章 理论篇 I. 概述
II. 思想认识(MENTAL)
III. 基础知识
IV. 高级窍门技巧
V. 当你受到怀疑时...
VI. 被捕
VII. 有用
VIII. 最后
话 I. 概述
----------------------------------------------------------------------
> 译者注:本文是德国著名hacker组织"The Hacker's Choice"
96年写篇文章但今天读来仍颇有收获,就象他自己说:"即使是个很有经验hacker也能从这里学到些东西".在翻译过程中对原文做了些改动,也加入了些自己理解, > 不当的处,还请赐教.
[email protected]
注意 : 本文分为两部分.
第
部分讲述了些背景和理论知识.第 2部分通过具体例子教你步步了解该做什么和不该做什么. 如果你懒得看完全部文章,那就只读第 2部分吧.它主要是写给那些Unix hack新手看
. 如果你把尽快得到最新
exploits当成最重要事话,那我要说-你错了. > 译者注:exploits可以理解为"漏洞",不过我并不想这么翻,翻过来总感觉怪怪
,所以我还是保留了原文.文中还有些地方也是如此处理,不再注明 旦警察没收了你计算机、你所有帐户都被取消、你切活动都被监视时候,即便是最好exploit对你又有什么用呢?我不想听那些辩解话.不,最重要事应该是不要被捕!这是每个hacker都应该明白第件事.
在很多情况下,特别是当你首次hack个由于饱受入侵的苦而开始对系统安全敏感站点时,你第次hack也许就将成为你最后次hack. 所以请仔细阅读所有章节!
即使是
个很有经验hacker也能从中学到些东西. 下面是各节
介绍: 节 I - 你现在正在读
节 II - 思想认识
1. 动机
2. 为什么你必须要谨慎(paranoid)
3. 怎样才能谨慎
4. 保持谨慎
节 III - 在你开始hack前应当知道
基本知识 1. 前言
2. 自身安全
3. 自己
帐户 4. log文件
5. 不要留下痕迹
6. 你应当避免
事 节 IV - 你该了解
高级窍门技巧 1. 前言
2. 阻止任何跟踪
3. 找到并处理所有
log文件 4. 检查syslog设置和log文件
5. 检查安装
安全 6. 检查系统管理员
7. 怎样修正checksum检查软件Software
8. 注意某些用户
安全陷阱(诡计?) 9. 其他
节 V -
旦你受到怀疑你该如何做 节 VI - 当你被捕时该做
和不该做 节 VII -
些用于隐藏痕迹列表 节 VIII- 最后
话,作者想说些废话 请仔细阅读,开动脑筋.
II. 思想认识(MENTAL)
> 译者注:这
节目主要是提醒你树立正确"hack"观 ;) ----------------------------------------------------------------------
内容: 1. 动机
2. 为什么你必须要谨慎(paranoid)
3. 怎样才能谨慎
4. 保持谨慎
> 译者注:paranoid
意思是"患偏执狂",在这里可能是当 > "小心谨慎"来讲吧.
* 1. 动机 *
不管做什么事,信念总是取得成功
个关键.它是你动力源泉,它激发你去奋斗,自我约束,小心谨慎而又面对现实,准确估计风险,它也能让你去做你不喜欢做但又非常重要事情(即使你现在就想去游泳).如果你不激励自己去编制重要工具,等候恰当时机去攻击目标,那你永 远不能成为真正
hacker. 个成功而又优秀hacker必须满足这些要求.它就象健身和节食---如果你真正努力去做,你就能成功. * 2. 为什么你必须要谨慎 *
当然,小心谨慎并不会让你
生活变得更幸福.然而如果你从不做最坏打算,任何事情都能击倒你,让你失去平衡.你正在做事会让你冒很大风险.而在你正常生活中你并不需要担心警察,小偷什么.但如果你从另方面考虑,你要知道你正在给别人生活带来麻烦和恶梦--他们很 想阻止你.尽管你不认为这是犯罪.但当警察迅速逮捕每个可能被牵扯
人时,你会发现件很悲惨事:你是有罪除非你能证明你无罪!旦你得到了个hacker"污名",你就永远不能将其去除.旦你有了犯罪纪录,你将很难找到份工作.特别是没有软件Software公司甚至没有和计算机有关公司会聘用你,他们会害怕你技术.你也许不得不移民...旦跌倒了,能再爬起来只是少数人. 要小心谨慎!要保护好你自己!记住你得到
切都可能失去!绝不为做额外反跟踪工作而感到愚蠢!绝不为如果别人嘲笑你太谨慎而烦心!决不要太懒或者厌倦而放弃修改log文件!名hacker必须%100完成他"工作"! * 3. 怎样才能小心谨慎 *
如果你读了上面
话并且你认为那是对,那就容易了---你已经变得小心谨慎了但这必须要变成你生活中部分才行,当你总是考虑究竟是谁告诉你了那些事,考虑你电话和email可能已被监视时候,那它已经变成你生活部分了. 如果上面这些还不能帮你,那么考虑
下如果你被捕会发生什么.你女友还会站在你这边吗?你想看到你父母为你流泪吗?你想丢掉饭碗或学业吗? 不要给这
切以发生机会! 如果这还不能警醒你:离HACKING远点儿!!!对整个hacker社会和你
朋友来说,你都是个危险人物! * 4. 保持谨慎 *
我希望现在你明白为什么小心谨慎
重要性了. 所以保持谨慎.
