* 6. 检查系统管理员 *
     对你来说了解系统管理员采取了那些安全措施是非常重要的.因此你需要知道他们经常使用哪些普通用户帐号.
     你可以检查root的.forward文件和alias内容.看看sulog文件,注意那些成功su成root的用户.检查group文件中的wheel和admin组(或者其他任何与管理员相关的组).你也可以在passwd文件中查找admin,也许你又能找到一个管理员帐号.现在你应该已经知道这台机器上谁是管理员了.进入他们的目录(如果系统不允许root读所有的文件,用chid.c或者changeid.c将自己的uid变成该用户的),检查他们的.history/.sh     _history/.bash_history文件看看他们经常执行什么命令.也应当检查他们的.profile/.login/.bash_profile文件看看里面都设置了什么alias,是否执行了什么自动安全检查或logging程序.也检查他们的~/bin目录!大多数情况下被编译的安全程序被放到那里面!当然也要看一下他们的每一个目录(ls -alR ~/).
     如果你找到任何与安全有关的东西,请读5小节以设法绕过它们的安全保护.
   * 7. 怎样修正checksum检查软件 *
     一些管理员真得很怕hacker所以装了一些软件来检查二进制文件.如果一个二进制文件被改动了,下次管理员做二进制检查的时候,它将被检测到. 那么你怎么找到是否系统安装了这样的程序,又怎样修改它们以便你能植入你的木马程序呢?
     
     注意有很多的二进制检查程序,而且要写一个也真是非常容易(15分钟就够了),你可以用一个小的script完成这个工作.所以如果这样的软件被安装的话要找到它们是比较困难的.注意有些常用安全检查程序也提供这样的检查.下面是一些应用得很广泛的软件:     
     软件名                    标准路径                        二进制文件名
   
     tripwire     : /usr/adm/tcheck, /usr/local/adm/tcheck  : databases, tripwire
     binaudit     : /usr/local/adm/audit                    : auditscan
     hobgoblin    : ~user/bin                               : hobgoblin
     raudit       : ~user/bin                               : raudit.pl
     l5           : 编译所在目录                             : l5
     你要明白有很多种可能!这软件或数据库甚至可能放在一个正常情况下不被mount的盘上或者在其他主机export的NFS分区上.也可能checksum数据库是储存在一个写保护的介质上的.
     各种可能性都有!但一般情况下你只要检查上述软件是否被安装就可以了,如果没有的话,你就可以改变某些二进制文件.如果你没有找到那些软件,但你又知道这是一个进行了完善安全保护的站点的话,你就不应该改变二进制文件!它们(二进制检查软件)肯定被藏在什么地方了.
     如果你发现了这种软件被安装并且你可以修改它们(比如不是放在只读介质上,或者可以通过一些办法绕过限制 - 比如umount该盘然后重新mount成可写的)的话,你该怎么做呢?
     你有两种选择:
     首先你可以只检查软件的参数,然后对已经修改过的二进制文件执行一次"update"检查.比如用tripwire的话你可以执行" tripwire -update /bin/target ".第二种办法是你可以编辑要被检查的二进制文件名单 - 从中删除你改动过的二进制文件名.
     注意你也应当看看是不是连数据库文件自身也会被检查!如果是的话 - 先update再删除数据库文件名.
     
   * 8. 注意某些用户的安全陷阱(诡计?) *
     这种情况较少发生,这里提出来主要是为了讨论的更完全.
     一些用户(可能是管理员或者hacker)通常不象他自己的帐户被别人使用.所以他们有时候会在他们的启动文件里采取一点安全措施.
     所以要检查所有的以"."开头的文件(.profile,.cshrc,.login,.logout 等等),看看他们执行了什么命令,记录了些什么东西,以及他们的搜索路径是怎么摄制的.如果某个目录(比如$HOME/bin)出现在/bin的前面,你就应该检查一下那个目录的内容了...也许里面装了个程序"ls"或者"w",它会先记录被执行的时间然后再执行真正的程序也许还有些程序用来自动检查wtmp和lastlog文件是否被zap处理过,检查.rhosts,
     .Xauthority文件,或是否有sniffer正在运行...
     千万不要使用一个unix高手的帐号!
     
   * 9. 其他 *
     最后,在讨论受怀疑或被捕的话题之前,还有一些其他的事情值得引起注意.
     
     老的telnet client会export USER变量.一个了解这一点的系统管理员可以编辑telnetd,从而得到所有(通过telnet登录进来的)用户名.一旦他注意到你,他就可以很容易的得知你是从(远方主机的)哪个帐号hack进来的.新的client(客户端程序)已经解决了了这一问题 -
     但是一个聪明的管理员仍然可以得到其他的信息以鉴别用户:UID,MAIL,HOME变量,这些变量仍然被export,这就可以很容易得鉴别 hacker使用的是哪个帐户.因此在你进行telnet前,记得要改变USER,UID,MAIL和HOME变量,如果你正处在home目录下的话也许甚至要改变PWD变量.
     
     在HP Unix(版本低于v10)中你可以建立隐藏目录.我不是说那些以"."开头的目录而是一些有特殊标志的目录.HP在v9版推出了它,但从v10版本以后就去除了(因为只有hacker才是用它 ;-).
     如果你执行"chmod +H directory",则directory目录就不能用"ls -al"列出.为了看这个隐藏目录,你需要为ls增加 -H 参数,例如:"ls -alH".

上一页  [1] [2] [3] 下一页