从一个漏洞谈到ptrace的漏洞发现及利用方法

网络入侵检测步骤及思路

网络入侵检测步骤及思路 /*第一次写文章，当作调整一下思路和心态吧！：）还有好多没有写出来，因为没有亲手实践过，写出来怕误导大家！：（*/ /*欢迎大家来信指教，我的E-mail：littleshrimp@chinansl.com*/ 先说 winnt & win 2000。 /*****************************************************************************/ 网络入侵一般步骤及思路 by analysist http://www.nsfocus.com 第一步：进入系统 1. 扫描目标主机。 2. 检查开放的端口，获得服务软件及版本。 3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。 4. 检查服务软件的附属程序(*1)是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。 5. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统；否则进入下一步。 6. 利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统；否则进入下一步。 7. 服务软件是否泄露系统敏感信息，如果是，检查能否利用；否则进入下一步。 8. 扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。 第二步：提升权限 1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。 2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。 3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限；否则进入下一步。 4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限，否则进入下一步。 5. 检查配置目录(*2)中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查临时文件目录(*3)是否存在漏洞可以利用。 8. 检查其它目录(*4)是否存在可以利用的敏感信息。 9. 重复以上步骤，直到获得root权限或放弃。 第三步：放置后门 最好自己写后门程序，用别人的程序总是相对容易被发现。 第四步：清理日志 最好手工修改日志，不要全部删除，也不好使用别人写的工具。 附加说明： *1 例如WWW服务的附属程序就包括CGI程序等 *2 这里指存在配置文件的目录，如/etc等 *3 如/tmp等，这里的漏洞主要指条件竞争 *4 如WWW目录，数据文件目录等 /*****************************************************************************/ 好了，大家都知道了入侵者入侵一般步骤及思路 那么我们开始做入侵检测了。 第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器，搜集服务器的信息，以便进一步入侵该系统。系统信息被搜集的越多，此系统就越容易被入侵者入侵。 所以我们做入侵检测时，也有必要用扫描器扫描一下系统，搜集一下系统的一些信息，来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦：) 第二步、扫描完服务器以后，查看扫描的信息－－－－>分析扫描信息。如果有重大漏洞－－－－>修补(亡羊补牢，时未晚)，如果没有转下一步。 第三步、没有漏洞，使用杀毒工具扫描系统文件，看看有没有留下什么后门程序，如：nc.exe、srv.exe......如果没有转下一步。 第四步、入侵者一般入侵一台机器后留下后门，充分利用这台机器来做一些他想做的事情，如：利用肉鸡扫描内网，进一步扩大战果，利用肉鸡作跳板入侵别的网段的机器，嫁祸于这台机器的管理员，跑流影破邮箱...... 如何检测这台机器有没有装一些入侵者的工具或后门呢？ 查看端口(偏好命令行程序，舒服) 1、fport.exe－－－>查看那些端口都是那些程序在使用。有没有非法的程序，和端口 winshell.exe 8110 晕倒～后门 net use 谁在用这个连接我？ 2、netstat -an ---->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口，怎么自己打开了？？黑客！？ 3、letmain.exe //ip -admin -d 列出本机的administrators组的用户名查看是否有异常。 怎么多了一个hacker用户？？<＝＝>net user id 4、pslist.exe---->列出进程<==>任务管理器 5、pskill.exe---->杀掉某个进程，有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。 6、login.exe ---->列出当前都有那些用户登录在你的机器上，不要你在检测的同时，入侵者就在破坏：( 7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志 记录了入侵者扫描的信息和合法用户的正确请求 Find “scirpts/..” C:/WINNT/system32/LogFiles/W3SVC1/ex010705.log --解码漏洞？？谁在扫描我？ 8、查看 Web 目录下文件改动与否 留没有留 asp php 后门......查看存放日志文件的目录 DOS dir /a GUI 查看显示所有文件和文件夹 技巧：查看文件的修改日期，我两个月没有更新站点了(好懒：)，怎么 Web 目录下有最近修改文件的日期？？奇怪吧？：) ＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ C:/WINNT/system32/LogFiles/W3SVC1>dir dir 驱动器 C 中的卷是 system Server 卷的序列号是 F4EE-CE39 C:/WINNT/system32/LogFiles/W3SVC1 的目录 2002-03-03 02:43 1,339 ex010704.log 2002-03-03 23:54 52,208 ex010705.log 2002-03-03 22:59 0 ex010707.log 2002-03-03 22:45 0 ex010708.log 2002-03-03 08:00 587 ex010709.log 恩？奇怪？怎么没有 2001-07-06 那天的日志文件？？可疑......2001-07-07、2001-07-08 两天的日志文件大小为零，我得网站访问量怎么两天都是空？？没有那么惨吧：(好奇怪？！ ＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ D:/win 2000>dir dir 驱动器 D 中的卷是 新加卷 卷的序列号是 28F8-B814 D:/win 2000 的目录 2002-03-03 17:43 <DIR> . 2002-03-03 17:43 <DIR> .. 2002-03-03 17:43 <DIR> CLIENTS 2002-03-03 17:43 <DIR> BOOTDISK 2002-03-03 17:43 <DIR> I386 2002-03-03 17:46 <DIR> PRINTERS 2002-03-03 17:46 <DIR> SETUPTXT 2002-03-03 17:46 <DIR> SUPPORT 2002-03-03 17:46 <DIR> VALUEADD 2002-03-03 20:00 45 AUTORUN.INF 2002-03-03 20:00 304,624 BOOTFONT.BIN 2002-03-03 20:00 5 CDROM_IS.5 2002-03-03 20:00 5 CDROM_NT.5 2002-03-03 20:00 12,354 READ1ST.TXT 2002-03-03 20:00 465,408 README.DOC 2002-03-03 20:00 267,536 SETUP.EXE 2002-03-03 17:37 <DIR> SP1 2002-03-03 16:03 <DIR> sp2 2002-03-03 00:05 <DIR> system --->从来没有修改或安装什么文件程序啊 什么时候多了system目录？这个是我安装 win 2000 的安装文件。 日期怎么不对 2001-07-06，日志文件也没有 2001-07-06 的这一天的记录，可疑....... 7 个文件 1,049,977 字节 12 个目录 10,933,551,104 可用字节 ＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 总的来说入侵检测包括： 一、基于80端口入侵的检测 CGI IIS 程序漏洞...... 二、基于安全日志的检测 工作量庞大 三、文件访问日志与关键文件保护 四、进程监控 后门什么的 五、注册表校验 木马 六、端口监控 21 23 3389 ... 七、用户 我觉得这个很重要，因为入侵者进入系统以后，为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的 /************** 借助第三方软件协助分析 IDS Firewall .....***********************/ 对 unix & linux 入侵检测说几句 有必要先用扫描器扫描一下系统，搜集一下资料 CGI RPC TELNETD FTP ......本地远程溢出漏洞...... 1、检查 suid sgid 程序 find / -user root -perm -4000 -print --常用 find / -group kmem -perm -2000 -print 2、查看系统的二进制文件是否被更改 如：ls su telnet netstat ifconfig find du df sync login...... 建议做入侵检测时候，从一个干净的系统 copy 过来这些文件 来做检测 使用 MD5 Tripwire 校验工具检测 3、检查 /etc/passwd 文件 有没有新增的用户、没有口令的帐号、uid等于0的帐号...... 4、检查有没有网络监听程序在运行 netstat -an 5、检查系统非正常的隐藏文件 ".." ".. " "..^G" find / -name ".. " -print -xdev find / -name ".*" -print -xdev | cat -v 6、在系统正常运作的情况下，系统管理员要经常使用下列命令(必要的话，系统管理员可以改变 path，或者修改二进制文件名称，放到一个只有自己知道的目录下)在保证二进制文件没有被篡改的情况下用绝对路径 /bin/who /bin/w /bin/last /bin/lastcomm /bin/netstat /bin/snmpnetstat . . . shell 的历史文件 如：.history 、.rchist、.bash_history...... 7、日志 8、........ 因为 unix&vlinux系列源代码是开放的，所以如果入侵者装上了内核后门 #!@$%!#@%$#@^$& 强烈建议备份您机器上重要文件，重装系统，打好补丁，迎接入侵者^_^ /******************借助第三方软件协助分析 IDS Firewall .....***********************/ 入侵检测介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。 --shutgon的话：）