个
或者次偷懒都可能彻底毁掉你生活和事业.在做件事时应时刻记着你动机是什么. > 译者注:这部分是让你知道你正在干什么及你
处境.如果你不想让你成为无聊记者津津乐道话题---"某地破获重大黑客案...",那就多看看,多想想.要知道,自己是这种新闻主角和看别人新闻可完全不是个感觉.所以要:谦虚谨慎,戒骄戒躁 :-) III. 基础知识
----------------------------------------------------------------------
内容 :
1. 前言
2. 自身安全
3. 自己
帐户 4. log文件
5. 不要留下痕迹
6. 你应当避免
事 * 1. 前言 *
在你开始你
初次hack的前,你应当知道这些并且进行些练习.这些都是非常基本,不知道这些你很快就会有麻烦了.即便是名很有经验hacker也能从中得到些新提示. * 2. 自身安全 *
系统管理员读了你
email吗?你电话被警察监听了吗?警察没收了你存有所有hacking数据计算机吗? 如果你不接收可疑
email,不在电话里谈论hacking/phreaking话题,在你硬盘上也没有敏感和私人数据话,那你不必担心上面那些情景.但那样你就并不是个hacker.每个hacker和phreaker都和其他人保持联系并把他数据保存在某个地方. 加密所有敏感数据!!!
在线硬盘加密
是非常重要和有用: 在
ernet上游很多好**硬盘加密,它们对你操作系统来说是完全透明.下面所列几个软件Software都是经过测试,是hacker's首选工具: - 如果你用MsDos,你可以使用SFS v1.17或者SecureDrive 1.4b
- 如果你用Amiga,你可以使用EnigmaII v1.5
- 如果你用Unix,你可以使用CFS v1.33
> 译者注:在win9x下可以考虑emf,iprotect...
文件加密软件Software: 你可以使用任何
种加密软件Software,但它应该是使用种众所周知安全加密机制.绝对不要用那些被出口加密,它们有效密钥长度被缩短了! - Triple DES
- IDEA
- Blowfish (32 rounds)
加密你
Email! - PGP v2.6.x 是个不错
工具. 如果你想讨论重要
事情话,加密你电话. - Nautilus v1.5a 是迄今最好
当你连到
个unix系统时加密你终端. 些人可能正在sn
fing或者监视你电话线: - SSH 是最安全
- DES-Login 也不错
> 译者注:- SSL 基于SSL
些软件Software也可以试 用强壮
不可猜测,不在任何字典中密码.它应当看起来象随机但又容易记忆.如果密码长度可以比10个
更长,那就用更长.可以从书中抽取句话,并略作修改.请将你hacker朋友电话号码加密两遍.如果你不加密,你应当从公用电话给他打电话. > 译者注:其实有个好记又难猜
密码并不难,例如考虑句子"I'm a haxor!"可以从中抽> 取几个单词组成I'mhaxor,好象没有数字,呵呵,用"eleet"hacker语言,haxor=h4x0r所以我们口令可以是:I'mh4x0r(我是hacker).这样密码恐怕只能用暴力破解了. 如果你对hacking有了深入了解,你应当加密所有
东西! 为你
数据做个备份,当然要先加密,把它放在个隐秘地方,最好不要在家里.所以即使你失误,火灾或警察搜捕等原因丢失了数据,你还可以得到备份数据. 只有当你真
需要它们时才写出来,否则将它们放在个机密文件或加密分区里更安全.旦你不需要它们了,烧掉那些纸.你也可以用只有你自己知道加密机制将它们写下来,但不要告诉任何人,也别太经常使用它.也许它很容易被分析和破解
真正沉稳和谨慎hackers应该考虑实施干扰方案.警察,间谍,其他hacker能监视你举动.个拥有先进设备人可以获得他想要任何东西: 计算机发射
电子脉冲可以从100米以外距离被截获,可以显示你监视器屏幕,监听你私人谈话,确认键盘敲击时高频信号等等...所以各种可能性总是存在.成本低廉应付思路方法就是采用电子脉冲干扰发射机,商店里就有卖.如果你不想让任何人监视你,我认为这些还不够... > 译者注:不知道我们
商店里有没有卖.;-) * 3. 你自己
帐户 * 下面让我们谈谈你自己
帐户.它就是你在学校/公司/ISP那里得到帐户,它总是和你真实姓名联系在起,所以在使用它时绝对不要违背下面原则: 永远不要用你
