常见系统安全问题与审查方法.pdfVIP

第巧届全国计算机信息管理学术研讨会论文集 常见系统安全问题与审查方法 中国国防科技信息中心刘炳华“ {北京市167信箱，100036) 【摘 要】本文基于大型网络系统安全工程建设管理的经脸，结合实际发生的网络入提安 全事件，分析总结一些常见黑客入侵的检测方法，以提醒人们在管理和使用网络中应该注 意的重点事项。 / 【关健词】黑客攻击方法，网络入俊检测，安全审计，(实例剖*rp} 近年来，网络系统攻击事件大量发生.攻击手段日新月异。在最近爆发的中美黑客大 战中，有关黑客组织宣布，可采用的攻击手段在5000种以上。据国家有关部门调查，我国 网络遭受黑客攻击的事件也逐年呈明显上升的趋势，而且网络系统的安全性十分脆弱。各 单位的网络每时甸刻都在遭受不同程度的攻击和预攻击，网络用户经常会在不知不觉中受 到网络黑客和病毒的侵害，甚至有些敏感数据己经被窃取。据政府部门公布的数据，我国 90%以上的电子商务站点存在严重的安全漏洞，大多数企业内部网络存在安全漏洞。1999 年查获黑客案件数百起(被发现者仅占黑客攻击总数的30%)，电脑犯罪率以30%的速度递 增。有关部门于1999年对某部委8个单位的计算机系统进行检测，发现存在安全漏洞846 个:对某部委17台服务器抽查中发现其帐号密码都可以从网上获得:对银行证券系统的1564 个营业部门23万台计算机检测中，均发现有安全漏洞。本文根据作者长期从事大型网络系 统安全工程建设和管理的经验，结合实际发生的网络入侵安全事件，分析总结一些常见黑 客入侵的检测方法，以提醒网络用户在使用网络中应该注意的重点事项。 1.UNIX/LINUX操作系统入侵问题 1.1口令文件和帐号泄密 进入Unix或Linux操作系统的关键是获取一个帐号，而帐号密码的核心是一个系统控 制文件passwd或shadow。许多网站的管理员无意中将此文件泄漏出去，给系统造成威胁。 安全防护做得好一些的网站会将运行Unix或Linux操作系统的核心服务器采用防火墙保护 起来，但为了提供正常的网络服务，他们必须开放一些规定的端口。如 WEB服务器必须 开放http网页服务的tcp180端口，FTp服务器必须开放20121端口，这些同样为黑客获取 passwd文件提供了可能。如Unix系统存在古老而著名的phf漏洞，它允许黑客以root身 份执行任何指令。在网页浏览器的URL处键入(以下均为虚构网站地址): lcgi-bin/ph1?Qalias=x%Oa/bin/cat0/a2O/etc/passwd . 或 http 1//cgi-bin/php.cgi?/etc/passwd，便可能得到该服务器的passwd文件。密 码文件也可能存放在其它目录下。但黑客可能使用网络搜索引擎来寻找关键词//cgi-bin/phf 或php.cgi或passwd,所以只要系统存在此漏洞就有可能受到侵害。 取得passwd的方法还有很多。目前很多主机都提供方便的匿名FTp的服务，但方便 z作者简介 刘炳华，男，41，工学博士，研究员，中国国防科技信息中心，从事大型信息网络管理、网 络安全研究。联系方法:010北京市167信箱，100036,E-mail:bhliu@cn 第 183页 共 301页 第15届全国计算机信息管理学术研讨会论文集 和安全性却是鱼与熊掌不可兼得的，anonymous饰恰恰是系统安全的一大漏洞。如果ftp 的根目录是可以写入或是可以执行程序的，那么系统的//etc/passwd就可能被黑客取走。方 法之一是:黑客先用命令#echoI/bin/mailhacker@abc做一个传送文 档.forward然后彻到主机上用anonymous进入，把做好的..forward上传到它的根目录下， 命令是 “ftpputabc.forward-，再寄一封e-mail给那个主机的anonymous的帐号.这时 /etc/passwd就已经传到黑客的信箱了。又如，通过旧版本Sendmail漏洞可以获得passwd 文件，关键命令是$25和mailformIlbin/mailme@ /etc/passwda诸如此类的方法很多