攻入Linux系統後,很多入侵者往往就開始得意忘形了。這其中還有一個原因,就是技術性也要求更高了。下面,我們來看看一些常用的經典工具。
1、從這裡延伸:後門和連接工具
(1)Httptunnel
Tunnel的意思是隧道,通常HTTPTunnel被稱之為HTTP暗道,它的原理就是將數據偽裝成HTTP的數據形式來穿過防火牆,實際上,它是在HTTP請求中創建了一個雙向的虛擬數據連接來穿透防火牆。說得簡單點,就是說在防火牆兩邊都設立一個轉換程序,將原來需要發送或接受的數據包封裝成HTTP請求的格式騙過防火牆,所以它不需要別的代理服務器而直接穿透防火牆。
HTTPTunnel包括兩個程序:htc和hts,其中htc是客戶端,而hts是服務器端,我們現在來看看我是如何用它們的。比如開了FTP的機器的IP是192.168.10.231,本地機器IP是192.168.10.226,因為防火牆的原因,本地機器無法連接到FTP上。怎麼辦?現在就可以考慮使用HTTPTunnel了。過程如下:
第一步:在本地機器上啟動HTTPTunnel客戶端。用Netstat看一下本機現在開放的端口,會發現8888端口已在偵聽。
第二步:在對方機器上啟動HTTPTunnel的服務器端,並執行命令“hts -f localhost:21 80”,這個命令的意思是說,把本機的21端口發出去的數據全部通過80端口中轉一下,並且開放80端口作為偵聽端口,再用Neststat看一下他的機器,就會發現80端口現在也在偵聽狀態。
第三步:在本地機器上用FTP連接本機的8888端口,會發現已經連上對方的機器了。那麼,為什麼人家看到的是127.0.0.1,而不是192.168.10.231呢?因為我們現在是連接本機的8888端口,防火牆肯定不會有反應,如果沒往外發包,局域網的防火牆肯定就不知道了。現在連接上本機的8888端口以後,FTP的數據包不管是控制信息還是數據信息,都被htc偽裝成HTTP數據包然後發過去,在防火牆看來,這都是正常數據,相當於欺騙了防火牆。
需要說明的是,這一招的使用需要其他機器的配合,就是說要在他的機器上啟動一個hts,把他所提供的服務,如FTP等重定向到防火牆所允許的80端口上,這樣才可以成功繞過防火牆!肯定有人會問,如果對方的機器上本身就有WWW服務,也就是說他的80端口在偵聽,這麼做會不會沖突?HTTPTunnel的優點就在於,即使他的機器以前80端口開著,現在也不會出現什麼問題,重定向的隧道服務將暢通無阻!
(2)Tcp_wrapper
Tcp_wrapper是Wietse Venema開發的一個免費軟件。Tcp_wrapper的誕生有個小小的故事,大約1990年,作者所在大學的服務器屢屢受到一個外來黑客侵入,因為受害主機的硬盤數據屢次被rm -rf/命令整個抹掉,所以找尋線索極為困難,直到有一天晚上作者在工作的過程中無意中發現這個黑客在不斷的finger 受害主機、偷窺受害者的工作。於是,一個想法誕生了:設計一個軟件,使它可以截獲發起finger請求的IP,用戶名等資料。Venema很快投入了工作,而Tcp_wrapper也由此誕生!此後,Tcp_wrapper隨著廣泛的應用逐漸成為一種標准的安全工具。通過它,管理員實現了對inetd提供的各種服務進行監控和過濾。
Tcp_wrapper編譯安裝成功後,會生成一個tcpd程序,它可以在inetd.conf這個控制文件中取代in.telnetd的位置,這樣,每當有telnet的連接請求時,tcpd即會截獲請求,先讀取管理員所設置的訪問控制文件,合乎要求,則會把這次連接原封不動的轉給真正的in.telnetd程序,由in.telnetd完成後續工作。如果這次連接發起的ip不符合訪問控制文件中的設置,則會中斷連接請求,拒絕提供telnet服務。Tcp_wrapper訪問控制的實現是依靠兩個文件:hosts.allow,hosts.deny來實現的。如果我們編輯/etc/syslog.conf文件時,加入了日志紀錄功能,即:
#tcp wrapper log
local3.info /var/log/tcplog
編輯結束後,保存文件,在/var/log下會生成tcplog文件,注意這個文件的讀寫屬性, 應該只對root有讀寫權限。然後ps -ef grep syslogd,找出syslogd的進程號,kill -HUP 重啟syslogd進程使改動生效。 在這裡,我們可以預先看一看以後生成的tcplog文件內容,如下:
Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1
Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5
Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3
Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5
Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1
從上面我們可以看到,在安裝了Tcp_wrapper的主機上,系統的每一次連接,Tcp_wrapper都做了紀錄,它的內容包括時間、服務、狀態、ip等,對攻擊這有很大的參考價值,不過,一定要記得清除日志了。
(3)rootkit工具:LRK
Rootkit出現於二十世紀90年代初,它是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊或者密碼猜測獲得系統的訪問權限。接著,攻擊者會在侵入的主機中安裝rootkit,然後他會通過rootkit的後門檢查系統,看是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息。通過rootkit的嗅探器獲得其它系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其它的系統。
如果攻擊者能夠正確地安裝rootkit並合理地清理了日志文件,系統管理員就會很難察覺系統已經被侵入,直到某一天其它系統的管理員和他聯系或者嗅探器的日志把磁盤全部填滿,他才會察覺已經大禍臨頭了。不過,在系統恢復和清理過程中,大多數常用的命令例如ps、df和ls已經不可信了。許多rootkit中有一個叫做FIX的程序,在安裝rootkit之前,攻擊者可以首先使用這個程序做一個系統二進制代碼的快照,然後再安裝替代程序。FIX能夠根據原來的程序偽造替代程序的三個時間戳(atime、ctime、mtime)、date、permission、所屬用戶和所屬用戶組。如果攻擊者能夠准確地使用這些優秀的應用程序,並且在安裝rootkit時行為謹慎,就會讓系統管理員很難發現。
下面我們介紹一個非常典型的針對Linux系統的LRK版本6。Linux Rootkit 6是一個開放源碼的rootkit,經過多年的發展,Linux Rootkit的功能越來越完善,具有的特征也越來越多。下面我們簡單地介紹一下Linux Rootkit包含的各種工具。
首先是隱藏入侵者行蹤的程序。為了隱藏入侵者的行蹤,Linux Rootkit IV的作者可謂煞費心機,編寫了許多系統命令的替代程序,使用這些程序代替原由的系統命令,來隱藏入侵者的行蹤。這些程序包括:
ls、find、du 這些程序會阻止顯示入侵者的文件以及計算入侵者文件占用的空間。在編譯之前,入侵者可以通過ROOTKIT_FILES_FILE設置自己的文件所處的位置,默認是/dev/ptyr。注意如果在編譯時使用了SHOWFLAG選項,就可以使用ls -/命令列出所有的文件。這幾個程序還能夠自動隱藏所有名字為:ptyr、hack.dir和W4r3z的文件。
ps、top、pidof 這幾個程序用來隱藏所有和入侵者相關的進程。
netstat 隱藏出/入指定IP地址或者端口的網絡數據流量程。
killall 不會殺死被入侵者隱藏的進程。
ifconfig 如果入侵者啟動了嗅探器,這個程序就阻止PROMISC標記的顯示,使系統管理員難以發現網絡接口已經處於混雜模式下。
crontab 隱藏有關攻擊者的crontab條目。
tcpd 阻止向日志中記錄某些連接。
syslogd 過濾掉日志中的某些連接信息。
其次是後門程序。木馬程序可以為本地用戶提供後門;木馬網絡監控程序則可以為遠程用戶提供inetd、rsh、ssh等後門服務,具體因版本而異。隨著版本的升級,Linux Rootkit IV的功能也越來越強大,特征也越來越豐富。一般包括如下網絡服務程序:
chfn 提升本地普通用戶權限的程序。運行chfn,在它提示輸入新的用戶名時,如果用戶輸入rookit密碼,他的權限就被提升為root。
chsh 提升本地用戶權限的程序。運行chsh,在它提示輸入新的shell時,如果用戶輸入rootkit密碼,他的權限就被提升為root。
passwd 和上面兩個程序的作用相同。在提示你輸入新密碼時,如果輸入rookit密碼,權限就可以變成root。
login 允許使用任何帳戶通過rootkit密碼登錄。如果使用root帳戶登錄被拒絕,可以嘗試一下rewt。當使用後門時,這個程序還能夠禁止記錄命令的歷史記錄。
inetd 特洛伊inetd程序,為攻擊者提供遠程訪問服務。
