10:50
9/6/2010

Kiedy usuwając historię przeglądania stron WWW myślisz, że zatarłeś za sobą wszystkie ślady… pomyśl jeszcze raz:

ipconfig /flushdns twoim przyjacielem.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

76 komentarzy

Dodaj komentarz
  1. Jeszcze na końcu brakuje synkowego “FFFFUUUU-” :)

  2. http://www.bosacujaw.cn
    —————————————-
    Nazwa rekordu . . . . . . . .: http://www.bosacujaw.cn
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 582307
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 127.0.0.1

    http://www.xxokoriq.cn
    —————————————-
    Nazwa rekordu . . . . . . . .: http://www.xxokoriq.cn
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 582306
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 127.0.0.1

    www-download-antivirus.com
    —————————————-
    Nazwa rekordu . . . . . . . .: www-download-antivirus.com
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 582306
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 127.0.0.1

    spywarebot-t.com
    —————————————-
    Nazwa rekordu . . . . . . . .: spywarebot-t.com
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 582306
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 127.0.0.1

    smart-antivirus2009buy.com
    —————————————-
    Nazwa rekordu . . . . . . . .: smart-antivirus2009buy.com
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 582306
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 127.0.0.1

    http://www.rosaoalice.it
    —————————————-
    Nazwa rekordu . . . . . . . .: http://www.rosaoalice.it
    Typ rekordu . . . . . . . . .: 1
    Czas wygaśnięcia (licznik TTL): 582306
    Długość danych . . . . . . . .: 4
    Sekcja. . . . . . . . : Odpowiedź
    Rekord (hosta). . . . . . . . : 127.0.0.1

    u mnie m.in. wyszło coś takiego, nie wchodziłem na te adresy; mam wirusa?

  3. @gvintoo:
    No i Fsck Yeah! mamy

  4. Ewentualnie korzystać z trybu prywatnego.

  5. U mnie nie działa:
    C:\Documents and Settings\Krzysiek>ipconfig /displaydns
    Konfiguracja IP systemu Windows
    Nie można wyświetlić zawartości pamięci podręcznej programu rozpoznawania nazw D
    NS.

    Może mi ktoś wyjaśnić, czym to jest spowodowane?

  6. Ja regularnie korzystam z trybu InPrivate :) Co prawda w innych celach (pisałem wczoraj na blogu), ale jednak :)

    Ale komiks naprawdę super – ta mama to chyba jakaś zakamuflowana druga Aśka Rutkowska ;) Ciekawe jaki odsetek mam zna ipconfig, a jaki jeszcze z tego zna /displaydns… No dobra – to było pytanie retoryczne.

  7. Gdy człowiek myśli ,że dopiął wszystko na ostatni guzik to zawsze ktoś znajdzie jakieś “ale”, no ale człowiek się uczy całe życie, teraz już wszyscy wiedzą ,że używa się trybu “p0rno” w przeglądarkach.

    Dobrze ,że nie ma “FUU” lub tym podobnych bo komixxy i tak już straciły swój smak.

  8. wszyscy przeglądają komixxy

  9. @Mariusz Kędziora:
    A co daje InPrivate? Przecież rozwiązywanie nazw działa poza przeglądarką, więc i historia zapytań pozostaje.

  10. To nie instaluje się jakiegoś normalnego OS na pendrive przy wspólnym komputerze :)?

  11. @blackrain: tryb prywanty nie ma tu nic do rzeczy (niezaleznie od przeglądarki). To co pokazuje wyjście z ipconfig /displaydns to chache DNS-a, globalny i niezalezny od jakichśtam “ficzerów i bugów” przeglądarek ;)

  12. @Piotr: Nie wiem dlaczego raz mi nie załapało, potem sprawdziłem jeszcze raz i faktycznie. Dałem dupy… (;

  13. @guzik
    DNS jest prostym protokołem – może przeglądarka w trybie “InPrivate” go implementuje?
    Przyznaje, że nie jest to zbyt prawdopodobne, ale istnieje taka możliwość ;)

    Hmm.. zawsze można lecieć przez proxy SOCKS v4/v5 (aka dynamiczny tunel po ssh), i włączyć resolvowanie DNSów po stronie shella hehe (w firefoxie w about:config to można zrobić, nie wiem czy jest to możliwe w innych przeglądarkach). Ale z drugiej strony, wtedy dzielimy się z rootem informacjami o stronach por^H^H^H prywatnych które oglądamy :)

    • @Gynvael: dodatkowo, oprócz SSH, warto wspomnieć że i TOR robi podejścia (zrobił?) do rozwiązywania nazw po swojej stronie.