真实帐户做任何非法或者惹人怀疑事!永远不要试图从你真实帐户telnet到任何被hacked主机去!当然可以用这个帐号订阅安全mailing lists.但任何和hacking有关东西都必须加密或者立刻销毁.决不要在你帐号下保存hacking或security工具.尽量用POP3连到你mailserver下载或者删除你邮件(如果你对unix比较熟悉,还可以直接telnet到POP3端口执行下载或者删除命令).决不要泄漏你真实email给你不信任人,只把它给你信任人,他们也 应当是比较注意安全问题
人,否则如果他们被捕,下个就是你了(或许他们根本就是警察,而不是hacker.).和其他hacker用email交流时必须要用PGP加密,系统管理员经常偷看用户目录,甚至读区别人email!!其他hacker也可能hack你们站点并试图得到你数据. 绝不要用你
帐号表明你对hacking感兴趣!对安全感兴趣可以,但不要再进步了. > 译者注:和别人交流时可以申请**信箱,最好是国外
,比如hotmail的类,登陆时注意最好 通过proxy.自己
真实信箱应当只用来进行般正常通信,和朋友/老师/同事... * 4. LOG文件 *
有 3个重要
log文件: WTMP - 记录每次登录
信息,包括登陆/退出时间,终端,登录主机ip UTMP - 在线用户记录
LASTLOG - 记录用户上次是从哪里登录
当然还有其他
log,它们将在"高级窍门技巧"节种讨论.每次通过telnet,ftp,rlogin,rsh 登录都会被记录到这些文件中.如果你正在hacking,把自己从这些记录中删除就是很重要了.否则他们会: a) 准确
发现你什么时候在搞hacking活动 b) 发现你从那个站点过来
c) 知道你在线
时间有多长,以便计算你给他们造成损失 绝对不要删除这些log文件!!!那等于通知管理员:"嗨,你
机器上有个hacker!".找个好来修改这些log.ZAP(或ZAP2)经常被认为是最好但事实上它并不是.它只是简单用0来填充用户上次登陆数据段.CERT已经发布了个简单用来检查这些全零数据项.所以这样也会很容易就让人知道现在有个hacker在活动,这样你所有工作就没有意义了.ZAP另外个缺陷是当它找不到那些log文件时,它并不报告.所以在编译的前必须先检查下路径!你应该使用能改变记录内容(象cloark2.c)或者能真正删掉记录(象clear) > 译者注: THC提供
cleara.c ,clearb.c是非常好用清除工具.可以清除utmp/utmpx,wtmp/wtmpx,修复lastlog让其仍然显示该用户上次登录信息(而不是你登录信息).如果你发现你登录后没有显示上次登录信息,那很可能你机器
可能已经被人hack了,当然,即使显示正确信息也未必就没有被hack.;-) 般来说要修改log你必须是root(有些老版本系统例外,它们将utmp/wtmp设成允许所有人可写)但如果你不能得到root权限---你该如何做呢?你应该rlogin到你现在所处主机,以便在lastlog种增加个不是那么惹人怀疑数据项,它将在该用户下次登录时被显示,如果他看到"上次从localhost登录"信息时也许不会怀疑. > 译者注:这也是没有办法
办法,换了我,我就会怀疑.;) 很多unix系统
login命令有个bug.当你登录以后再执行遍login命令时,它将用你当前终端重写UTMP中login from段(它显示你是从哪里来!)那么这些log文件缺省在什么地方呢? 这依赖于区别
Unix版本. UTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log
WTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log
LASTLOG : /usr/var/adm 或 /usr/adm 或 /var/adm 或 /var/log
在
些旧unix版本中lastlog数据被写到$HOME/.lastlog * 5. 不要留下痕迹 *
我曾经碰到很多hacker,他们把自己从log里删除了.但他们忘记删掉他们在机器中留下
其他些东西:在/tmp和$HOME中文件Shell 记录些shell会保留个history文件(依赖于环境设置)记录你执行命令.这对hacker来说确实是件很糟糕事.最好选择就是当你登录以后先启动个新shell,然后在你$HOME中查找历史纪录. 历史记录文件:
sh : .sh_history
csh : .history
ksh : .sh_history
bash: .bash_history
zsh : .history
> 译者注:.*history是我最喜欢看
