div.main {margin-left: 20pt; margin-right: 20pt}*nix hack: Как удержаться на *nix-машине Источник: http://nix.h1.ru
Автор: T2 email: t2@xakeps.com
Итак, рассмотрим всё
же взлом и защиту *nix-систем. Да, и они взламываются. Итак, ты поимел
никсовую машину и сидишь там, как крутой перец, с надеждой, что тебя никто
оттуда не выкинет. Допиваешь пивко и ложишься спать, потирая свои мерзкие
ручонки. Приходишь туда на следующий день, и над тобой пролетает древняя
птица обломинго. Что же ты неправильно сделал, и что, по-моему, нужно
делать. И так ОЧЕНЬ большая ошибка это то, что все пытаются прописать себя
в /etc/passwd или в некоторую тень это файла /etc/shadow. Выбирают логин
lol или свои ники и пароли типа qwerty. Админы не все такие тупые, поверь
мне. И так ты получил привилегии, начнём игру всерьез: Изменяем
атрибуты файлов, для этого воспользуемся suid-bit. Программа, имеющая s
bit, может быть подвержена подмене uid. Т.е. копия этого файла, которая
висит у тебя на шелле, может дать uid root’a. Также фиктивный uid можно
получить путём изменения параметров device’ов. Драйвер доступа к memory,
расположенный в dev/mem, при постановке на него атрибутов 0666 позволяет
что угодно делать с памятью. Отдельную часть имеют системные файлы. С
их помощью ты можешь творить чудеса, crontab поможет тебе когда угодно
запустить любой процесс или же внести изменения. Таким образом, ты можешь
затирать следы своего присутствия путём замены журналов на фиктивные в
указанное в cron время. Для крутых перцев, которые юзают никсы,
разбирают исходники, есть возможность edit’а самого ядра системы. Это
даёт возможность запрета или что ты придумаешь вызовов. Например, при мною
изменённом ядре, ps и ls показывали фиктивную инфу. Если ты лазаешь на
машину через другую сеть, можешь изменить файл ~user/.rhosts для
установления доверенных отношений со своей сетью, что позволяет вообще без
идентификации заходить в систему. Конечно, ты не обойдешься без
руткита, старого доброго lrk4. Однако троянить тоже надо со смыслом, для
этого создай каталог “.”. Дело в том, что он не виден по команде ls, но
виден по команде find, которую ты просто обязан протроянить. Просто
необходимо прорыскать все каталоги в поисках tripwire и ей похожих
программ. Но умные админы держат её в надёжных источниках, я даже встречал
её на стримере: доступ, который удалённо недосягаем, что и вам советую
делать. Если нашли всё же tripwire трояним и его. Вот пока и всё,
дерзай, придумывай новое!
|