攻击的实施阶段1. 获得权限 当收集到足够的信息之后,攻击者就要开始实施攻击行动了。作为破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻击,往往要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了,但作为一次完整的攻击是要获得系统最高权限的,这不仅是为了达到一定的目的,更重要的是证明攻击者的能力,这也符合黑客的追求。 能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞,也包括由于管理配置不当而造成的漏洞。前不久,因特网上应用最普及的著名www服务器提供商Apache的主页被黑客攻破,其主页面上的 Powered by Apache图样(羽毛状的图画)被改成了Powered by Microsoft BackOffice的图样,那个攻击者就是利用了管理员对Webserver用数据库的一些不当配置而成功取得最高权限的。 当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利用缓冲区溢出进行的攻击最为普遍,据统计80%以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。关于缓冲区溢出在后面用专门章节来作详细解释。 无论作为一个黑客还是一个网络管理员,都需要掌握尽量多的系统漏洞。黑客需要用它来完成攻击,而管理员需要根据不同的漏洞来进行不同的防御措施。了解最新最多的漏洞信息,可以到诸如Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等网站去查找。2. 权限的扩大 系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大,黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限,而往往只是一个普通用户的权限,这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。 只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放一些木马之类的欺骗程序来套取管理员密码,这种木马是放在本地套取最高权限用的,而不能进行远程控制。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限,那么他就可以在这台机器上放置一个假的su程序。一旦黑客放置了假su程序,当真正的合法用户登录时,运行了su,并输入了密码,这时root密码就会被记录下来,下次黑客再登录时就可以使用su变成root了。攻击的善后工作1. 日志系统简介 如果攻击者完成攻击后就立刻离开系统而不做任何善后工作,那么他的行踪将很快被系统管理员发现,因为所有的网络操作系统一般都提供日志记录功能,会把系统上发生的动作记录下来。所以,为了自身的隐蔽性,黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法,首先要了解常见的操作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置,根据操作系统的不同略有变化 /usr/adm——早期版本的Unix。 /Var/adm新一点的版本使用这个位置。 /Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。 /etc,大多数Unix版本把Utmp放在此处,一些Unix版本也把Wtmp放在这里,这也是Syslog.conf的位置。下面的文件可能会根据你所在的目录不同而不同: acct或pacct-一记录每个用户使用的命令记录。 Accesslog主要用来服务器运行了NCSA HTTP服务器,这个记录文件会记录有什么站点连接过你的服务器。 aculo保存拨出去的Modems记录。 lastlog记录了最近的Login记录和每个用户的最初目的地,有时是最后不成功Login的记录。 loginlog一记录一些不正常的L0gin记录。 messages——记录输出到系统控制台的记录,另外的信息由Syslog来生成 security记录一些使用 UUCP系统企图进入限制范围的事例。 sulog记录使用su命令的记录。 utmp记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化。 Utmpx,utmp的扩展。 wtmp记录用户登录和退出事件。 Syslog最重要的日志文件,使用syslogd守护程序来获得。2. 隐藏踪迹 攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了(只对常规 Unix系统而言),包括日志文件,所以一般黑客想要隐藏自己的踪迹的话,就会对日志进行修改。最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别,网络上有许多此类功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息,使得当使用w、who、last等命令查看日志文件时,隐藏掉此用户的信息。管理员想要避免日志系统被黑客修改,应该采取一定的措施,例如用打印机实时记录网络日志信息。但这样做也有弊端,黑客一旦了解到你的做法就会不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上,即使用loGhost。即使是这样也不能完全避免日志被修改的可能性,因为黑客既然能攻入这台主机,也很可能攻入loghost。只修改日志是不够的,因为百密必有一漏,即使自认为修改了所有的日志,仍然会留下一些蛛丝马迹的。例如安装了某些后门程序,运行后也可能被管理员发现。所以,黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit,这类程序在一些黑客网站可以找到,比较常见的有LinuxRootKit,现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序,当替换了ls后,就可以隐藏指定的文件,使得管理员在使用ls命令时无法看到这些文件,从而达到隐藏自己的目的。3. 后门 一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。 <1>密码破解后门 这是入侵者使用的最早也是最老的方法, 它不仅可以获得对Unix机器的访问, 而且可 以通过破解密码制造后门. 这就是破解口令薄弱的帐号. 以后即使管理员封了入侵者 的当前帐号,这些新的帐号仍然可能是重新侵入的后门. 多数情况下, 入侵者寻找口令 薄弱的未使用帐号,然后将口令改的难些. 当管理员寻找口令薄弱的帐号是, 也不会发 现这些密码已修改的帐号.因而管理员很难确定查封哪个帐号. <2>Rhosts + + 后门 在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访 问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进 入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成 了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管 理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名,从而不易被发现. <3>校验和及时间戳后门 早期,许多入侵者用自己的trojan程序替代二进制文件. 系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变, 如Unix里的sum程序. 