文件的,通过它你可以了解root或用户常干些什么, 从而得知他们水平如何,如果他们只会执行"ls","pwd","cp"...那介绍说明水平不过尔尔,无须太担心.不过如果你发现root喜欢"find / -type f -perm -04000 -exec ls -a l {} \;"," "vim /var/adm/messages","ps -aux( -elf) ","netstat -an"....那你就要小心
点了 备份文件 :
dead.letter, *.bak, *
在你离开前执行
下"ls -altr"看看你有没有留下什么不该留下东西.你可以敲4个csh命令,它能让你离开时删掉这些历史文件,不留下任何痕迹. mv .logout save.1
echo rm .history>.logout
echo rm .logout>.logout
echo mv save.1 .logout>.logout
> 译者注:对于bash,有
个简单办法就是执行下"HISTFILE=",就是不设置bash历史文件,这样就不会有讨厌.bash_history了.(准确地说,是不会往$HOME/.bash_history里写了) > 或者退出
时候简单敲kill -9 0 ,它会杀掉这次登录后产生所有进程,bash也不会往.bash_history里写 * 6. 你应当避免
事 * 不要在不属于你
机器上crack口令.如果你在别人(比如说所大学)机器上破解口令,旦root发现了你进程,并且检查它.那么不仅你hacking帐号保不住了,可能连你得到那passwd文件也没了.那学校将会密切注视你举动...所以得到口令文件后应该在自己机器上破解.你并不需要破解太多帐号,能破出几个就够了.如果你运行攻击/检测象ypx,iss,satan或其他exploiting,应当先改名再执行它们.或者你可以修改源码改变它们在进程列表中显示名字... > 译者注:这并不难,你只要在
中将argv
用你喜欢显示名字替代就可以了比如argv[0] ="in.telnetd",argv[1]=""...(当然必须在已经从argv中读取了所需参数的后). 如果某个细心
用户/root发现5个ypx在后台运行,他马上就会明白发生了什么.当然如果可能话不要在命令行中输入参数.如果支持交互方式,象telnet.应当先敲"telnet",然后"o target.host.com"...这就不会在进程表中显示目标主机名. > 译者注:如果你用ftp,最好这样做:
> $ ftp -n
> $ ftp>o target.host
> blahblah...(
些连接信息) > blahblah...(ftp server版本)
> ftp>user xxx
> ....
如果你hack了
个系统---不要在任何地方放suid shell!最好装些后门象(ping,quota或者login),用fix来更正文件atime和mtime. > 译者注: 放suid shell是很蠢
,非常容易被root发现. IV. 高级窍门技巧
----------------------------------------------------------------------
内容 : 1. 前言
2. 阻止任何跟踪
3. 找到并处理所有
log文件 4. 检查syslog设置和log文件
5. 检查安装
安全 6. 检查系统管理员
7. 怎样修正checksum检查软件Software
8. 注意某些用户
安全陷阱(诡计?) 9. 其他
* 1. 前言 *
旦你装了第个snfer开始你hack生涯,你就应该知道并使用这些窍门技巧!请运用这些窍门技巧---否则你hack的旅就行将结束. * 2. 阻止任何跟踪 *
有时候你
hacking活动会被人发现.那并不是什么大问题 - 你hacked些站点可能会被关掉,但谁管它呢,赶紧离开就是了.但如果他们试图跟踪你来路(通常是为了抓住你)话那就很危险了! 这
节将告诉你他们跟踪你各种可能思路方法以及你该如何应对. * 通常对系统管理员来说发现
个hacker是从哪里来并不是什么问题:检查log记录(如果那个hacker真那么蠢话);看看hacker安装snfer输出记录(也许里面也记下了他连接)或者其他系统记帐软件Software(象loginlog等等);甚至可以用netstat显示所有已经建立网络连接--如果那个hacker正在线话,那他就被发现了.这就是为什么你需要个gateway server(网关). * 什么是gateway server?
