- 掛牌上市企業(yè)
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
一次常見的Linux入侵 (2) |
| 發(fā)布時間: 2012/8/15 18:05:05 |
|
yone) /u1 (everyone) /user (everyone) /fix (everyone) /u (everyone) /install (everyone) 可以看到,203.207.xxx.002上所有注明了“everyone”的目錄都是向公眾開放的,其中包括保存了用戶郵件的“/var/spool/mail”目錄,以及用戶的主目錄“/u”和“/u1”。另外“/usr/local”和“/usr/lib/cobol”也是允許寫入的,這使得它很容易被安裝上特洛伊木馬,輕而易舉的獲得控制權。 5.出擊:鎖定漏洞 通過掃描返回的Banner和具體的系統(tǒng)版本,看看這個系統(tǒng)有沒有什么可以利用的大漏洞,因為Linux內核確實存在多個安全漏洞,最近比較熱門的漏洞包括:Ext3文件系統(tǒng)信息泄露、SoundBlaster代碼導致本地崩潰、DRI問題導致本地崩潰、Mremap的其它問題導致本地拒絕服務等。利用這些漏洞,攻擊者可以獲得敏感信息或進行拒絕服務攻擊。細細數來,通過對Linux內核文件版本的分析和輪番實驗,我覺得:系統(tǒng)存在Seclpd.c、Netpr.c漏洞可能性很大! 從綠盟資料庫搜索后得知Red Hat7.0版本有一個LP服務(515端口)有遠程溢出漏洞,登陸http://www.safechina.net/www_hack_co_za/redhat/7.0/seclpd.c。 (完整代碼請看光盤“雜志相關”。) 使用VI進行編輯:#VI seclpd.c,然后用“:wq”保存后編譯。把Seclpd.c傳到目標機上,用GCC編譯: $GCC -o seclpd seclpd.c 然后,執(zhí)行,顯示為失敗。 $./seclpd 203.207.*.* -t 0 將參數換成t1,再試仍然是失敗。 $./seclpd 203.207.*.*-t 1 看來要來個暴力破解了。 $./seclpd 203.207.*.* brute –t 0 過了大約5-8分鐘左右,結果出來了。 uid=0(root)gid=other(other).... 搞定!一切順利,現在,有了ROOT和它的PASSSWD,可以考慮加個后門、安裝Sniffers等動作了。 防范 “知己知彼,百戰(zhàn)不殆”。作為一個好的系統(tǒng)管理者,要保障整個系統(tǒng)的安全運行,最好的方法是了解攻擊的工作原理和機制,了解攻擊中使用了哪些工具,如何操作入侵等等。 1.蛛絲馬跡:從日志著手 日志記錄了系統(tǒng)每天發(fā)生的事情,可以通過他來檢查錯誤發(fā)生的原因或者攻擊者留下的痕跡,還可以實時的監(jiān)測系統(tǒng)狀態(tài),監(jiān)測和追蹤侵入者等等。 TIPS:在Linux系統(tǒng)中,有三個主要的日志子系統(tǒng): (1)連接時間日志。由多個程序執(zhí)行,把紀錄寫入到“/var/log/wtmp”和/“var/run/utmp”,Login等程序更新Wtmp和Utmp文件,使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。 (2)由系統(tǒng)內核執(zhí)行的進程統(tǒng)計。當一個進程終止時,往統(tǒng)計文件中寫一個紀錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務提供命令使用統(tǒng)計。 (3)錯誤日志。由Syslogd(8)執(zhí)行,各種系統(tǒng)守護進程、用戶程序和內核向文件“/var/log/messages”報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。 從攻擊角度而言,服務器上的安全文件十分重要,若你關閉外部網絡對你的服務器的訪問,攻擊者總是試圖連接服務器上的若干個端口,但是由于服務器關閉了Inetd啟動的所有服務,所以LOG系統(tǒng)記錄下了這些訪問拒絕。常用的日志文件如下: access-log 紀錄HTTP/web的傳輸 acct/pacct 紀錄用戶命令 aculog 紀錄MODEM的活動 btmp 紀錄失敗的紀錄 lastlog 最近幾次成功登錄和最后一次不成功的登錄 messages 從syslog中記錄信息 sudolog 紀錄使用sudo發(fā)出的命令 sulog 紀錄使用su命令的使用 syslog 從syslog中記錄信息 utmp 紀錄當前登錄的每個用戶 wtmp 用戶每次登錄進入和退出時間的永久紀錄 xferlog 紀錄FTP會話 2.亡羊補牢:加強防衛(wèi) 一方面要積極尋找本操作系統(tǒng)的常見漏洞并及時升級廠商所公布的補丁。比如,可以修改Inetd.conf文件以關閉某些服務,重新啟動后再用NMAP掃描,在攻擊者發(fā)現其以前更早的發(fā)現自己的系統(tǒng)的漏洞,并加以彌補。 另一方面要加強密碼保護。攻擊密碼的手段主要有:字典攻擊(Dictionaryattack)、混合攻擊(Hybridattack)、蠻力攻擊(Bruteforceattack)。最好的防衛(wèi)方法便是嚴格控制進入特權,即使用有效的密碼。主要包括密碼應當遵循字母、數字、大小寫(因為Linux對大小寫是有區(qū)分)混合使用的規(guī)則,如加入“#”或“%”或“$”這樣的特殊字符以添加復雜性。 3.反擊:從系統(tǒng)開始 攻擊者具有對Linux服務器的全部控制權,可以在任何時刻都能夠完全關閉甚至毀滅此網絡。可以采取的反擊措施有:備份重要的關鍵數據;改變系統(tǒng)中所有口令,通知用戶更新口令;隔離該網段,使攻擊行為僅出現在一個小范圍內;允許行為繼續(xù)進行。如有可能,不要急于把攻擊者趕出系統(tǒng),爭取收集證據;進行各種嘗試,識別出攻擊源 億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888 聯系:億恩小凡 QQ:89317007 電話:0371-63322206 本文出自:億恩科技【www.artduck.net】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
