IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Взломщик редактирует программу С, чтобы изменить ID пользователя на 21477. Эта новая настройка позволяет ему переключить пользователя на "lorimo".
Строки с № 62 по № 66
Еще больше опечаток. Этому парню надо пойти на курсы для машинисток.
Строки с № 67 по № 75
Здесь хакер компилирует новую версию своего исполняемого кода, дает результату (a.out) другое имя, которое он не забудет (у него превосходный словарь). Исполнив два из своих рабочих скриптов, он изменяет свой ID пользователя.
50 # last lorin
51 wtmp begins Sat Jan 16 11:37
52 # grep lor /etc/passwwd
53 grep: /etc/passwwd: No such file or directory
54 # grep lor /etc/passwd
55 # ypcat passwd | grep lor
56 lori: N.4Pgz4iUS8kk:5734:50:Lori:/home/lori:/bin/csh
57 lorimo: xxTTF8y3fSqGo:21477:50:Lori:/home/lorimo:/bin/csh
58 # ed
59/uid/
60 setuid(0);
61 setuid(21477);
62 # сс сс
63 сс: Warning: File with unknown suffix (.cc) passed to Id
64 Id:.cc: No such file or directory
65 # cc "c
66>"C
67 # cc c.c
68 # mv a.out shit
69 # chmod 6777 shit
70 #./suck
71 # id
72 uid=0(root) gid=0(wheel) groups=7
73 #./shit
74$ id
75 uid=21477(lorimo) gid=0(wheel) groups=7
Строки с № 76 по № 88
Теперь он ищет, куда еще можно пойти, посылая команды rlogin в другие системы и определяя те из них, которые бы доверяли lorimo (файлы. rhosts и /etc/hosts.equiv используются для установления доверия между системами). Если lorimo доверяют другие системы, то хакеру будет предоставлен доступ к этим системам без ввода пароля. Это называется «барабанить в двери» ("door rattling"). Если ему повезет, то он получит доступ к еще большему объему информации и создаст места для запуска будущих атак изнутри.
Строка № 89
Хакер сменил свою авторизацию обратно на суперпользователя (root).
Строки с № 90 по № 92
Он снова оглядывается (отсюда и команда "who"), затем проводит двойной контроль правильности полученной информации ID пользователя.
Строки с № 93 по № 94
Хакер ищет lorimo в таблице паролей сетевой информационной службы NIS.
Строка № 95
Хакер переходит в каталог /home.
76 $ rlogin tsunami
77 Password:
78 Login incorrect
79 Login incorrect
80 login: AD
81 Connection closed.
82 $ rlogjn suntzu
83 rlogjn: not found
84 $ rlogin suntzu
85 Password:
86 Login incorrect
87 login: D
88 Connection closed.
89 $"D
90 «who
91 ingres ttyp0 Jan 18 23:02
92 root ttyp2 Jan 15 18:38 (canyon)
93 # ypcat passwd | grep lorimo
94 lorimo: xxYTF8y3fSqGo:21477:50:Lori:/home/lorimo:/bin/csh
95 # cd /home
Строка № 96
Хакер начинает подготовительную работу по поиску файлов .rhost, имеющихся в /home. Смысл такого поиска состоит в том, что некоторые люди, использующие файл .rhost (для установки доверия), могут
иметь много записей в .rhost по всей сети. После запуска этой задачи он пошел дальше.Строки с № 97 по № 98
Хакер продолжает делать опечатки.
Строки с № 99 по № 100
Нашему другу надоело быть lorimo. Он проверяет файл паролей на наличие jeff. Он решает выдать себя за jeff. Но вначале он должен отредактировать свой код.
Строки с № 101 по № 11З
Он пытается редактировать свой код, но он не в том каталоге. Он переходит в правильный каталог, редактирует код, исполняет код и становится пользователем jeff.
Строки с № 114 по № 119
Став jeff хакер сделал правильный выбор. Он вошел в новую систему (tsunami), даже не пользуясь паролем. (Это отличный пример того, как опасно устанавливать доверительные отношения между системами.)
96 # find.
– name.rhosts — print &
97 # gupr
98 # grep" C
99 # ypcat passwd | grep jeff
100 jeff: wW/q0t03L6xO.:13147:50:Jeff:/home/jeff:/bin/csh
101 # ed c.c
102 ?c,c: No such file or directory
103 #cd
104 # edc.c
105 /uid/
106 setuid(21477);
107 setuid(13147);
108 #ссс. с
109 # mv a.out shit
110 #chmod 6777 shit
111 #./shit
112 $ id
113 uid=13147(jeff) gid=0(wheel) groups=7
114 $ rlogj tsunami
115 rlogj: not found
116 $ rlogin tsunami
117 No directory! Logging in with home=/
118 SunOS Release 4.1.2 (TSUNAMI) #3: Sat Oct 24 07:56:45 PDT 1992
119 You have new mail.
Строки с № 120 по № 126
Хакер (который сейчас является пользователем jeff), запускает командную оболочку sh, чтобы не оставлять след в журналах. history оболочки csh. (Хакер тщательно следит за тем, чтобы не оставить свидетельств применения своих команд.) Затем он проверяет, нет ли кого еще в системе.
Строки с № 127 по № 136
Хакер пытается скопировать файл паролей и получает отказ в разрешении, так как у него нет разрешения копировать в этот каталог. Он проводит проверку с целью установить, под каким именем он зарегистрировался (должно быть, он уже его забыл). Он видит, что зарегистрировался как Jeff. Так как Jeff не имеет разрешения копировать файлы в этот каталог, то хакер меняет каталог на /tmp, в который любому пользователю разрешено производить копирование.
Строки с № 137 по № 141
Здесь он немного расправляет крылья и ищет таблицу паролей, чтобы ее скопировать и использовать. (Он копирует файл паролей NIS в файл, названный "ааа".) Хакеры часто копируют файлы паролей, чтобы подвергнуть их действию программ-взломщиков и получить больше паролей. Чем больше паролей есть у хакера, тем лучше он преуспеет в набегах на другие системы.
120 tsunami%AC
121 tsunami%sh
122 $ who
123 wendy ttyp2 Jan 6 13:55 (arawana)