  14. No dobra, a ja stwierdziłem, że mój neostradowy DNS forwarder w liveboksie cacheuje wpisy, co zbadałem w ten sposób, że dla domeny zarequestowanej z jednego komputera biegnie TTL i jak zażądam rozwiązania z drugiego komputera, to jest stosownie zmniejszony. Mam nadzieję, że nigdzie się nie pomyliłem. Kto wie, jak przeczytać cache DNS-owy liveboksa? Bo sflushować chyba umiem. Zatelnetowałem się na roota (fabryczne hasło 1234, ale u mnie zmienione ;)) i dotychczas nic nie znalazłem.

  15. Chciałem coś więcej jeszcze napisać, ale na razie ograniczę się do podania odnośników jako lektury obowiązkowej:
    http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29#DNS_leaks

  16. @Gynvael Coldwind:
    InPrivate nie, ale ten program dla pedofili tak.

  17. @displaydns:
    Interesuje Cię jak odczytać cały? Bo rekord po rekordzie można odpytywać każdego.

  18. Mam wrażenie, że dodatek do ff better privacy załatwia sprawę, bo /displaydns nie pokazuje mi stron na których byłem(oczywiście tylko po to, żeby to przetestować) chwilę minuty temu.

  19. @guzik: No właśnie po pierwsze cieszyłbym się potwierdzeniem mojej obserwacji przez innego neostradowca, a po drugie to właśnie fajniej by było czymś prostym tak jak tutaj “ipconfig /displaydns”, a nie ograniczać ilość domen do sprawdzania i pytać o nie raz jakiś serwer, potem moje 192.168.1.1 i porównywać TTL-e…

  20. Nie działa! FUUUUUUUUUUUU…! :( Podobna sytuacja jak u Krzyśka. Odpaliłam jako Administrator i dostaje podobny komunikat. System to Vista Vio.

  21. świetne a można to skasować :D ?

    pisałem zatkać buzie podczas czytania tego by nie wydobył się wrzask przerażenia :D

  22. @DarVsorceiX: cytuję: “ipconfig /flushdns twoim przyjacielem.”

  23. ipconfig /flushdns i po sprawie

  24. No to jest ciekawe, dziękuję za to

  25. thx mirek

    czekam na dalsze straszne wpisy o braku anonimowości :D

  26. A wystarczy wyłączyć w usługach “Klient DNS” i komendzie ipconfig /displaydns mamy:
    “Konfiguracja IP systemu Windows
    Nie można wyświetlić zawartości pamięci podręcznej programu rozpoznawania
    nazw DNS.”

  27. Mam podobną sytuację co tm, adresy *antivirus* plus kilka dodatkowych (w tym jakiś bez hosta) a nigdy ich nie odwiedzałem. Co dziwne są od razu po uruchomieniu OS i zostają pomimo /flushdns.
    W związku z tym mam pytanko… 127.0.0.1 to localhost, czy w takim razie możliwe jest że łączę się ze złośliwymi witrynami, czy po prostu adres docelowy jest przekierowywany na localhost (jak przy pliku hosts) i na tym się kończy ?

    Ps. Przepraszam za trochę newbie question i być może mały offtop.

  28. No to łyżka dziegciu:

    >ipconfig /flushdns
    Żądana operacja wymaga podniesienia uprawnień.

    Możemy zapełniać pamięć podręczną DNS i ją przeglądać, ale nie możemy jej czyścić.
    Pamięć podręczna jest globalna – tzn. jeśli zwykły użytkownik odpytuje serwery DNS, Administrator widzi to (i inni użytkownicy też). Więc jak mama dała Wam konto bez uprawnień administracyjnych, to musicie się jeszcze trochę namęczyć przy oglądaniu pornoli (np. nie dopuszczać mamy do komputera do momentu wygaśnięcia domeny w cache) :>

  29. @guzik: eeeee… Yyyyy… A przy winshicie jest jakiś problem z podniesieniem sobie uprawnień? Nie.

