很多入侵者往往就开始得意忘形了
这其中还有
个原因就是技术性也要求更高了下面我们来看看些常用
经典工具1、从这里延伸:后门和连接工具
(1)Httptunnel
Tunnel
意思是隧道通常HTTPTunnel被称的为HTTP暗道它原理就是将数据伪装成HTTP数据形式来穿过防火墙实际上它是在HTTP请求中创建了个双向虚拟数据连接来穿透防火墙说得简单点就是说在防火墙两边都设立个转换
将原来需要发送或接受数据包封装成HTTP请求格式骗过防火墙所以它不需要别代理服务器而直接穿透防火墙HTTPTunnel包括两个
:htc和hts其中htc是客户端而hts是服务器端我们现在来看看我是如何用它们比如开了FTP机器IP是192.168.10.231本地机器IP是192.168.10.226
防火墙原因本地机器无法连接到FTP上如何办?现在就可以考虑使用HTTPTunnel了过程如下:第
步:在本地机器上启动HTTPTunnel客户端用Netstat看下本机现在开放端口会发现8888端口已在侦听第 2步:在对方机器上启动HTTPTunnel
服务器端并执行命令“hts -f localhost:21 80”这个命令意思是说把本机21端口发出去数据全部通过80端口中转下并且开放80端口作为侦听端口再用Neststat看下他机器就会发现80端口现在也在侦听状态第 3步:在本地机器上用FTP连接本机
8888端口会发现已经连上对方机器了那么为什么人家看到是127.0.0.1而不是192.168.10.231呢?我们现在是连接本机8888端口防火墙肯定不会有反应如果没往外发包局域网防火墙肯定就不知道了现在连接上本机8888端口以后FTP数据包不管是控制信息还是数据信息都被htc伪装成HTTP数据包然后发过去在防火墙看来这都是正常数据相当于欺骗了防火墙需要介绍说明
是这招使用需要其他机器配合就是说要在他机器上启动个hts把他所提供服务如FTP等重定向到防火墙所允许80端口上这样才可以成功绕过防火墙!肯定有人会问如果对方机器上本身就有WWW服务也就是说他80端口在侦听这么做会不会冲突?HTTPTunnel优点就在于即使他机器以前80端口开着现在也不会出现什么问题重定向隧道服务将畅通无阻!(2)Tcp_wrapper
Tcp_wrapper是Wietse Venema开发
个免费软件SoftwareTcp_wrapper诞生有个小小故事大约1990年作者所在大学服务器屡屡受到个外来黑客侵入受害主机硬盘数据屡次被rm -rf/命令整个抹掉所以找寻线索极为困难直到有天晚上作者在工作过程中无意中发现这个黑客在不断finger 受害主机、偷窥受害者工作于是个想法诞生了:设计个软件Software使它可以截获发起finger请求IP用户名等资料Venema很快投入了工作而Tcp_wrapper也由此诞生!此后Tcp_wrapper随着广泛应用逐渐成为种标准安全工具通过它管理员实现了对inetd提供各种服务进行监控和过滤Tcp_wrapper编译安装成功后
会生成个tcpd它可以在inetd.conf这个控制文件中取代in.telnetd位置这样每当有telnet连接请求时tcpd即会截获请求先读取管理员所设置访问控制文件合乎要求则会把这次连接原封不动转给真正in.telnetd由in.telnetd完成后续工作如果这次连接发起ip不符合访问控制文件中设置则会中断连接请求拒绝提供telnet服务Tcp_wrapper访问控制实现是依靠两个文件:hosts.allowhosts.deny来实现如果我们编辑/etc/syslog.conf文件时加入了日志纪录功能即: #tcp wrapper loglocal3.info /var/log/tcplog编辑结束后
保存文件在/var/log下会生成tcplog文件注意这个文件读写属性 应该只对root有读写权限然后ps -ef | grep syslogd找出syslogd进程号kill -HUP 重启syslogd进程使改动生效 在这里我们可以预先看看以后生成tcplog文件内容如下: Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1 Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5 Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3 Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5 Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1从上面我们可以看到
在安装了Tcp_wrapper主机上系统每次连接Tcp_wrapper都做了纪录它内容包括时间、服务、状态、ip等对攻击这有很大参考价值不过定要记得清除日志了(3)rootkit工具:LRK
Rootkit出现于 2十世纪90年代初
它是攻击者用来隐藏自己踪迹和保留root访问权限工具通常攻击者通过远程攻击或者密码猜测获得系统访问权限接着攻击者会在侵入主机中安装rootkit然后他会通过rootkit后门检查系统看是否有其他用户登录如果只有自己攻击者就开始着手清理日志中有关信息通过rootkit嗅探器获得其它系统用户和密码的后攻击者就会利用这些信息侵入其它系统如果攻击者能够正确地安装rootkit并合理地清理了日志文件
系统管理员就会很难察觉系统已经被侵入直到某天其它系统管理员和他联系或者嗅探器日志把磁盘全部填满他才会察觉已经大祸临头了不过在系统恢复和清理过程中大多数常用命令例如ps、df和ls已经不可信了许多rootkit中有个叫做FIX在安装rootkit的前攻击者可以首先使用这个做个系统 2进制代码快照然后再安装替代FIX能够根据原来伪造替代 3个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组如果
最新评论