Литмир - Электронная Библиотека
Литмир - Электронная Библиотека > Маккарти Линда > IT-безопасность: стоит ли рисковать корпорацией? > Стр.54
Содержание  
Сохранить
Шрифт
Размер шрифта   


Цвет фона

Цвет шрифта
Очистить
Настройки  
A
A
1
2
3
...
53
54
55
...
67

238 — rwxr-xr-x 1 root 24576 Jan 18 23:13 shit

239 # chmod 6777 shit

240 # Is — tal shit

241 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit

242 # pwd

243 /home/se/wendy

244 # cd Amp

245 # Is — tal | more

246 total 2398

247 drwxrwsrwx 3 bin 1024 Jan 18 23:13.

248 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

249 — rwxr-xr-x 1 cmeyer 41 Jan 13 12:31 junk

250-rw-r-r- 1 cmeyer 12 Jan 13 12:05 junk.dat

251 — rw-r-r- 1 derek 0 Jan 12 16:07 6310

252 (16 строк вывода удалены и хакер стал пользователем wendy)

253 hacker typos

254 # rm shit

255 # grep dan/etc/passwd

256 # ypcat passwd | grep dan

257danf:*:13602:50::/home/guest/danf:/bin/csh

258 dan:*H.6Haolt2xDu2:13601:50:&:/home/guest/dan:/bin/csh

Строки с № 259 по № 263

Еще несколько тревожных взглядов вокруг (с помощью who).

Строки с № 264 по № 273

Он снова превращается в jeff. Очевидно, что реальный jeff был в системе немного раньше хакера, который входит сейчас в suntzu как jeff. И снова пароля не требуется.

Строка № 274

Другая смена оболочки, чтобы не оставлять отметки о себе в журналах history.

Строки с № 275 по № 281

Хакер пытается убедиться, что /home/se подмонтирован из хоста tsunami. (Если вы помните, в /home/se/wendy он оставил свой исполняемый код. Ему это было нужно для получения доступа с правами суперпользователя к этому новому хосту.)

259 # who

260 wendy ttyp2 Jan 6 13:55 (arawana)

261 derekttyp3Jan 13 17:57 (lajolla)

262 derek ttyp4 Jan 15 13:11 (lajolla)

263 jeff ttyp5 Jan 18 23:09 (valley)

264 #T>

265 $ id

266 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)

267 $ rlogin suntzu

268 Last login: Thu Jan 14 06:35:30 on ttyhl

269 SunOS Release 4.1.2 (SUNTZU.X) #2: Fri Oct 23 22:25:48 PDT 1992

270 You have new mail.

271 suntzu% who

272 jeff ttyp0 Jan 18 23:14

273 (tsunami)

274 suntzu% sh

275 $ df

276 Filesystem kbytes used avail capacity Mounted on

277 /dev/sd6a 14983 11056 2429 82 % /

278 /dev/sd6g 91998 76365 6434 92 % /usr

279 /dev/sd6h 445852 334297 66970 83 % /var

280 /dev/sd4c 1255494 1030410 99535 91 % /home/se

281 tsunami:/home/se 1255494 1030410 99535 91 % Ampjnnt/ home/se

Строки с № 282 по № 287

Хакер применяет свой исполняемый код и получает права суперпользователя на доступ к системе suntzu. В итоге он уже скомпрометировал три системы.

Строки с № 288 по № 292

Он снова ищет пароли. (Кажется, это становится уже знакомым?)

Строки с № 293 по № 317

Хакер переходит к гостевому личному каталогу и выводит список его содержимого. Он замечает в личном каталоге файл под именем dan/test.

Строка № 318

Я удалила несколько строк из соображений конфиденциальности.

282 $ cd /home/se/wendy

283 $ Is — tal shit

284 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit

285 $./shit

286 # id

287 uid=0(root) gid=0(wheel) groups=50(lastaff)

288 # Is — tal /etcfass*

289 — rw-r-r-1 root 15465 Jan 1514:29/etc/passwd

290 — rw-r-r-1 root 15462 Dec 28 17:58/etc/passwd.OLD

291 — rw-r-r-1 root 15514 Nov 12 18:58/etc/passwd.old

292 — rw-r-r-1 root 15215 Sep 9 10:02 /etc/passwd-

293 # cd /home/guests

294 /home/guests: bad directory

295 # cd /home/guest

296 # Is — tal

297 total 56

298 dr-xr-xr-x 10 root 512 Jan 18 23:15..

299 drwxr-xr-x 9 guestl 1024 Jan 15 16:21 guestl

300 drwxr-xr-x 11 тагу 1536 Jan 1417:37 тагу

301 drwxr-xr-x 5 jeffs 512 Jan 12 15:57 jeffs

302 drwxr-xr-x 3 eddie 512 Jan 813:04 eddie

303 drwxr-xr-x 3 sunwise 512 Jan 8 09:36 sunwise

304 drwxrwxrwx 3 brad 512 Jan 6 15:43 dan

305 # Is — tsl dan

306 total 1450

307 1 — rw-r-r- 1 6553434 Jan 6 15:43 test

308 264 — rw-r-r- 1 dan 255563 Jul 8 1992 packet.dat

309 56 — rwxr-xr-x 3 dan 57344 Jul 1 1992 sz

310 56 — rwxr-xr-x 3 dan 57344 Jul 1 1992 sx

311 56 — rwxr-xr-x 3 dan 57344 Jul 1 1992 sb

312 40 — rwxr-xr-x 3 dan 40960 Jul 1 1992 rx

313 40 — rwxr-xr-x 3 dan 40960 Jul 1 1992 rb

314 40 — rwxr-xr-x 3 dan 40960 Jul 1 1992 rz

315 896-rw-rw-rw-1 dan 901682 Jun 16 1992junk,2

3161 drwxr-xr-x 2 dan 512 Oct 25 1990 doswin

317 # cat dan/test

318 Код удален по соображениям безопасности

Строка № 319

Теперь хакер ищет, кому принадлежит UID 65534, Выходит так, что этот пользовательский ID не принадлежит никому.