  30. @Yoki: a co masz w C:\WINDOWS\system32\etc\hosts? Bo zależy, czy jakieś pakiety w świat wysyłasz… Serwer, dajmy na to na Antarktydzie, też może Ci powiedzieć, że google.com to 127.0.0.1.

  31. @Yoki: Sorry, I meant C:\WINDOWS\system32\drivers\etc\hosts ???

  32. …bo jest teoria, że malware może mieć covert channel po DNS ;)

  33. świetnny poscik ;) troche sie usmialem oby wiecej takich postów z humorem ;D

  34. Piotr:
    Nie? ;) To opisz kilka sposobów, chętnie się czegoś nauczę :) Najlepiej takich niewymagających reboota (bo w końcu bootkity etc na *nixy też istnieją :>)

  35. @Gynvael prosty i niewymagający użycia mózgu sposób – ophcrack

  36. @Piotr
    ophcrack to cracker to haseł. Wyjaśnij mi plz, skąd weźmiesz hashe do crackowania? :)

  37. @Gynvael: “ophcrack to cracker to haseł” dokładnie. Napisałem “prosty i niewymagający użycia mózgu”.
    “Wyjaśnij mi plz, skąd weźmiesz hashe do crackowania?”
    Co co?

  38. Warto rowniez wspomniec ze tego typu cache czesto istnieje rowniez na modemach ADSL, ktore zazwyczaj sa naszym pierwszym resolverem ktory dostajemy po DHCP (mowa o laczach ADSL w wiekszosci domostw).

  39. @Piotr
    Ten cracker może działać w dwóch trybach.
    1. Szukanie kolizji hashy haseł (i tutaj wchodzą do akcji jego tablice tęczowe) – ale żeby tak do tego podejść, najpierw trzeba mieć wyekstraktowane hashe z plików SAM. A żeby dostać się do plików SAM albo trzeba mieć uprawnienia admina (których wg. założeń naszej dyskusji nie mamy). Albo trzeba się rebootnąć na livecd, czego wg. założeń dyskusji nie robimy, bo, jak wiadomo, to rozkłada każdy system z niezaszyfrowanym dyskiem, tak samo “winshita” jak i “linshita” czy “osxshita” (że pozwolę sobie użyć Twojej “terminologii”).
    2. Tryb drugi zakłada próbę uwierzytelnienia użytkownika podając hasło za hasłem z generatora, do systemowego mechanizmu uwierzytelniającego. I w tym momencie dochodzimy do kolejnego założenia – jeśli mama umie wpisać ipconfig /displaydns, to raczej nie będzie miała hasła “123” :) Więc to może i nie wymaga użycia mózgu, ale wymaga użycie eliksiru przyspieszenia czasu bądź medalionu nieśmiertelności (tj. chwilllę sobie na to hasło poczekamy).

    Podsumowując, uważam, że zaproponowana przez Ciebie metoda, jest nie za dużo warta :)

    Jakieś inne pomysły?

    • Zgadzam się z Gynvaelem i kończe dyskusję w temacie “eskalacja uprawnień na Windows jest łatwa”, obiecując, że jeśli Piotr (albo ktokolwiek inny) będzie trolował i offtopicował, to resztę komentarzy wymoderuję.

  40. @Gynvael reboot komputera domowego raczej nie jest problemem…

    P.S. nie nazywaj linuxa “linshitem”!!11

  41. @Piotr
    Jeżeli zakładasz, że reboot nie jest problemem, to nie za bardzo rozumiem dlaczego napisałeś:
    “A przy winshicie jest jakiś problem z podniesieniem sobie uprawnień? Nie.”
    Przecież:
    1. Jeżeli dysk startowy jest zaszyfrowany i hasło wprowadza mama, to za dużo nie zrobisz. (Chyba że przebierzesz się za pokojówkę ;>)
    2. Jeżeli nie jest, to równie łatwo jest “wejść” na dowolny system, czy to (że ponownie zastosuje Twoją “terminologię”) “linshit”, “winshit” czy “osxshit”. Więc Windows za bardzo wyróżniony tutaj nie jest.

    Tak więc pomińmy metody które działają na każdy system z niezaszyfrowanym dyskiem (chodzi mi o dysk z systemem ofc), a skupmy się na metodach które wyróżniają “winshita” jeżeli chodzi o mniemaną bezproblemowość uzyskania dostępu do praw admina :)
    Jakieś propozycje ?