rshd 為攻擊者提供遠程shell服務。攻擊者使用rsh -l rootkitpassWord host command命令就可以啟動一個遠程root shell。
sshd 為攻擊者提供ssh服務的後門程序。
再就是工具程序。所有不屬於以上類型的程序都可以歸如這個類型,它們實現一些諸如:日志清理、報文嗅探以及遠程shell的端口綁定等功能,包括:
fix 文件屬性偽造程序。
linsniffer 報文嗅探器程序。
sniffchk 一個簡單的bash shell腳本,檢查系統中是否正有一個嗅探器在運行。
login 允許使用任何帳戶通過rootkit密碼登錄。如果使用root帳戶登錄被拒絕,可以嘗試一下rewt。當使用後門時,這個程序還能夠禁止記錄命令的歷史記錄。
z2 utmp/wtmp/lastlog日志清理工具。可以刪除utmp/wtmp/lastlog日志文件中有關某個用戶名的所有條目。不過,如果用於Linux系統需要手工修改其源代碼,設置日志文件的位置。
bindshell 在某個端口上綁定shell服務,默認端口是12497。為遠程攻擊者提供shell服務。
(4)netcat
這是一個簡單而有用的工具,能夠通過使用TCP或UDP協議的網絡連接去讀寫數據。它被設計成一個穩定的後門工具,能夠直接由其它程序和腳本輕松驅動。同時,它也是一個功能強大的網絡調試和探測工具,能夠建立你需要的幾乎所有類型的網絡連接,還有幾個很有意思的內置功能。
2、查找Linux下的蛛絲馬跡:日志工具
對於高明的攻擊者來說,進入系統後,還應了解自己的“蛛絲馬跡”並清除這些痕跡,自然就要了解一些日志工具了。
(1)logcheck
logchek 可以自動地檢查日志文件,定期檢查日志文件以發現違反安全規則以及異常的活動。它先把正常的日志信息剔除掉,把一些有問題的日志保留下來,然後把這些信息 email 給系統管理員。logcheck 用 logtail 程序記住上次已經讀過的日志文件的位置,然後從這個位置開始處理新的日志信息。logcheck 主要由下面幾個主要的文件:
logcheck.sh 可執行的腳本文件,記錄logcheck檢查那些日志文件等,我們可以把它加入crontab中定時運行。
logcheck.hacking 是logcheck 檢查的模式文件。和下面的文件一起,按從上到下的順序執行。這個文件表明了入侵活動的模式。
logcheck.violations 這個文件表示有問題,違背常理的活動的模式。優先級小於上面的那個模式文件。
logcheck.violations
.ignore 這個文件和上面的logcheck.violations的優先是相對的,是我們所不關心的問題的模式文件。
logcheck.ignore 這是檢查的最後一個模式文件。如果沒有和前三個模式文件匹配,也沒有匹配這個模式文件的話,則輸出到報告中。
Logtail 記錄日志文件信息。
Logcheck首次運行時讀入相關的日志文件的所有內容,Logtail會在日志文件的目錄下為每個關心的日志文件建立一個logfile.offset 的偏移量文件,以便於下次檢查時從這個偏移量開始檢查。Logcheck執行時,將未被忽略的內容通過郵件的形式發送給 logcheck.sh 中 系統管理員指定的用戶。
(2)logrotate
一般Linux 發行版中都自帶這個工具。它可以自動使日志循環,刪除保存最久的日志,它的配置文件是 /etc/logrotate.conf,我們可以在這個文件中設置日志的循環周期、日志的備份數目以及如何備份日志等等。在/etc/logrotate.d目錄下,包括一些工具的日志循環設置文件,如syslog等,在這些文件中指定了如何根據/etc/logrotate.conf做日志循環,也可以在這裡面添加其他的文件以循環其他服務的日志。
(3)swatch
swatch 是一個實時的日志監控工具,我們可以設置感興趣的事件。Swatch 有兩種運行方式:一種可以在檢查日志完畢退出,另一種可以連續監視日志中的新信息。Swatch提供了許多通知方式,包括email、振鈴、終端輸出、多種顏色等等。安裝前,必須確保系統支持perl。swatch 軟件的重點是配置文件swatchmessage,這個文本文件告訴 swatch 需要監視什麼日志,需要尋找什麼觸發器,和當觸發時所要執行的動作。當swatch發現與swatchmessage中定義的觸發器正則表達式相符時,它將執行在 swatchrc中定義的通知程序。
當然,上面所介紹的軟件只是Linux大海中的幾只美麗的貝殼,隨著越來越多的用戶加入到Linux大軍中,我們相信,優秀的Hack也將越來越多,這反過來也將促進Linux操作系統逐步走向成熟,我們拭目以待。
