz utána 
megfelel-e, mert esetleg el tudnám küldeni utánvéttel,ha érdekel :

Típus: ASUS P4P800S-X( SATA, 7.1hang, LAn, stb....) 9000HUF

Egyébként van összefoglaló ilyen táblázat az Intel honlapján....


>Az Intelnek sikerult annyira megkavarni a proci jeloleseket, hogy lehet,
>hogy jobban jarnek egy AMD platformmal, de azzal meg az a helyezt, 
>hogy
>ha akad AGP-s alaplap, akkor nem lehet procit kapni hozza, vagy 
>forditva...

Ezt a dolgot nem értem...kb. millio AGP-s lap van mind Socket-A, mind 
S754, Mind S939-est platform-ra....ha a 478-as ketagóriában 
gondolkodol Intel platformon, akkor ennek AMD-s megfelelője a Socket-
A-s Barton-os konfig...mondjuk 2600+ -3000+-os kategória...ebben is 
van millió jó lap és proci...( Pl. talán ebből is van használt,de profi és 
hibátlan lapom és procim is...: Asszem ABIT NF7-S ...olyan 11kHUf körül  
és AMD XP 2600+ Barton  18kHUF körül...)

Vagy ASUS A8V Deluxe alaplap + A64 3000+ (winchestermagos) S939-
es legújabb tokozású...( procira 3-4hó gari lapra cca 1év gari)  együtt 
47kHUF

Bocsi, ha megint alkatrészeket is "hirdettem" ...mert ez bántotta pár 
kollégának a szemét ..azóta nem hirdettem és nem is fogok...de hátha 
olcsóbban tudok mint a boltokban...:) 

És még akad 256 DDR400-as RAM is (hibátlan, használt) 3950HUF-ért...:)

U.I.: VAn pár régebbi cuccom is...PII...stb...akár komplett PII-esek is 3-
4kHUF körül...szinte 0-a zajjal HP-s cuccok ..akit érdekel lista ilyesmi 
keressen meg magánban...nem terhelem vele a listát...


Hawk

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
>Felado : 
>Temakor: Re(2): Firewall ( 8 sor )
>Idopont: Thu Mar  2 10:43:13 CET 2006 GURU #4025

>Török István irta:
>>A dolog legnagyobb tanulsaga, hogy az SP2-t barmikor
>>ujra lehet futtatni, a rendszerfajlok kozul lecsereli azokat,
>>amelyek megvaltoztak a sajatjaihoz kepest - Ezt ki lehet probalni,
>>mert kiirja a fajlok nevet, amiket lecserel - ha minden egyezik,
>>akkor ilyesmivel nem foglalkozik.

>Ez tényleg igen jó ötlet, bár egy kicsit lassú, mire az SP2 lefut

Hat erre mit mondjak, legutobb egy 250 GB-s vinyon az adat-visszaallito
program kb. 8 orat futott, 3 ora volt a visszaallitott fajlok atnezegetese,
kb. 40 perc az atmentesuk, es aztan jott meg csak a LowLevelFormat.
Az SP2 telepitese ehhez kepest bakfitty.
--
Török István

Sziasztok!

Nem tudom jo helyen jarok-e, remelem tud valaki segiteni. Az 
automban a cd lejatszo bemondta az unalmast. minen cd-t 99 
szamosnak ismer fel. es pillanatmegalljban hagyja magat. A cd 
felporog. a fejet, tisztito cd-vel megtisztitottam. Mi lehet a baj?
Ha nem nagy a baj, csak egy kanocot kell a helyere rakni az menni fog, 
de ha komolyabb akkor irany egy muszeresz. Otleteket, javaslatokat 
ha lehet maganban a .
Koszi!

Sziasztok!

>> Szerintem beszéld meg ezt az áramszolgáltatóval is.
>> Legjobb tudomásom szerint a vezérelt betáp
>> arra hasznalhato, amire kérték. Azaz még egy dugalj
>> sem legális pluszban rákötve. A klimákat meg a megnott
>> fogyasztásból rögtön kiszúrják.

>elvileg annyi mexoritas van, hogy fix keszulek lehet rajta, most

Az aramszolgaltato reklamozta pl. hogy a mosogepet is arra lehet kotni. 
Nekem erre hivatkozva napok alatt nagyobbra csereltek a kisautomatat (nem 
ingyen!).

Sehol nem hallottam arrol, hogy ez a szolgaltatas barki altal dotalt lenne. 
Akkor jogosan tiltakozna pl. az allam, hogy nem arra adja a penzt. Szerintem 
ez a megoldas az aramszolgaltato erdeke is, mert egyenletesebbe teszi a 
halozat terheleset, es ebbol a szempontbol mindegy, mi a fogyaszto. Meg 
kellene kerdezni oket ...

pi

Sziasztok!

Koszonom a javaslatokat!

>Outlooknal:
>Angol szoveg kovetkezik:
>Tools-> Rules & Alerts->New Rules
>Start creating a rule from template->Delete a conversation
>->Next-> with specific words in the message header
>(kipipalni) Search Text-be beirni:
> X-Spam-Status: Yes -> Next

Akkor eppen ez a message header lehetoseg hianyzik OE-nel.
Az Outlook csak az Office csomagban all rendelkezesre?

pi

Eladó 850 MB ATA Seagate winchester.
Nincs bad sector.
Postán utánvéttel is.
500 HUF

Eladó 256 MB DDR 400 Mhz Samsung RAM.
Postán utánvéttel is.
4000 HUF

Eladó Mustek ScanMagic 1200 CP flatbed A/4 síkágyas scanner.
Főbb jellemzők: 600x1200 dpi felbontás (optikai), 48bit színmélység, one pass s
canning method.
Driver van WinXP-hez is.
Termékinfó: http://www.mustek.com.tw/html/prod_scan/1200cp.html
Postán utánvéttel is.
5000 HUF