Posts for: #Security

入侵分析

(quack_at_xfocus.org)

by quack[email protected]

http://xfocus.org

一、意外

时间:2001-3-11下午

地点:某台RedHat Linux机器:

#uname -a

Linux ..cn.net 2.2.5-15 #1 Mon Apr 19 23:00:46 EDT 1999 i686 unknown

俺习惯性地先进到/etc/rc.d/init.d,看了一下,马上发现异状:

#ls -la

……

-rwxr-xr-x   1 root     root         2775 Mar 26  1999 netfs

-rwxr-xr-x   1 root     root         5537 Mar  3 21:23 network

-rwxr-xr-x   1 root     root         2408 Apr 16  1999 nfs

……      

二、初步检查

明显是个新手干的嘛,network文件被人动过了,咱们用stat命令看看先:

#stat network

  File: “network”

  Size: 5537         Filetype: Regular File

  Mode: (0755/-rwxr-xr-x)         Uid: (    0/    root)  Gid: (    0/    root)

[阅读全文]

DNS(BIND)的安全性之一

quack (quack_at_xfocus.org)

DNS(BIND)的安全性之一

                            —–如何部署DNS服务器

    外面老吵吵嚷嚷说狼来了,但是狼究竟是怎么来的,也许很多人都不清楚,

以前的讨论里面都局限于针对各种漏洞的分析,但是少有系统的全面的对某个

问题的讨论,这段时间心情不错,决定专门整理出一个专题来,就是专门讨论

DNS的安全性。

    也许有的人会觉得奇怪,DNS的安全性好像很少听人提到,其实,DNS的安全

尤胜过其它的网络安全。我先随便说说DNS的安全隐患:

1.防火墙不会限制对DNS的访问

2.DNS可以泄漏内部的网络拓朴结构

3.DNS存在许多简单有效的远程缓冲溢出攻击

4.几乎所有的网站都需要DNS

5.DNS的本身性能问题可是关系到整个应用的关键

6.国内关于DNS安全的资料太少,只怕狼真的来了的时候,大家来不及操家伙

    哎呀,一下子扯开了,大家就当看评书把,;)

    安全的一个重要标志是可用性。对于DNS服务器而言这点尤其重要,在现实

生活中经常定义攻击者入侵系统获取数据为一个安全问题,但是对于DNS服务器

来说,遭到了拒绝服务攻击则是一件更严重的问题。

失去了DNS服务器的话,任何在internet网络上的人将不能够再使用域名找到你

的服务器,不可想像让普通的网民们使用202.106.184.200来代替www.sina.com.cn

使用。更严重的是,没有了DNS的服务,所有的邮件发送都将失败,而你的内部

网络将由于解析域名的失败而失去和外部网络的联系。

DNS的一些注意事项

    注册了一个域名以后,可以最大为你的域名设置6个DNS服务器名。

例如,microsoft.com公司的就为自己设置了五个DNS服务器来解析自己的域名:

Name Servers:

DNS4.CP.MSFT.NET   207.46.138.11

DNS5.CP.MSFT.NET   207.46.138.12

Z1.MSFT.AKADNS.COM   216.32.118.104

Z7.MSFT.AKADNS.COM   213.161.66.158

DNS1.TK.MSFT.NET   207.46.232.37

    这样,即使这三个中的两个停止了工作,但是了,仍然可以有一个会对外提供服务,

而对于广大的用户而言,当出现这种多个DNS服务器停止服务带来的唯一的影响

就是查询域名的时候会延迟,因为它需要一个一个的去查询,直到找到最后的一个为止。

而上面这一个步骤也是你应付恶意攻击者对DNS服务器进行拒绝服务攻击的一个

保护手段。

    一个能够放到电信局使用的DNS服务器,一般的基本配置是一个U,

它应该有足够的RAM来将数据库放入内存中。一般来说,512M是足够用了,

而且值得考虑的是,在你的DNS服务器前面加道防火墙,让防火墙把那些

成天只知道攻击的人阻挡在外面。

    如果你有多个DNS服务器来进行解析域名的工作的话,一个值得考虑的

问题是,如果这些服务器都是处于接近100%的处理量,每个都接近饱和的时候,

那么你应该考虑多再给你的dns服务器减压的问题:一是为了应用上考虑,

其次从安全上来说,如果这样的系统,只要攻击者让一台DNS服务器瘫痪了,

那么繁重的处理工作自然会压垮其它的DNS服务器的。

    如果纯粹从理论上出发,那么一台DNS服务器是完全可以完成所有任务的,

但是对于实际应用而言,应该是在考虑到在失去了一台服务器的情况下,剩下的

应该还能够正常的工作(这就是在做大项目的时候经常说的冗余性和高可用性)。

    前段日子,微软就遭受了沉重的专门针对DNS服务器的攻击,这次是

放在4台DNS服务器前的防火墙成了攻击目标,大量的数据包涌向这个路有器,

从而干扰了正常的DNS通信。导致微软的好几个主要站点都无法给外界提供服务。

    上面是关于DNS设计时的一个基本原则,下面我们来分析一下这则新闻。

    