它是你所"拥有"
很多服务器中个,你已经得到了它root权限.你需要root权限去清除wtmp/lastlog/utmp等系统记录或者其他些记帐软件Softwarelog文件.除此的外你不在这台机器上做任何其他事(它只是个中转站).你应当定期更换gateway server,可以每隔1,2个星期更换次,然后至少个月内不再使用原来gateway server.这样他们就很难跟踪到你hacking server. * hackin server - 所有活动
出发点你从这些机器开始hacking.Telnet(或者更好:remsh/rsh)到个gateway server, 然后再到
个目标机器.你需要有root权限以修改log.你必须每隔2-4个星期就更换hacking server.. * 你
堡垒/拨号主机. 这是个临界点.
但他们能跟踪回你拨号进入机器,你就有麻烦了.只要打个电话给警察,再进行次通信线路跟踪,你hack活动就会成为历史了,也许是你未来.在堡垒主机上你不需要得到root权限.既然你只是通过modem拨入,那里没有什么必须修改记录.你应该每天用个区别帐号拨号进入,尽量用那些很少使用.你应该找到至少2个你能拨号进去堡垒主机,每隔1-2个 月更换
次. > 译者注:我对phreak不熟.我猜大部分
国内hacker还没什么本事能躲过电信局跟踪.所以最好不要用别人帐号上网,特别是那些很少上网帐号,旦他发现上网费用剧增,肯定会让电信局追查,到时候你就大难临头了.如果你用那些上网频繁人帐号,他反倒不会注意,只会以为这个月上太厉害了.:-)(这绝对没有鼓励你盗用别人帐号意思,这等于盗窃,凭什么你 上网要别人交钱?就凭你会用john破几个口令吗?hacker
名声就是让这些打着hacker旗号无耻的徒败坏.对这种人就得抓!所以我对这样phreaker没有什么好感,你要真有本事,就别嫁祸别人,而且还要让电信局查不出来.) 说多了,咱们言归正传. 注意: 如果你能每天拨入区别
系统(比如通过"蓝盒子"),那你就不需要那些hacking server了. * 使用蓝盒子,这样即使他们跟踪到你
堡垒主机,也不能(至少是不能很容易地)追踪到你电话...使用蓝盒子必须小心,德国和美国电话公司有专门监视系统来追踪使用蓝盒子人... 使用
个中间系统来传送你电话将会使跟踪更加困难, 但是同样由于你使用个pbx或其他什么东西, 仍使你处于被抓危险中. 这取决于你. 注意在丹麦所有
电话数据均被记录!即使在你打完电话10年后,他们仍然能证明你曾登录过他们拨号系统从事hack活动... - 其他
如果你想运行satan,iss,ypx,nfs文件句柄猜测
..你应当使用个专门服务器来完成.不要用这个服务器telnet/rlogin到目标服务器,只是用它来进行检测. 有些
可以bind到个特殊端口,当个指定到该端口连接建立时候,它自动打开个连接连到另外个服务器某个端口(有些就模拟个shell,你可以从这个
daemon中"telnet"到其他机器).使用这种你不会被记录(防火墙log除外).有很多可以帮你完 成上述功能.
