Posts for: #Security

一次入侵过程

(quack_at_xfocus.org)

入侵过程


by quack

本文的写作目的仅仅是为了给某些粗心大意的网络管理人员一个警告――internet是

有趣但十分脆弱的,当你的计算机放在互联网上给人们提供信息与服务的同时,会引

来网络中的“好奇者”的窥探。而安全性与便利性是一对矛盾……在你对自己的网络

做了一个安全策略考量之后,你应该确定你愿意以多大的风险来使用一些方便的服务,

当然这些服务――比如rlogin,可能只会使你少输入一次密码……

首先是确定目标――撞大运乱挑一个吧,试试能不能成功……呵,于是登上yahoo,上

taiwan的站点小遛了一下……唔,这个还不错,我们姑且称其为www.targe.com……还

是先ping一下看看情势如何――别碰上有墙的就逊了……

C:>ping www.targe.com

Pinging www.targe.com [111.111.111.111] with 32 bytes of data:

Reply from 111.111.111.111: bytes=32 time=621ms TTL=241

Reply from 111.111.111.111: bytes=32 time=620ms TTL=241

Reply from 111.111.111.111: bytes=32 time=611ms TTL=241

Reply from 111.111.111.111: bytes=32 time=591ms TTL=241

速度还是很快的嘛……那就开始吧……

先登上某台跳板台湾的机器――这样安全一些,不会留下你自己的IP……(当然,说句

题外话――这样要追查到还不是很困难,曾经有个朋友同我说过,南方某大学一次被

黑,种种迹象都表明黑客来自美国,IP、更改后主页上留下的话语……朋友受托去补

漏查源,发现那IP是美国一个提供免费shell的服务供应商……于是申请了一个shell,

通过一系列动作成为root,查看系统日志――真相大白,IP居然指向那家大学自身)。

通过跳板还有一个好处――如果你的尝试失败,在系统日志里留下来的是台湾本土的

IP,这样的登陆失败命令比较不会引起系统管理员的注意……

C:>nc ... 12345

就登上跳板了,12345端口里我预留了一个suid的shell……

好了,祭起宝刀――nmap……

./nmap -sT -O 111.111.111.111

Starting nmap V. 2.3BETA12 by Fyodor ([email protected], www.insecure.org/nmap/)

Interesting ports on www.targe.com (111.111.111.111):

[阅读全文]

了解你的敌人:III

本文是 Honeynet Project 的"了解你的敌人:III"系列文章的中文翻译,原文发布于 project.honeynet.org,中文翻译来自 xfocus.net

本文是对入侵者进行研究系列文章中的第三篇。第一篇讲述了入侵者们的探测行为、分类及利用漏洞的过程,第二篇聚焦于如何探测这些入侵企图、鉴别他们使用了哪些工具、他们所寻找的漏洞有哪些……这篇文章,则讲述了当他们获得root权限后,所做的事情,重点放在他们是如何隐藏踪迹以及之后如何做。可以从这里下载原始数据进行分析。

入侵者是谁

就象我们在第一篇文章里所说的,多数的入侵者并没有考虑太多的策略方面的问题,他们更重视的是轻易地入侵,而非针对某些特定的信息或者某个特定的公司。他们把注意力集中于最有效的几个漏洞利用程序上,然后在互联网上寻找相应的主机――迟早他们会找到适合入侵的机器的……

当他们获得root权限这后,第一件事往往是抹去他们的踪迹,他们需要确保系统管理员没有发现系统被侵袭,并且不希望留下任何日志或者他们活动的记录。然后,他们会使用你的机器来扫描网络中的其它系统,或者静静地潜伏,以求获得更多的资料。为了更好地了解他们是如何侵害系统的,我们将沿着一个入侵者的入侵步骤来观察。我们的系统――mozart,上面运行的操作系统是RedHat 5.1。系统在1999年4月27日受到攻击,下面的一些入侵过程的记录,是从系统日志及击键记录中提取的,我们对系统日志及击键都做了验证,所有的系统日志都是在一个受保护的syslog服务器上的,所有的击键都是由一个被嗅探器――称为sniffit捕获的。如果你想了解更多关于这些记录获得的技巧的话,请参见另一篇文章――建立网络陷阱。在本文中,我们称这个入侵者为“他”――因为我们无法得知其真正的性别。

漏洞利用

在4月27日的00:13,有一个家伙在域名为1Cust174.tnt2.long-branch.nj.da.uu.net的地方对我们进行扫描,针对了包括imap漏洞在内的几个特定的漏洞,这些入侵者是比较讨厌的,因为他们一下扫描了整个网段,(想了解更多关于这次探测的信息,可以参见系列文章中的第二篇 )。