Строки с № 320 по № 393

Здесь он смотрит, нет ли других пользователей в системе. Его особенно интересуют те учетные записи пользователей, которые не использовались недавно, Это нужно для того, чтобы никто не заметил, как он ими пользуется. Для поиска неактивных учетных записей хакер ищет каталоги, в которых не было недавнего обращения к их файлам. Он также просматривает время последних входов пользователей в систему.

319 # grep 65534 /etc/passwd

320#cd/home/se

321 # Is — tal

322 total 44

323 dr-xr-xr-x 10 root 512 Jan 18 23:15..

324 drwxr-xr-x 17 wendy 2560 Jan 18 23:13 wendy

325 drwxr-xr-x 26 hamant 4608 Jan 18 17:28 hamant

326 drwxr-xr-x 48 neally 9728 Jan 18 11:03 neally

327 drwxr-xr-x 41 derek 3584 Jan 16 03:16 derek

328 drwxr-xr-x 17 kevin 2048 Jan 15 17:04 kevin

329 drwxr-xr-x 31 mark 3072 Jan 15 16:41 mark

330 drwxr-xr-x 19 colleen 1536 Jan 15 16:15 colleen

331 drwxr-xr-x 44 matthews 4608 Jan 15 11:37 matthews

332 drwxr-xr-x 16 mikep 1536 Jan 15 11:24 mikep

333 drwxr-xr-x 2 10406 512 Dec 2 11:35 mikec

334 drwxr-xr-x 24 cmeyer 2048 Dec 1 11:11 cmeyer

335 drwxr-xr-x 15 root 512 Sep 15 17:04.

336 drwxr-xr-x 8 5542 1536 Aug 28 15:13 Joseph

337 drwxr-xr-x 2 root 512 Jul 17 1991 lost+found

338 # last] grep eric

339 ericz ttyh 1 Mon Jan 18 08:30 — 08:32 (00:02)

340 ericz ttyh 1 Aug 30 14:25–14:25 (00:00)

341 ericz ttyhKC

342 # id344 # grep eric /etc/passwd

345 Uace: LEkQ/KdKGcyV2:4:4:ACE:/usr/spool/uucppublic: /usr/ lib/ uucp/uucico

346 Uaim:93uUCUdUU6zdl:4:4:AIM:/usr/spool/uucppublic: /usr/ lib/ uucp/uucico

347 ericz: vt0R/k7x2W1 kY:3063:50::/home/region3/ericz:/bin/csh

348 ericc:23JjW1a5hqUSQ:4094:10:&:/home/guest/eric:/bin/csh

349 # last ericc

350 ericc ttypl ptero Mon Aug 3 18:52–18:52 (00:00)

351 wtmp begins Wed Jul 1 18:46

352 # last richp

353 richp ttypO awe Sat Jan 16 19:33 — 19:34 (00:00)

354 richp ttyp4 vela Mon Jan 11 15:59 — 16:00 (00:00)

355 richp ttyp8 vela Wed Oct 7 13:28 13:58 (00:29)

356 richp ttyhl Mon Oct 5 15:39–15:41 (00:01)

357richpttyhl MonOct5 14:15–14:18(00:02)

358 richp ttyhl Mon Oct 5 13:54 — 13:58 (00:03)

359 richp ttyp3 vela Mon Oct 5 09:43 — 09:44 (00:00)

360 richp ttyhl Wed Sep 30 17:57 — 17:57 (00:00)

361 richp ttyp2 velaTue Sep 29 14:31–14:32 (00:00)

362 richp ttyhl Thu Sep 24 13:48 — 13:51 (00:02)

363 richp ttypl valley Wed Sep 23 19:47–19:48 (00:00)

364 richp ttyhl Wed Sep 23 13:28 — 13:48 (00:20)

365 richp ttyhl Mon Sep 21 11:27 — 11:29 (00:02)

366 richp ttyp6 vela Fri Sep 4 09:15 — 09:16 (00:01)

367 richp ttyp5 vela Thu Sep 3 12:31–13:00(00:28)

368 richp ttyp5 vela Thu Sep 3 12:11–12:11 (00:00)

369 richp ttyp5 vela Thu Sep 3 11:42–11:43 (00:00)

370 richp ttyp5 vela Thu Sep 3 10:01–10:04(00:02)

371 wtmp begins Wed Jul 1 18:46

372 # last Iwake

373 Iwake ttyp2 runcible Tue Dec 1 15:00 — 15:06 (00:06)

374 Iwake ttyp3 runcible Wed Sep 30 13:01 — 13:15(00:13)

375 Iwake ttyp2 runcible Tue Sep 22 09:12 — 09:14 (00:02)

376 Iwake ttyp2 runcible Fri Jul 24 14:40–14:40 (00:00)

54
Перейти к описанию Предыдущая страница Следующая страница
{"b":"584735","o":1}