> 译者注:这种
我常用有datapipe.c,telbounc.c,还是很好用.它就象是个代理服务器,但是不会有记录.:) 如果可能
话,hacking server或者gateway server应该在国外!如果你入侵被发现,当发现你来自国外主机时,大多数网管都会放弃追查.即使是警察要通过区别国家追踪你,这也至少可以拖延2-10个星期时间... #下面是hack过程
简图,也许对你有些帮助;-) +-------+ ~---------------> +-------------+ +-----------+
|+-----+| > > | | | |
||本机 || --> > 安全拨号线路 > --> | 堡垒主机 | --> | hacki
ng |
|+-----+| > > | (至少有3个) | | server |
+-------+ ~---------------> +-------------+ +-----------+
|
|
v
+-----------------+ +--------+ +-----------+
| | | | | |
| 内部网络中
主机| ... <-- ... |目标主机| <-- | gateway | | | | | | server | +-----------------+ +--------+ +-----------+ * 3. 找到并处理所有LOG文件 * 找到所有logfiles是很重要---即使他们被隐藏.要找到它们有两种可 能思路方法: 1)找到所有打开文件. 既然所有log必须写到某个地方去,所以用可以用LSOF(LiSt Open Files) 去检查所有打开文件,必要话就得修改它们.> 译者注:lsof由Vic Abell 编写,用来提供被进程打开文件信息, > 它
最新版本可以ftp://vic.cc.purdue.edu/pub/tools/unix/lsof下找到.有趣是,不久前有人发现lsof4.40以前版本中存在buffer overflow问题,可以取得root权限.:-) 2) 搜索所有在你登录后有变化
文件在你登录后,执行"touch /tmp/check",然后可以干你活.最后只要执行"find / -
er /tmp/check -pr",并检查找到文件,如果其中有记帐文件,就应该修改它.注意不是所有版本find都支持 -er 参数.你也可以用"find / -ctime 0 -pr
" 或者 "find / -cmin 0 -pr"来查找它们. > 译者注:我更喜欢用-exec ls -l {} \;来代替-pr
,这可以列出比较详细信息. 注意上述思路方法主要是针对系统记帐软件Software,它可能会记录你执行命令.对于只记录login信息软件Software,它在你看到shell提示符以前就已经完成记录了.所以用这种检查是查不出来. 检查你找到
所有logfiles.它们般在/usr/adm,/var/adm或者/var/log,/var/run .
如果它们被记录到@loghost,那你可能就有点麻烦了.你需要hack那台loghost主机去修改log...
> 译者注:
般单纯用作loghost机器比较难hack,它往往关掉了几乎所有端口,并且只 允许从控制台登录.对于这样
机器,可以用DoS攻击使的瘫痪,从而失去log功能.(要hack往往比较难,要crash it则相对容易些.;-)当然本次登陆记录仍然会被保存下来. 为了处理logs,你可以用"grep -v"或者用wc统计行数后,再用"tail -10 log"察看最后10行
,或者用编辑器vi,emcas.
> 译者注:如果你从a.b.c来,你可以用grep -v "a.b.c" logfile>logtemp;mv logtemp logfile;来清除所有含有a.b.c
行.如果log文件比较大,你也可以用vim来编辑.注意这只能用来修改文本文件!!!对 2进制文件修改可能导致文件格式被破坏!!! 如果数据文件是 2进制格式
,你应当首先查明它是由什么软件Software产生,然后设法找到该软件Software源码,分析记录项结构,自己编程修改记录.(可以利用现成加以修改,比如Zap,clear cloak...).
如果系统安装了accounting软件Software.你可以用zhart写
acct-clener---它非常有效! 如果你必须修改wtmp,但系统又不能编译源
也没有perl....你可以这样做,先uuencode wtmp,然后运行vi,移动到最后
行,删除最后以"M"开头4行...然后保存退出.uudecode .然后最后5个wtmp记录项就被删除了.;-) 注意这只在SCO unix下有效,linux下是不行
. > 译者注:我没有验证这个,
没有SCO服务器.如果你要这么做,记得要先做个wtmp备份. 如果系统用wtmpx和utmpx,那你又有麻烦了..迄今我还不知道有哪个cleaner
可以处理它们.你不得不自己编个来完成工作. > 译者注:wtmpx和utmpx结构和wtmp和utmp类似,只要将清除utmp和wtmp
软件Software略加修改就可 > 以了.而且现在已经不少现成
可以修改utmpx/wtmpx了. * 4. 检查SYSLOG配置和记录 *
大部分
都用syslog
来记录它们需要所有东西.因而检查syslogd配置文件是很重要.这个配置文件是/etc/syslog.conf - 我不会告诉你它格式是什么/每项是什么意思 ,
自己去读它
man页. 对你来说重要
syslog类型是kern.*,auth.*和authpriv.*.看看它们被写到哪里了,如果写到文件里还可以修改.如果被转发到其他主机,你必须也要hack它们.如果消息被发给某个用户,tty或者控制台.你能耍点小花招发很多个假消息象"echo 17:04 12-05-85 kern
ndmail[243]: can't resolve bla.bla.com > /dev/console"(或其他你想flood设备),让它卷屏,以隐藏你引发信息.这些log文件是非常非常重要!检查它们! * 5. 检查已经安装
安全 * 很多注重安全
站点都通过cron运行安全检查.crontabs通常在/var/spool/cron/crontabs.检查里面所有文件,特别是"root"文件,检查它里面都运行了什么.用"crontab -l root"可以快速检查root crontab内容. 这些安全工具往往装在管理员
目录下比如~/bin. 这些检查软件Software可能是 tiger, cops, spi, tripwire, l5,binaudit, hobgoblin, s3 等等...