Apr 27 00:12:25 mozart imapd[939]: connect from 208.252.226.174

Apr 27 00:12:27 bach imapd[1190]: connect from 208.252.226.174

Apr 27 00:12:30 vivaldi imapd[1225]: connect from 208.252.226.174

很显然地,他找到了一些他所乐见的东西,并且在06:52和16:47又回来了。他开始了一次针对mozart机器的彻底扫描,并且确定了这台机器存在着mountd的安全漏洞,这个漏洞是Red Hat 5.1中存在的一个会危及root安全的漏洞,我们可以从/var/log/messages中看到,这个入侵者应该已经获得了超级用户权限,他所使用的工具看上去象是ADMmountd.c或者一些极其类似的程序。

Apr 27 16:47:28 mozart mountd[306]: Unauthorized access by NFS client 208.252.226.174.

Apr 27 16:47:28 mozart syslogd: Cannot glue message parts together

Apr 27 16:47:28 mozart mountd[306]: Blocked attempt of 208.252.226.174 to mount

[阅读全文]

PCWEEK 安全测试始末

quack (quack_at_xfocus.org)

PCWEEK 安全测试始末

译者:dream bird

一、引言

近来(99年9月末),美国的PCWEEK杂志进行了一次关于操作系统安全的评测,他们所选择的系统是Redhat6.0和windows NT4.0。评测的结果很具有戏剧性。我本想把其中的主要文章翻译出来,方便大家了解。但是,当翻译了一部分以后,发现这次评测所涉及的背景相当复杂,如果单独看一两篇文章不可能真正的了解这次评测。所以我决定把相关的材料进行综合,以方便大家阅读。本文中大多为译文,并不完全代表我的观点,其原文版权归原文作者所有。

二、背景

美国PCWEEK杂志(ZDNet 的下属刊物),是以对PC产品的评测而闻名的。但就象其名字一样,他们的评测往往仅限于PC和相关的产品,对于向Linux这样的具有UNIX风格的类UNIX系统,他们是缺少经验的,这就直接的决定了其针对这类系统的评测的可信度。

在前一段时期,PCWEEK曾经进行过一次有关网络操作系统运行效率的测试(中文版见 http://www.zdnet.com.cn/),参评的系统有NetWare5、Redhat5.2、windows NT4.0和SUN的solaris7。其结果令很多人吃惊,NT4.0的性能似乎比solaris7的都要好。很多人都对其评测的结果表示怀疑,Novell的副总裁还亲自指出了评测中的一些失误。同时很多具有实际经验的用户指出,系统的效率只是评价系统的一个方面,在实际环境下,可靠性、成本和其他一些指标往往更加起决定性的作用。有些人更加直接的取笑PCWEEK为PCWEAK或PCLEAK。

似乎是针对上次的评测的不良反响,PCWEEK决定进行一次关于系统的可靠性、可用性、安全性和总体拥有成本的系列评测,而评测的第一项就是有关RedHat6.0和windowsNT4.0的安全性。

与上次评测不同的是,他们避免了单独的测试web服务器和操作系统,转而采取了另外一种方法。他们在不同的系统上建立实际的并且类似的应用,然后针对不同的系统上建立的类似的应用来评测该系统。这种方法看似合理,但却对进行评测的技术人员要求较高,进行起来有一定的难度。实践证明,正是由于这点导致了评测的戏剧性的结果。

三、经过

本文以下部分综合了与这次评测有关的内容,原文您可以从 http://www.hackpcweek.com/http://www.redhat.com/ 找到。

PCWEEK为本次评测准备的开场白很有趣:

“悬赏一千美金,来攻击我们的服务器

如何对系统的安全进行测试呢?我们首先在两种操作系统上安装类似的应用程序,然后让全世界来攻击。与过去不同的是,本次评测中服务器上运行的是现实世界里的程序,具体说来,是一个为报刊类站点设计的分类广告系统。这个测试不但是对操作系统的考验,同时也是对整体的测试。在NT平台,我们将采用ASP、IIS、MTS和SQLServer 7;在Linux平台上,我们将采用Apache和mod_perl。

游戏规则

所要攻击的目标是securelinux.hackpcweek.com和securent.hackpcweek.com。赢得1000美金礼卷的条件是成功的修改主页,或者取得一个名为top secret的绝密文件。我们拒绝任何人在没有取得成功的情况下,破坏服务器的运行。”

PCWEEK给出了简单的服务器配置清单。针对NT的配置清单很长,完全可以说这种配置是完美的了;而对于RedHat的配置短到了只有20行,每行大都只有三五个单词,可以说一般的用户配置都会接近这个水准。以下是对RedHat的配置清单:

