首頁
排行
完本
足跡

第十章 黑客入侵後會幹些什麼(1 / 3)

網絡安全·安全技巧(二十一)(精裝) Сδ

第十章 黑客入侵後會幹些什麼

這篇文章,講述了當黑客獲得root權限後,所做的事情,重點放在他們是如何隱藏蹤跡以及之後如何做。

入侵者是誰

多數的入侵者並沒有考慮太多的策略方麵的問題,他們更重視的是輕易地入侵,而非針對某些特定的信息或者某個特定的公司。他們把注意力集中於最有效的幾個漏洞利用程序上,然後在互聯網上尋找相應的主機--遲早他們會找到適合入侵的機器的......

當他們獲得root權限這後,第一件事往往是抹去他們的蹤跡,他們需要確保係統管理員沒有發現係統被侵襲,並且不希望留下任何日誌或者他們活動的記錄。然後,他們會使用你的機器來掃描網絡中的其它係統,或者靜靜地潛伏,以求獲得更多的資料。

為了更好地了解他們是如何侵害係統的,我們將沿著一個入侵者的入侵步驟來觀察。我們的係統--mozart,上麵運行的操作係統是RedHat5.1。係統在1999年4月27日受到攻擊,下麵的一些入侵過程的記錄,是從係統日誌及擊鍵記錄中提取的,我們對係統日誌及擊鍵都做了驗證,所有的係統日誌都是在一個受保護的syslog服務器上的,所有的擊鍵都是由一個嗅探器--sniffit捕獲的。在本文中,我們稱這個入侵者為"他"--因為我們無法得知其真正的性別。

漏洞利用

在4月27日的00:13,有一個家夥在域名為1Cust174.tnt2.long-branch.nj.da.uu.net的地方對我們進行掃描,針對了包括imap漏洞在內的幾個特定的漏洞,這些入侵者是比較討厭的,因為他們一下掃描了整個網段。

Apr2700:12:25mozartimapd[939]:connectfrom208.252.226.174

Apr2700:12:27bachimapd[1190]:connectfrom208.252.226.174

Apr2700:12:30vivaldiimapd[1225]:connectfrom208.252.226.174

很顯然,他找到了一些他所希望的東西,並且在06:52和16:47又回來了。他開始了一次針對mozart機器的徹底掃描,並且確定了這台機器存在著mountd的安全漏洞,這個漏洞是RedHat5.1中存在的一個會危及root安全的漏洞,我們可以從/var/log/messages中看到,這個入侵者應該已經獲得了超級用戶權限,他所使用的工具看上去象是ADMmountd.c或者一些極其類似的程序。

Apr2716:47:28mozartmountd[306]:UnauthorizedaccessbyNFSclient208.252.226.174.

Apr2716:47:28mozartsyslogd:Cannotgluemessagepartstogether

Apr2716:47:28mozartmountd[306]:Blockedattemptof208.252.226.174tomount

~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P

~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~

在運行了這個漏洞利用程序之後,我們可以從/var/log/messages中看到,這個入侵者馬上用crak0的帳號登陸,而後su成用戶rewt--這兩個用戶都是由該漏洞利用程序添加的,現在這位入侵者對我們的係統終於擁有了最高權限了。

Apr2716:50:27mozartlogin[1233]:FAILEDLOGIN2FROM1Cust102.tnt1.long-branch.nj.da.uu.netFORcrak,Usernotknowntotheunderlyingauthenticationmodule

Apr2716:50:38mozartPAM_pwdb[1233]:(login)sessionopenedforusercrak0by(uid=0)

Apr2716:50:38mozartlogin[1233]:LOGINONttyp0BYcrak0FROM1Cust102.tnt1.long-branch.nj.da.uu.net

Apr2716:50:47mozartPAM_pwdb[1247]:(su)sessionopenedforuserrewtbycrak0(uid=0)

抹去蹤跡

現在這個入侵者是我們係統的root了,下一步,他要確定他不會被逮到,所以他首先察看了一下是否有其它用戶登陸在係統中。

[crak0@mozart/tmp]$w

4:48pmup1day,18:27,1user,loadaverage:0.00,0.00,0.00

USERTTYFROMLOGIN@IDLEJCPUPCPUWHAT

crak0ttyp01Cust102.tnt1.lo4:48pm0.00s0.23s0.04sw

當他確定自己是安全時,他就開始準備將自己藏匿於無形了。最常見的做法是將日誌文件中所有的入侵證據先擦除,並且將某些係統中的二進製程序替代為木馬--比如ps和netstat,這樣一般情況下係統管理員就無法發現入侵者的蹤跡了。當一切就緒時,這個入侵者就可以在你幾乎無法發現他的情況下,大搖大擺地對你的係統進行完全的控製了。

上一章 書頁/目錄 下一頁