                    微软求助Akamai帮忙加固其网络


http://www.sina.com.cn 2001/01/30 17:15 ChinaByte

  【ChinaByte综合消息】日前,微软的附属网站多次发生瘫痪,一度无法登录。

微软发言人称这是其DNS服务器所引起的故障。该公司承认,它配置基础设施的方式

,给了黑客可乘之机。该公司在某单一网络上运行着所有4台重要的DNS服务器。

攻击微软网站的黑客,显然将矛头对准了该网络中用来指引数据流量的路由器,

[阅读全文]

nc使用技巧

文章提交:quack (quack_at_xfocus.org)

nc使用技巧

by quack[email protected]

http://www.xfocus.org  安全焦点

nc这个小玩意儿应该大家耳熟能详,也用了N年了吧……这里不多讲废话,结合一些script说说它的使用技巧。

(文中所举的script都来自于nc110.tgz的文件包)

一、基本使用

Quack# nc -h

[v1.10]

想要连接到某处:   nc [-options] hostname port[s] [ports] …

绑定端口等待连接:     nc -l -p port [-options] [hostname] [port]

参数:

        -e prog                 程序重定向,一旦连接,就执行 [危险!!]

        -g gateway              source-routing hop point[s], up to 8

        -G num                  source-routing pointer: 4, 8, 12, …

        -h                      帮助信息

        -i secs                 延时的间隔

        -l                      监听模式,用于入站连接

        -n                      指定数字的IP地址,不能用hostname

        -o file                 记录16进制的传输

        -p port                 本地端口号

        -r                      任意指定本地及远程端口

        -s addr                 本地源地址

        -u                      UDP模式

[阅读全文]

TIS防火墙详述

文章提交:quack (quack_at_xfocus.org)

TIS防火墙详述

by quack([email protected])

什么是防火墙――不知道;)

什么是TIS?――这是一组由(Trusted Information Systems)写的一组构造防火墙的工具

包,又叫firewall toolkit,这个工具箱里的软件适当的安装并配置以一定的安全策略

就可以构成基本的防火墙了,而且它是免费的;)花点心思看一看,说不定可以省下一笔不

菲的防火墙购置资金哦……

一、编译运行

1、下载

可以到TIS的web站点下载http://www.tis.com,但它有一些很麻烦的认证过程,建议

直接到国内的安全站点转转,或者到http://packetstorm.securify.com/去下载,我

得到的版本是fwtk2.1.tar.Z的版本,此后的说明均以此版本为例,且在solaris7 x86

上通过,gcc版本为2.95.2。

2、编译

gunzip fwtk2.1.tar.Z

tar vfx fwtk2.1.tar

cd fwtk

将fwtk2.1.tar.Z解压后,可以在./fwtk目录下发现有很多Makefile.config.*文件,

比如你使用的操作系统是solaris2.7,那么就直接将Makefile.config更名后,把

Makefile.config.solaris更名为Makefile.config就行了。

mv Makefile.config Makefile.config.old

mv Makefile.config.solaris Makefile.config

在solaris下的编译相当容易――至少solaris7与solaris8下面不用修改任何东西就

可以编译通过了。

make && make install

如果你使用的是linux,仅仅把Makefile.config.linux当成当前Makefile.config还

不够,因为如果你要使用X的gw.那么你必须有 Athena Widget的设置。否则编译会

出问题。因此,可以修改Makefile让系统不编译x-gw。

所以可以

vi Makefile

查找下面这行:

directories to build executables in

DIRS=   smap smapd netacl plug-gw ftp-gw tn-gw rlogin-gw http-gw x-gw

把后面的x-gw去掉就可以了。

如果是在bsd下,特别要注意,bsd的make 不认识象:.include “Makefile.config”

[阅读全文]

分析某台机器上发现的工具包

(quack_at_xfocus.org)

分析某台机器上发现的工具包

by quack([email protected])

前些日子测试那个bind的漏洞,顺便就帮一哥们检测了一下他的主机――红帽子

6.0的机器,一不小心居然又进去了――!@#$%^%,真是搞不懂为什么现在漏洞资

料已是满天飞的情况下,网上怎么还有这么多“公鸡”。

依照习惯,先w看看有谁在:

w

嘿,好象就我一个人呀,看看有什么进程在跑吧……

ps -aux

cracker$ ps -aux

USER     PID %CPU %MEM   VSZ  RSS  TT  STAT STARTED      TIME COMMAND

ronin    418  0.0  0.9   420  240  p0  R+    7:15PM   0:00.01 ps -aux

root       1  0.0  0.9   520  264  ??  Is    5:00PM   0:00.03 /sbin/init –

root       2  0.0  0.0     0    0  ??  DL    5:00PM   0:00.01  (pagedaemon)

root       3  0.0  0.0     0    0  ??  DL    5:00PM   0:00.00  (vmdaemon)

[阅读全文]