“在磁盘上配置多个分区/usrvartmpvar(原文如此)。

安装RedHat 6.0 ,并且不安装SMTP、FTP和NEWS等服务。

安装Photoads (一个第三方软件,由perl写成的CGI,实现用户载入分类广告的功能,详见 http://www.hoffice.com/),

Chmod 777 the photoads directory ,

Chmod 755 cgi-bin ,

Chmod 766 kas_data.pl ,

Chmod 766 adnumber.num ,

Chmod 766 ads_data.pl ,

Chmod 755 all *.cgi files ,

为photoads配置缺省目录,

将上载文件的长度设置为0,

删除不需要的用户 。

Set root password to (to what?)。

在inetd.conf中禁止所有的服务。

以用户nobody来配置并运行 Apache服务器,

禁止SSI(server side includes )。

[阅读全文]

Narrow安全扫描器-2000pre1

文章提交:quack (quack_at_xfocus.org)

Narrow安全扫描器-2000pre1

===============================================================================

                                 quack译

                            

      1.0  关于NSS

      1.1  NSS的历史

      1.2  NSS的作者

      1.3  声明

      2.0  怎样使用NSS

      2.1  运行NSS需要的工具

      2.2  怎样使用子域扫描

      2.3  推荐配置

      2.4  NSS的臭虫

      3.0  镜像站

      3.1  怎样同作者联络

      3.2  感谢

================================================================================

1.0 - 关于Narrow Security Scanner


Narrow安全扫描器是用perl写成,能够在的服务器上查找249个已知漏洞的扫描工具。它

可以在所有支持perl 5及其更高看版本的系统运行。其Script在以下系统经过测试:

RedHat (4.2, 5.0, 6.0)

FreeBSD 3.0

OpenBSD 2.5,

Slackware 4.0

SusE 6.1.

1.1 - Narrow Security Scanner的历史


我对编写NSS感觉充满乐趣――开始时是一个炎热的夏天,我想试试我的perl以及安全经验――写

下它前我写了NGC―Narrow CGI Check,NSS的第一个版本就在六月份向我的一些朋友发布了,他们

建议我完善它,于是我这么做了――经过好些个不眠之夜:)。第一个版本只能检查12个漏洞。

在我将一个副本发给".rain.forest.puppy." aka .r.f.p后不久,他回复了――稍微做了些改动,

使它运行得更顺畅并且更小。第一次公开发布的NSS版本是2.2版。

1.2 - Narrow Security Scanner的作者


呵,抱歉,我不会告诉你我的真实姓名的……;)

[阅读全文]

sniffit的安装使用简述(linux)

文章提交:quack (quack_at_xfocus.org)

sniffit的安装使用简述(linux)

===========================

by quack

http://www.xfocus.org 安全焦点

Sniffit是由Lawrence Berkeley Laboratory开发的,可以在Linux、Solaris、SGI等各种平台运行的 网

络监听软件,它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听――当然,数据包必须

经过运行sniffit的机器才能进行监听,因此它只能够监听在同一个网段上的机器。而且还能够自由地为

其 增加某些插件以实现额外功能。

一、安装 软件的安装很简单:

1、用tar zvfx sniffit....tgz将下载下来的sniffit....tgz解压缩到你想要的目的文件夹, 如

果版本是0.3.7的话(应该是最新版本吧,我不敢确定……),你会看到该目录下出现一个

sniffit.0.3.7的目录。

2、cd sniffit.0.3.7

3、./configure && make ,只要在这个过程中终端上没有意外的error信息出现,你就算编译成功 了―

―可以得到一个二进制的sniffit文件。

4、make clean把不用的垃圾扫掉……

二、使用方法

1、参数

这个东东具有如下的命令选项:

-v 显示版本信息

-t <ip nr/name> 让程序去监听指定流向某IP的数据包

-s <ip nr/name>让程序去监听从某IP流出的IP数据包,可以使用@通配符,如 -t 199.145.@

-i 显示出窗口界面,能察看当前在你所属网络上进行连接的机器

-I 扩展的交互模式,忽略所有其它选项,比-i强大得多……

-c 利用脚本来运行程序

-F 强制使程序使用网络硬盘

-n 显示出假的数据包。象使用ARP、RARP或者其他不是IP的数据包也会显示出来

-N 只运行plugin时的选项,使其它选项失效

在-i 模式下无法工作的参数:

-b 同时做-t和-s的工作……

-d 将监听所得内容显示在当前终端――以十六进制表示

-a 将监听所得内容显示在当前终端――以ASCII字符表示

-x 打印TCP包的扩展信息(SEQ, ACK, Flags),可以与’-a’, ‘-d’, ‘-s’, ‘-t’, ‘-b’一起运作,注意―

[阅读全文]