    P.S. Co do “linshit”, po prostu stosuje się do zaproponowanej przez Ciebie “terminologii” :) Jeżeli zechcesz, możemy wrócić do nazywania rzeczy wg nazw nadanych im przez twórców :)

  42. Problem z zapamiętanymi adresami DNS rozwiązuje np. program Ccleaner(dla fanów GUI), który czyści cache DNS.

  43. 9 na 10 systemów które penetrowałam na początku swojej drogi
    było pochodnymi UNIXA , 1 był WINDOWSEM
    Oczywiście często bywało tak że do spenetrowania danego systemu przyczyniały się
    “zewnętrzne” aplikacje/usługi nie będące integralną częścią systemu i kilka innych uwarunkowań
    ale mimo wszystko w mojej pseudo statystyce “który system jest bardziej bezpieczny” linuski dostają ciężkie baty
    Po za tym domeną lameri jest nazywanie windowsa winshitem
    i chwalenie pod niebiosa NIXÓW
    Z regóły ci ludzie nie znają dobrze żadnego z tych systemów
    wiedzą że passy są w etc i coś tam ….
    :)

  44. A jakie jest polecenie pod linucha bo też bym chciał to sprawdzić :)

  45. Nie no, świetna ta mama. Moja nawet nie podchodzi do kompa. ipconfig /displaydns tworzy mi ponad 120KB zrzut. http://pastebin.org/321565 wygląda na to, że moja Vista jest “lekko” zawirusowana.

  46. A to tych smieci z odpowiedzia 127.0.0.1 nie macie czasami dzieki wgraniu pliku hosts z msvps?

  47. Poza tym jak zawirusowana jak macie odpowiedzi 127.0.0.1 – bardzo poprawne, łączące sie z waszym lokalnym kompem.

  48. @neonek: now this is steganography! ;D

  49. Też mi problem.Wystarczy wyłączyć usługę “klient dns” i po sprawie.

  50. mam ten sam problem co kolega @tm. Przeskanowałem cały system 6 antywirami i nic. Nadal wyświetlają sie te głupawe adresy do jakichś stron. WhAt THe F*ck Is GoInG On?????

  51. tym, którym wyswietlają sie dziwne komunikaty, niech sie nie przejmują… w pliku host w folderze systemowym Spybot dodał adresy niebezpiecznych stron, które mają być blokowane, Przypisał im hosty na localhost by nie można było sie z tymi stronami połączyć :) Fake Alarm :)))

  52. Ja mam w hosts cała listę, którą wrzucił tam Spybot-S&D. Skanowanie 2 antywirami, gmerem nic nie dało…

  53. Dla osób, które się tak niepokoją przypomnę, że program Spybot S&D tworzy takie wpisy w pliku etc/hosts w celu blokowania takich domen.

  54. […] rysunkowej w serwisie Komixxy.pl, którą Piotr Konieczny zaprezentował w odpowiedni sposób na Niebezpieczniku. Potem było parę komentarzy, mniej lub bardziej ścisłe informacje o trybie InPrivate w Windows […]

  55. @tym, [quote]którym wyswietlają sie dziwne komunikaty, niech sie nie przejmują… w pliku host w folderze systemowym Spybot dodał adresy niebezpiecznych stron, które mają być blokowane, Przypisał im hosty na localhost by nie można było sie z tymi stronami połączyć :) Fake Alarm :))) [/quote]

    chcialem to samo napisac o tej fajnej opcji immune w spaj bocie ale fakt sam dalem sie nabrac jak neonek to wkleił – moja lista wygląda niemal identycznie, ale ze jestem po pracy i umysł zmęczony to mi cisnienie skoczyło ;P

  56. W przypadku “prywatnych stron” zawierających obiekty Flash, wyczyszczenie historii przeglądarki i DNS Cache nie wystarczy, bo Flash zapisuje sobie informacje o wyświetlanych obiektach w katalogu:

    %SYSTEMDRIVE%:\Users\\AppData\Roaming\Macromedia\Flash Player\

    Podkatalogi:
    macromedia.com\support\flashplayer\sys
    i
    #SharedObjects\
    zdradzają odwiedzane domeny (tworzone są dla nich katalogi), a także dokładne daty odwiedzin (data modyfikacji plików/katalogów).

  57. @guzik: Nic w tym kontekście tryb InPrivate Ci nie da (ja pisałem o tym, że ja w innym celu wykorzystuję ten tryb).