入侵者又发 展了使trojan文件和原文件时间戳同步的新技术. 它是这样实现的: 先将系统时钟拨 回到原文件时间, 然后调整trojan文件的时间为系统时间. 一旦二进制trojan文件与 原来的精确同步, 就可以把系统时间设回当前时间. Sum程序是基于CRC校验, 很容易 骗过.入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序. MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过. <4>Login后门 在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改,使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至 是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便 用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露. 入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是 用MD5校验和检测这种后门的. <5>Telnetd后门 当用户telnet到系统, 监听端口的inetd服务接受连接随后递给in.telnetd,由它运行 login.一些入侵者知道管理员会检查login是否被修改, 就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验, 比如用户使用了何种终端. 典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门, 当终端设置为"letmein"时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门, 对来自特定源端口的连接产 生一个shell . <6>服务后门 几乎所有网络服务曾被入侵者作过后门. Finger, rsh, rexec, rlogin, FTP, 甚至 inetd等等的作了的版本随处多是. 有的只是连接到某个TCP端口的shell,通过后门口 令就能获取访问.这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetd.conf 作为一个新的服务.管理员应该非常注意那些服务正在运行, 并用MD5对原服务程序做 校验. <7>Cronjob后门 Unix上的Cronjob可以按时间表调度特定程序的运行. 入侵者可以加入后门shell程序 使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问. 也可以查看cronjob中 经常运行的合法程序,同时置入后门. <8>库后门 几乎所有的UNIX系统使用共享库. 共享库用于相同函数的重用而减少代码长度. 一些 入侵者在象crypt.c和_crypt.c这些函数里作了后门. 象login.c这样的程序调用了 crypt(),当使用后门口令时产生一个shell. 因此, 即使管理员用MD5检查login程序, 仍然能产生一个后门函数.而且许多管理员并不会检查库是否被做了后门.对于许多入 侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验. 有一种 办法是入侵者对open()和文件访问函数做后门. 后门函数读原文件但执行trojan后门 程序. 所以 当MD5读这些文件时,校验和一切正常. 但当系统运行时将执行trojan版本 的. 即使trojan库本身也可躲过 MD5校验. 对于管理员来说有一种方法可以找到后门, 就是静态编连MD5校验程序然后 运行. 静态连接程序不会使用trojan共享库. <9>内核后门 内核是Unix工作的核心. 用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的, 所幸的是内核的 后门程序还不是随手可得, 每人知道它事实上传播有多广. <10>文件系统后门 入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现. 入侵者的文章 常是包括eXPloit脚本工具,后门集,sniffer日志,email的备分,原代码,等等. 有时为 了防止管理员发现这么大的文件, 入侵者需要修补"ls","du","fsck"以隐匿特定的目 录和文件.在很低的级别, 入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分, 且表示为坏的扇区. 因此入侵者只能用特别的工具访问这些隐藏的文件. 对于普通的 管理员来说, 很难发现这些"坏扇区"里的文件系统, 而它又确实存在. <11>Boot块后门 在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变. Unix下, 多数管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区. <12>隐匿进程后门 入侵者通常想隐匿他们运行的程序. 这样的程序一般是口令破解程序和监听程序 (sniffer).有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名. 可以将sniffer程序改名类似in.syslog再执行. 因此 当管理员用"ps"检查运行进程时, 出现 的是标准服务名. 可以修改库函数致使 "ps"不能显示所有进程. 可以将一个后门或程序嵌入中断驱动程序使它不会在进程表 显现. 使用这个技术的一个后门 例子是amod.tar.gz :http://star.niimm.spb.su/~maillist/bugtraq.1/0777.Html也可以修改内核隐匿进程. <13>网络通行后门 入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的网络通行. 这些网络通行后 门有时允许入侵者通过防火墙进行访问. 有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行, 管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报 文. <14>TCP Shell 后门 入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他 们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口, 许多防火墙允许 e-mail通行的. <15>UDP Shell 后门 管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接, 所以 netstat不能显示入侵者的访问痕迹. 许多防火墙设置成允许类似DNS的UDP报文的通 行. 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙. <16>ICMP Shell 后门 Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允许外 界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个 shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不 会暴露. <17>加密连接 管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密 后,就不可能被判定两台机器间的传输内容了.
[1] [2]
(出处:http://www.sheup.com)
[1] [2]