- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
一次常見的Linux入侵 (2) |
| 發布時間: 2012/8/15 18:05:05 |
|
yone) /u1 (everyone) /user (everyone) /fix (everyone) /u (everyone) /install (everyone) 可以看到,203.207.xxx.002上所有注明了“everyone”的目錄都是向公眾開放的,其中包括保存了用戶郵件的“/var/spool/mail”目錄,以及用戶的主目錄“/u”和“/u1”。另外“/usr/local”和“/usr/lib/cobol”也是允許寫入的,這使得它很容易被安裝上特洛伊木馬,輕而易舉的獲得控制權。 5.出擊:鎖定漏洞 通過掃描返回的Banner和具體的系統版本,看看這個系統有沒有什么可以利用的大漏洞,因為Linux內核確實存在多個安全漏洞,最近比較熱門的漏洞包括:Ext3文件系統信息泄露、SoundBlaster代碼導致本地崩潰、DRI問題導致本地崩潰、Mremap的其它問題導致本地拒絕服務等。利用這些漏洞,攻擊者可以獲得敏感信息或進行拒絕服務攻擊。細細數來,通過對Linux內核文件版本的分析和輪番實驗,我覺得:系統存在Seclpd.c、Netpr.c漏洞可能性很大! 從綠盟資料庫搜索后得知Red Hat7.0版本有一個LP服務(515端口)有遠程溢出漏洞,登陸http://www.safechina.net/www_hack_co_za/redhat/7.0/seclpd.c。 (完整代碼請看光盤“雜志相關”。) 使用VI進行編輯:#VI seclpd.c,然后用“:wq”保存后編譯。把Seclpd.c傳到目標機上,用GCC編譯: $GCC -o seclpd seclpd.c 然后,執行,顯示為失敗。 $./seclpd 203.207.*.* -t 0 將參數換成t1,再試仍然是失敗。 $./seclpd 203.207.*.*-t 1 看來要來個暴力破解了。 $./seclpd 203.207.*.* brute –t 0 過了大約5-8分鐘左右,結果出來了。 uid=0(root)gid=other(other).... 搞定!一切順利,現在,有了ROOT和它的PASSSWD,可以考慮加個后門、安裝Sniffers等動作了。 防范 “知己知彼,百戰不殆”。作為一個好的系統管理者,要保障整個系統的安全運行,最好的方法是了解攻擊的工作原理和機制,了解攻擊中使用了哪些工具,如何操作入侵等等。 1.蛛絲馬跡:從日志著手 日志記錄了系統每天發生的事情,可以通過他來檢查錯誤發生的原因或者攻擊者留下的痕跡,還可以實時的監測系統狀態,監測和追蹤侵入者等等。 TIPS:在Linux系統中,有三個主要的日志子系統: (1)連接時間日志。由多個程序執行,把紀錄寫入到“/var/log/wtmp”和/“var/run/utmp”,Login等程序更新Wtmp和Utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。 (2)由系統內核執行的進程統計。當一個進程終止時,往統計文件中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。 (3)錯誤日志。由Syslogd(8)執行,各種系統守護進程、用戶程序和內核向文件“/var/log/messages”報告值得注意的事件。另外有許多UNIX程序創建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。 從攻擊角度而言,服務器上的安全文件十分重要,若你關閉外部網絡對你的服務器的訪問,攻擊者總是試圖連接服務器上的若干個端口,但是由于服務器關閉了Inetd啟動的所有服務,所以LOG系統記錄下了這些訪問拒絕。常用的日志文件如下: access-log 紀錄HTTP/web的傳輸 acct/pacct 紀錄用戶命令 aculog 紀錄MODEM的活動 btmp 紀錄失敗的紀錄 lastlog 最近幾次成功登錄和最后一次不成功的登錄 messages 從syslog中記錄信息 sudolog 紀錄使用sudo發出的命令 sulog 紀錄使用su命令的使用 syslog 從syslog中記錄信息 utmp 紀錄當前登錄的每個用戶 wtmp 用戶每次登錄進入和退出時間的永久紀錄 xferlog 紀錄FTP會話 2.亡羊補牢:加強防衛 一方面要積極尋找本操作系統的常見漏洞并及時升級廠商所公布的補丁。比如,可以修改Inetd.conf文件以關閉某些服務,重新啟動后再用NMAP掃描,在攻擊者發現其以前更早的發現自己的系統的漏洞,并加以彌補。 另一方面要加強密碼保護。攻擊密碼的手段主要有:字典攻擊(Dictionaryattack)、混合攻擊(Hybridattack)、蠻力攻擊(Bruteforceattack)。最好的防衛方法便是嚴格控制進入特權,即使用有效的密碼。主要包括密碼應當遵循字母、數字、大小寫(因為Linux對大小寫是有區分)混合使用的規則,如加入“#”或“%”或“$”這樣的特殊字符以添加復雜性。 3.反擊:從系統開始 攻擊者具有對Linux服務器的全部控制權,可以在任何時刻都能夠完全關閉甚至毀滅此網絡。可以采取的反擊措施有:備份重要的關鍵數據;改變系統中所有口令,通知用戶更新口令;隔離該網段,使攻擊行為僅出現在一個小范圍內;允許行為繼續進行。如有可能,不要急于把攻擊者趕出系統,爭取收集證據;進行各種嘗試,識別出攻擊源 億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888 聯系:億恩小凡 QQ:89317007 電話:0371-63322206 本文出自:億恩科技【www.ypdoo.com.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