你必须检查它们都报告了些什么东西,看它们是否报告了
些显示出你入侵迹象东西.如果是话,你可以 - 更新软件Software数据文件,是它们不再报告这种类型消息. - 可以重新编程或修改该软件Software使它们不再产生报告.
- 如果可能
话,删除你安装后门或其他,并试着用其他思路方法来完成 * 6. 检查系统管理员 *
对你来说了解系统管理员采取了那些安全措施是非常重要
.因此你需要知道他们经常使用哪些 普通用户帐号.你可以检查root
.forward文件和alias内容.看看sulog文件,注意那些成功su成root用户.检查group文件中wheel和admin组(或者其他任何和管理员相关组).你也可以 在passwd文件中查找admin,也许你又能找到
个管理员帐号.现在你应该已经知道这台机器上谁是管理员了.进入他们目录(如果系统不允许root读所有文件,用chid.c或者changeid.c将自己uid变成该用户),检查他们.history/.sh_history/.bash_history文件看看他们经常执行什么命令.也应当检查他们.profile/.login/.bash_profile文件看看里面都设置了什么alias,是否执行了什么自动安全检查或logging.也检查他们~/bin目录!大多数情况下被编译安全被放到那里面!当然也要看下他们每个目录(ls -alR ~/).如果你找到任何和安全有关东西,请读5小节以设法绕过它们安全保护. * 7. 怎样修正checksum检查软件Software *
些管理员真得很怕hacker所以装了些软件Software来检查 2进制文件.如果个 2进制文件被改动了,下次管理员做 2进制检查时候,它将被检测到.那么你如何找到是否系统安装了这样,又怎样修改它们以便你能植入你木马呢? 注意有很多
2进制检查,而且要写个也真是非常容易(15分钟就够了),你可以用个 小
s cript完成这个工作.所以如果这样软件Software被安装话要找到它们是比较困难.注意 有些常用安全检查
也提供这样检查.下面是些应用得很广泛软件Software: 软件Software名 标准路径 2进制文件名
tripwire : /usr/adm/tcheck, /usr/local/adm/tcheck : databases, tri
pwir
e
binaudit : /usr/local/adm/audit : auditscan
hobgoblin : ~user/bin : hobgoblin
raudit : ~user/bin : raudit.pl
l5 : 编译所在目录 : l5
你要明白有很多种可能!这软件Software或数据库甚至可能放在
个正常情况下不被mount盘上或者在其他主机exportNFS分区上.也可能checksum数据库是储存在个写保护介质上.各种可能性都有!但般情况下你只要检查上述软件Software是否被安装就可以了,如果没有话,你就可以改变某些 2进制文件.如果你没有找到那些软件Software,但你又知道这是个进行了完善安全保护站点话,你就不应该改变 2进制文件!它们( 2进制检查软件Software)肯定被藏在什么地方了. 如果你发现了这种软件Software被安装并且你可以修改它们(比如不是放在只读介质上,或者可以通过
些办法绕过限制 - 比如umount该盘然后重新mount成可写)话,你该如何做呢?你有两种选择:首先你可以只检查软件Software参数,然后对已经修改过 2进制文件执行次"update"检查.比如用tripwire话你可以执行" tripwire -update /bin/target ".第 2种办法是你可以编辑要被检查 2进制文件名单 - 从中删除你改动过 2进制文件名.注意你也应当看看是不是连数据库文件自身也会被检查!如果是话 - 先update再删除数据库文件名. * 8. 注意某些用户
安全陷阱(诡计?) * 这种情况较少发生,这里提出来主要是为了讨论
更完全.些用户(可能是管理员或者hacker)通常不象他自己帐户被别人使用.所以他们有时候会在他们启动文件里采取点安全措施. 所以要检查所有
以"."开头文件(.profile,.cshrc,.login,.logout 等等),看看他们执行了什么命令,记录了些什么东西,以及他们搜索路径是如何摄制.如果某个目录(比如HOME/bin)出现在/bin前面,你就应该检查下那个目录内容了...也许里面装了个"ls"或者"w",它会先记录被执行时间然后再执行真正也许还有些用来自动检查wtmp和lastlog文件是否被zap处理过,检查.rhosts,.Xauthority文件,或是否有snfer正在运行...千万不要使用个unix高手帐号! * 9. 其他 *
最后,在讨论受怀疑或被捕
话题的前,还有些其他事情值得引起注意.老telnet client会export USER变量.个了解这点系统管理员可以编辑telnetd,从而得到所有(通过telnet登录进来)用户名.旦他注意到你,他就可以很容易得知你是从(远方主机)哪个帐号hack进来.新client(客户端)已经解决了了这问题 -但是个聪明管理员仍然可以得到其他信息以鉴别用户:UID,MAIL,HOME变量,这些变量仍然被export,这就可以很容易得鉴别 hacker使用是哪个帐户.因此在你进行telnet前,记得要改变USER,UID,MAIL和HOME变量,如果你正处在home目录下话也许甚至要改变PWD变量. 在HP Unix(版本低于v10)中你可以建立隐藏目录.我不是说那些以"."开头
目录而是些有特殊标志目录.HP在v9版推出了它,但从v10版本以后就去除了(只有hacker才是用它 ;-). 如果你执行"chmod +H directory",则directory目录就不能用"ls -al"列出.为了看这个隐藏目录,你需要为ls增加 -H 参数,例如:"ls -alH".
