引诱、欺骗并研究一个黑客.pdf

引诱、欺骗并研究一个黑客 疯狂代码 http://CrazyC/ ĵ http:/CrazyC/Security/Article70251.html 把这篇文章献给那些已经或正在成为名黑客同学希望大家在破解别人同时能同时注意到自身安全:) 在1991年1月7号个黑客他确信自己发现了我们Internet网关计算机sendmail个DUBUG漏洞黑客试图获得我们 password文件我“送”给他了份 在几个月中我们引诱这名黑客作各种快乐尝试以便于我们发现他位置和使用破解技术这篇文章是对该黑客“成 功”和失败我们使用诱饵和陷阱详细记录 我们结论是我们所遇到这个黑客拥有大量时间固执异常并持有份优秀系统漏洞列表旦他获得了系统个正式注册 身份使用那些漏洞他可以轻易攻破uucp和bin帐号然后是root我们黑客对军事目标和可以帮助他中转其连接新 机器很感兴趣 介绍 我们安全Internet网关是1990年1月开始使用对于这个整个城堡大门我想知道它所可能遭到攻击会有多么频繁 我明白Internet上有些喜欢使用“暴力”人那么他们是谁？他们会攻击什么地方？会多么频繁？他们经常尝试 系统那些漏洞？ 事实上他们没有对ATT作出破坏甚至很少光顾我们这扇大门那么最终乐趣只有如此引诱个黑客到个我们设计 好环境中记录下来他所有动作研究其行为并提醒他下个目标作出防范 大多数Internet上工作站很少提供工具来作这些事情商业系统检测并报告些问题但是它们忽略了很多我们想要 东西我们网关每天产生10兆日志文件但人们对于日志记录以外服务攻击呢？ 我们添加了些虚假服务在系统上同时我编写了个script文件用来检索每天日志我们检查以下几点 FTP :检索工具会报告每天所有注册和试图注册用户名它还会报告用户对tilde使用(这是个老版本ftp漏洞)、所有 对ftp目录/etc/passwd和/etc/group存取以及对pub目录下完整文件列表获取获取passwd人通常用它来获得 系统正式用户注册名称然后攻击、破解其密码有时有些系统管理员会将系统真实passwd文件放在ftp/etc目录 下我们伪造了个passwd文件它密码被破解后是“why are you wasting your time.” Telnet / login :所有试图login动作都被记录了下来这很容易就可以看出有些人在尝试很多帐号或强力攻击某个 帐号我们这个Internet大门除了“警卫”外没有什么别用户很容易就可以找到问题所在 Guest / visitor 帐号:黑客们第个寻找就是公用帐号这些帐号提供了友好最轻易获取几乎系统所有文件机会包括 passwd文件黑客也可以通过获取/etc/hosts.equiv文件或每个用户.rhosts文件来获得机器信任主机列表我们对 于这些帐号login script文件是这样编写 exec 2/dev/null # ensure that stderr doesnt appear trap 1 /bin/echo ( /bin/echo Attempt to login to inet with $LOGNAME from $CALLER | upasname=adm /bin/mail ches dangelo # (noty calling machines administrator for some machines...) # (finger the calling machine...) ) 21 | mail ches dangelo /bin/echo /tmp full sleep 5 # I love to make them wait /bin/echo /tmp full /bin/echo /tmp full /bin/echo sleep 60 # ... and simulating a busy machine is useful 我们必须小心以便不让者看到系统标志出错信息(如果旦我们编写script有误)注意$CALLER是在另端主机或IP地 址通过修改telnetd或login它将可以通过环境变量来获取 SMTP DEBUG : 这个命令提供了两个守候sendmail漏洞陷阱虽然几乎所有产品出售商都清除了这个漏洞但偶 尔仍有黑客尝试它这个漏洞允许外部使用者使用段以root权限执行script当有些人尝试这个漏洞时我就获得了他 尝试script代码