- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
一次常见的Linux入侵 (2) |
| 发布时间: 2012/8/15 18:05:05 |
|
yone) /u1 (everyone) /user (everyone) /fix (everyone) /u (everyone) /install (everyone) 可以看到,203.207.xxx.002上所有注明了“everyone”的目录都是向公众开放的,其中包括保存了用户邮件的“/var/spool/mail”目录,以及用户的主目录“/u”和“/u1”。另外“/usr/local”和“/usr/lib/cobol”也是允许写入的,这使得它很容易被安装上特洛伊木马,轻而易举的获得控制权。 5.出击:锁定漏洞 通过扫描返回的Banner和具体的系统版本,看看这个系统有没有什么可以利用的大漏洞,因为Linux内核确实存在多个安全漏洞,最近比较热门的漏洞包括:Ext3文件系统信息泄露、SoundBlaster代码导致本地崩溃、DRI问题导致本地崩溃、Mremap的其它问题导致本地拒绝服务等。利用这些漏洞,攻击者可以获得敏感信息或进行拒绝服务攻击。细细数来,通过对Linux内核文件版本的分析和轮番实验,我觉得:系统存在Seclpd.c、Netpr.c漏洞可能性很大! 从绿盟资料库搜索后得知Red Hat7.0版本有一个LP服务(515端口)有远程溢出漏洞,登陆http://www.safechina.net/www_hack_co_za/redhat/7.0/seclpd.c。 (完整代码请看光盘“杂志相关”。) 使用VI进行编辑:#VI seclpd.c,然后用“:wq”保存后编译。把Seclpd.c传到目标机上,用GCC编译: $GCC -o seclpd seclpd.c 然后,执行,显示为失败。 $./seclpd 203.207.*.* -t 0 将参数换成t1,再试仍然是失败。 $./seclpd 203.207.*.*-t 1 看来要来个暴力破解了。 $./seclpd 203.207.*.* brute –t 0 过了大约5-8分钟左右,结果出来了。 uid=0(root)gid=other(other).... 搞定!一切顺利,现在,有了ROOT和它的PASSSWD,可以考虑加个后门、安装Sniffers等动作了。 防范 “知己知彼,百战不殆”。作为一个好的系统管理者,要保障整个系统的安全运行,最好的方法是了解攻击的工作原理和机制,了解攻击中使用了哪些工具,如何操作入侵等等。 1.蛛丝马迹:从日志着手 日志记录了系统每天发生的事情,可以通过他来检查错误发生的原因或者攻击者留下的痕迹,还可以实时的监测系统状态,监测和追踪侵入者等等。 TIPS:在Linux系统中,有三个主要的日志子系统: (1)连接时间日志。由多个程序执行,把纪录写入到“/var/log/wtmp”和/“var/run/utmp”,Login等程序更新Wtmp和Utmp文件,使系统管理员能够跟踪谁在何时登录到系统。 (2)由系统内核执行的进程统计。当一个进程终止时,往统计文件中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。 (3)错误日志。由Syslogd(8)执行,各种系统守护进程、用户程序和内核向文件“/var/log/messages”报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 从攻击角度而言,服务器上的安全文件十分重要,若你关闭外部网络对你的服务器的访问,攻击者总是试图连接服务器上的若干个端口,但是由于服务器关闭了Inetd启动的所有服务,所以LOG系统记录下了这些访问拒绝。常用的日志文件如下: access-log 纪录HTTP/web的传输 acct/pacct 纪录用户命令 aculog 纪录MODEM的活动 btmp 纪录失败的纪录 lastlog 最近几次成功登录和最后一次不成功的登录 messages 从syslog中记录信息 sudolog 纪录使用sudo发出的命令 sulog 纪录使用su命令的使用 syslog 从syslog中记录信息 utmp 纪录当前登录的每个用户 wtmp 用户每次登录进入和退出时间的永久纪录 xferlog 纪录FTP会话 2.亡羊补牢:加强防卫 一方面要积极寻找本操作系统的常见漏洞并及时升级厂商所公布的补丁。比如,可以修改Inetd.conf文件以关闭某些服务,重新启动后再用NMAP扫描,在攻击者发现其以前更早的发现自己的系统的漏洞,并加以弥补。 另一方面要加强密码保护。攻击密码的手段主要有:字典攻击(Dictionaryattack)、混合攻击(Hybridattack)、蛮力攻击(Bruteforceattack)。最好的防卫方法便是严格控制进入特权,即使用有效的密码。主要包括密码应当遵循字母、数字、大小写(因为Linux对大小写是有区分)混合使用的规则,如加入“#”或“%”或“$”这样的特殊字符以添加复杂性。 3.反击:从系统开始 攻击者具有对Linux服务器的全部控制权,可以在任何时刻都能够完全关闭甚至毁灭此网络。可以采取的反击措施有:备份重要的关键数据;改变系统中所有口令,通知用户更新口令;隔离该网段,使攻击行为仅出现在一个小范围内;允许行为继续进行。如有可能,不要急于把攻击者赶出系统,争取收集证据;进行各种尝试,识别出攻击源 亿恩科技地址(ADD):郑州市黄河路129号天一大厦608室 邮编(ZIP):450008 传真(FAX):0371-60123888 联系:亿恩小凡 QQ:89317007 电话:0371-63322206 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