无论什么时候,当你需要改变文件
日期时,记住你能用"touch"命令设置atime和mtime.你只能通过直接硬盘读写来设置ctime. 如果你在
个重要系统中安装了snfer,定要加密snfer输出或者让snfer通过icmp或者udp将所有被截获数据发送到个由你控制外部主机.为什么要这样做?这样即使管理员发现了snfer(通过cpm或其他检查snfer存在),他们也不能从snfer log中得知哪些东西被snf了,所以他也不能即使提醒正被你snf主机. V. 当你被怀疑时...
----------------------------------------------------------------------
旦你受到怀疑(被警察或是系统管理员)你应该采取些特别行动是他们不能得到不利你 证据.
注意 : 如果系统管理员认为你是个hacker,你就是有罪
直到你被证明是无辜!这些管理员根本不理会什么法律(有时候我认为hacker和管理员区别仅仅在于那台计算机属于管理员而已).当他们认为你是个hacker时候,你就是有罪,没有律师为你辩护.他们会监视你,你邮件,文件,甚至记录你键盘(如果他们够利害话).当警察被牵扯进来时候,你电话线也可能被监听,搜捕行动也许跟着就来了. 如果你注意到你正受到怀疑,
定要保持低调!不要采取任何攻击性行动!最好是等上至少1到2个月,什么都不做.警告你朋友不要给你发任何邮件,或者只发些正常/无害邮件.如果你突然采用PGP加密邮件,这会提醒正在监视警察和管理员---你发现他们监视了.切断和 hacking有关
联系,写点儿文章或者编编,直等到切都过去.及主要加密你敏感数 据,销毁所有记有帐号数据,电话号码等等
纸张.当警察搜捕你时候,那些东西是他们要找 最重要
东西. VII. 有用
----------------------------------------------------------------------
这里有
个你应该找到并使用列表.不要给我发email问我在哪里找到它们 - 自己到 hacker世界中去找!我只列出了最好
log编辑(见III-4和IV-3).其他有趣还有telnet重定向(见IV-2),但这种有很多,大部分只能在1-3种unix类型下编译,所以列表没什么用. 先节是以下几个术语:
改变 - 将logfile中
域改成你喜欢任意内容 删除 - 删除你要求
记录项 编辑 - 真正
logfile编辑器. 重写 - 只用0字节来重写记录.
不要用这样
软件Software(e.g. zap) - 它能被检测到! LOG 修改器
ah-1_0b.tar 改变记帐信息
记录 clear.c 删除utmp,wtmp,lastlog和wtmpx中
记录 cloak2.c 改变utmp,wtmp和lastlog中
记录. invisible.c 用预设值重写utmp,wtmp和lastlog
所以它比zap更好.注意看,有好多inv*.c!
marryv11.c 编辑utmp, wtmp, lastlog 和 accounting 数据 - 最好
! wzap.c 删除wtmp中
记录 wtmped.c 删除wtmp中
记录 zap.c 重写utmp, wtmp, lastlog - 不要用它!它会被检测到!
VIII. 最后
话 ----------------------------------------------------------------------
最后
话: 不要被捕,记住这些窍门技巧.如果有人想更正
些或者发表些意见,或对某个话题需要更多信息,甚至认为我遗漏了些东西 - 请让我知道.-----------van Hauser篇文章: Windows安全事件日志中事件编号和描述篇文章: 利用还原精灵“保护”木马妙想
最新评论