文章內(nèi)容

一次常見的Linux入侵 (2)

發(fā)布時間: 2012/8/15 18:05:05

yone)
　　/u1 (everyone)
　　/user (everyone)
　　/fix (everyone)
　　/u (everyone)
　　/install (everyone)
　　可以看到，203.207.xxx.002上所有注明了“everyone”的目錄都是向公眾開放的，其中包括保存了用戶郵件的“/var/spool/mail”目錄，以及用戶的主目錄“/u”和“/u1”。另外“/usr/local”和“/usr/lib/cobol”也是允許寫入的，這使得它很容易被安裝上特洛伊木馬，輕而易舉的獲得控制權(quán)。
　　5．出擊：鎖定漏洞
　　通過掃描返回的Banner和具體的系統(tǒng)版本，看看這個系統(tǒng)有沒有什么可以利用的大漏洞，因為Linux內(nèi)核確實存在多個安全漏洞，最近比較熱門的漏洞包括：Ext3文件系統(tǒng)信息泄露、SoundBlaster代碼導(dǎo)致本地崩潰、DRI問題導(dǎo)致本地崩潰、Mremap的其它問題導(dǎo)致本地拒絕服務(wù)等。利用這些漏洞，攻擊者可以獲得敏感信息或進行拒絕服務(wù)攻擊。細細數(shù)來，通過對Linux內(nèi)核文件版本的分析和輪番實驗，我覺得：系統(tǒng)存在Seclpd.c、Netpr.c漏洞可能性很大！
　　從綠盟資料庫搜索后得知Red Hat7.0版本有一個LP服務(wù)（515端口）有遠程溢出漏洞，登陸http://www.safechina.net/www_hack_co_za/redhat/7.0/seclpd.c。
　�。ㄍ暾a請看光盤“雜志相關(guān)”。）
　　使用VI進行編輯：#VI seclpd.c，然后用“:wq”保存后編譯。把Seclpd.c傳到目標機上，用GCC編譯：
　　$GCC -o seclpd seclpd.c
　　然后，執(zhí)行，顯示為失敗。
　　$./seclpd 203.207.*.* -t 0
　　將參數(shù)換成t1，再試仍然是失敗。
　　$./seclpd 203.207.*.*-t 1
　　看來要來個暴力破解了。
　　$./seclpd 203.207.*.* brute –t 0
　　過了大約5-8分鐘左右，結(jié)果出來了。
　　uid=0(root)gid=other(other)....
　　搞定！一切順利，現(xiàn)在，有了ROOT和它的PASSSWD，可以考慮加個后門、安裝Sniffers等動作了。
　　防范
　　“知己知彼，百戰(zhàn)不殆”。作為一個好的系統(tǒng)管理者，要保障整個系統(tǒng)的安全運行，最好的方法是了解攻擊的工作原理和機制，了解攻擊中使用了哪些工具，如何操作入侵等等。
　　1．蛛絲馬跡：從日志著手
　　日志記錄了系統(tǒng)每天發(fā)生的事情，可以通過他來檢查錯誤發(fā)生的原因或者攻擊者留下的痕跡，還可以實時的監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等等。
　　
　　TIPS：在Linux系統(tǒng)中，有三個主要的日志子系統(tǒng)：
　�。�1）連接時間日志。由多個程序執(zhí)行，把紀錄寫入到“/var/log/wtmp”和/“var/run/utmp”，Login等程序更新Wtmp和Utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。
　�。�2）由系統(tǒng)內(nèi)核執(zhí)行的進程統(tǒng)計。當一個進程終止時，往統(tǒng)計文件中寫一個紀錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。
　�。�3）錯誤日志。由Syslogd（8）執(zhí)行，各種系統(tǒng)守護進程、用戶程序和內(nèi)核向文件“/var/log/messages”報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細的日志。
　　
　　從攻擊角度而言，服務(wù)器上的安全文件十分重要，若你關(guān)閉外部網(wǎng)絡(luò)對你的服務(wù)器的訪問，攻擊者總是試圖連接服務(wù)器上的若干個端口，但是由于服務(wù)器關(guān)閉了Inetd啟動的所有服務(wù)，所以LOG系統(tǒng)記錄下了這些訪問拒絕。常用的日志文件如下：
　　access-log 紀錄HTTP/web的傳輸
　　acct/pacct 紀錄用戶命令
　　aculog 紀錄MODEM的活動
　　btmp 紀錄失敗的紀錄
　　lastlog 最近幾次成功登錄和最后一次不成功的登錄
　　messages 從syslog中記錄信息
　　sudolog 紀錄使用sudo發(fā)出的命令
　　sulog 紀錄使用su命令的使用
　　syslog 從syslog中記錄信息
　　utmp 紀錄當前登錄的每個用戶
　　wtmp 用戶每次登錄進入和退出時間的永久紀錄
　　xferlog 紀錄FTP會話
　　2．亡羊補牢：加強防衛(wèi)
　　一方面要積極尋找本操作系統(tǒng)的常見漏洞并及時升級廠商所公布的補丁。比如，可以修改Inetd.conf文件以關(guān)閉某些服務(wù)，重新啟動后再用NMAP掃描，在攻擊者發(fā)現(xiàn)其以前更早的發(fā)現(xiàn)自己的系統(tǒng)的漏洞，并加以彌補。
　　另一方面要加強密碼保護。攻擊密碼的手段主要有：字典攻擊（Dictionaryattack）、混合攻擊（Hybridattack）、蠻力攻擊（Bruteforceattack）。最好的防衛(wèi)方法便是嚴格控制進入特權(quán)，即使用有效的密碼。主要包括密碼應(yīng)當遵循字母、數(shù)字、大小寫（因為Linux對大小寫是有區(qū)分）混合使用的規(guī)則，如加入“#”或“%”或“$”這樣的特殊字符以添加復(fù)雜性。
　　3．反擊：從系統(tǒng)開始
　　攻擊者具有對Linux服務(wù)器的全部控制權(quán)，可以在任何時刻都能夠完全關(guān)閉甚至毀滅此網(wǎng)絡(luò)�？梢圆扇〉姆磽舸胧┯校簜浞葜匾年P(guān)鍵數(shù)據(jù)；改變系統(tǒng)中所有口令，通知用戶更新口令；隔離該網(wǎng)段，使攻擊行為僅出現(xiàn)在一個小范圍內(nèi)；允許行為繼續(xù)進行。如有可能，不要急于把攻擊者趕出系統(tǒng)，爭取收集證據(jù)；進行各種嘗試，識別出攻擊源
億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206
本文出自：億恩科技【www.riomediacenter.com】

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 海量非結(jié)構(gòu)化數(shù)據(jù)存儲問題初探
下一篇 >> Linux下MySQL Error 1130 不能遠程訪問

国产福利在线播放|久久精品福利网站免费|国产呻吟视频在线观看|日韩一区二区三区免费高清|久996视频精品免费观看|欧美日本在线一区二区三区|在线最新无码经典无码免費資訊|国产午夜亚洲精品国产成人最大

服務(wù)器租用

服務(wù)器托管

機柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

一次常見的Linux入侵 (2)

同類文章

億恩公告

在線客服