    @gyn: Masz racje – tryb InPrivate to bardzo prosta i zwykła funkcja przeglądarki i nie ma nic wspólnego z jakimiś głębszymi implementacjami związanymi np. z DNSami.

  58. Lipne to polecenie, nie wyświetla nawet 1% odwiedzanych ostatnio stron. Żadna strona xxx się nie pojawiła. A te adresy co się pojawiły, to w ogóle jakieś dziwne, nie przypominam sobie, żebym na większość z nich kiedykolwiek wchodził.

  59. Dla tych, którzy ciągle “boją się” o swój system w związku z dziwnymi wpisami wyświetlanymi po odpaleniu “ipconfig /displaydns” + “ipconfig /flushdns” – dla uspokojenia, upewnienia się – mimo wcześniejszych komentarzy:
    “When you flush the DNS cache, after flushing, it re-reads the hosts file into the cache.”
    (źródło: http://www.pcreview.co.uk/forums/thread-246430.php)
    Odpowiedzi udzielił niejaki R. Lowe, sądząc po “sygnaturce” (MS-MVP Windows Networking) – wiedział co pisał ;)

  60. @Gyn A wykryte prze Ciebie i jooru “Windows CSRSS Local Privilege Elevation Vulnerability” nie daje możliwości przejęcia uprawnien admina tylko gdy on sie przeloguje.

    Pozdrawiam

  61. @Radom
    Obecnie nie – luka była załatana wraz z kwietniowym patchem. Nooo chyba, że ktoś nie update’uje windy ;)

  62. Ah, przepraszam. CSRSS był w lutym łatany. W kwietniu były dwa pozostałe local priv escale połatane :)

  63. A tak w ogóle, to dziecko kobiety znającej polecenie ‘ipconfig /displaydns’ już dawno ma odpowiednie uprawnienia w systemie.

  64. tm: U mnie są te same wpisy. To wygląda na zabezpieczenie SpyBota. Na co dzień usługi “Klient DNS” oraz “Klient DHCP” mam wyłączoną. Na wydajności sieci raczej nie tracę, ale za każdym razem przeglądarka musi odpytać serwery DNS. Czy po włączeniu usługi system nagle zapamięta adresy IP na długi czas i przyspieszy łączenie z serwerami?

  65. Tak mi przyszło do głowy, czy polecenie ping też tam pozostawia dane? Jeśli tak, to wystarczy wsadowo odpalić paręnaście (-dziesiąt) pingów i dane zamazane.

  66. Hmmm a u mnie nie działa http://www.ubuntu-pics.de/bild/82313/screenshot_032_U9sVIB.png

    może dlatego że to Linux :)

  67. @Piotr Szymczak
    Mam nadzieję, że to jakaś forma ironii -.-

  68. Czy jest jakieś sensowne wytłumaczenie na fakt, iż wyskoczyły ze komenda wygenerowała adresy stron porno na których nigdy w życiu nie byłem?! Bo przez niefortunny zbieg okoliczności zrobiło się niesmacznie w życiu prywatnym! Proszę o odpowiedź! Z góry dzięki!

  69. Rozwiązanie:
    U kolegi zrobić np. ping redtube.com, zanotować IP, i wchodzić po IPku. Problem, Mommy?

  70. @Artur
    Cracków szukałeś, na stronach miałeś reklamy, a reklamy też przechodzą przez DNS. Dlatego takie sprawdzanie DNS-a można o kant tyłka potłuc, bo nie mówi nic o stronach które ktoś otwierał, a jedynie o adresach z których korzystała przeglądarka do wyświetlania reklam. Inna sprawa, że linki i reklamy porno są na ogół na stronach z warezami ;)

  71. Trik ciekawy nie powiem :-). Jeśli chcemy się pozbyć tych wpisów wystarczy wyłączyć usługę klienta DNS (Start->Uruchom->services.msc-> Klient DNS (Dnscache) #max

  72. Co nieco prawda, ale czesc tych wynikow w W7 pokazuje mi bezposrednio wypisując z zawartosci pliku hosts

  73. A dlaczego pornhub :D ?

  74. ja też wpisuję ipconfig /displaydns i w sumie wyświetla mie sie podobne okienka ale coś w nich nie pykło. komiks jest spoko :D

Odpowiadasz na komentarz GabbaMan

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: