Ping www.xxx.org 在线
1、发现漏洞:ftp:/ftp.XXX.org——和http://www.XXX.org是同一个并且有一个可写的目录存在!编写了脚本并上传到了那个可写的目录中。从浏览器中调用脚本,再上传一些bindshell的程序并在浏览器中来编译它,然后执行……
看起来是一次太正常的访问,显然防火墙没有拒绝。
2、现在telnet到端口XXX——得到了本地nobody权限的进入权——因为cgi是以nobody身份运行的。并用相关命令找到系统运行平台:运行的是freebsd3.4的平台。
这是一次普通的telnet连接,一般情况下入侵检测会为了提高性能而不检测这种低级事件,即使会检测到也不会报警,即使报警管理员也不会发现。他们早已被太多的误报、漏报以及大量的无用信息搞得心烦意乱。
3、为了不用缓冲区溢出或者什么exploit等来得到root以免惊动可能有的入侵检测系统,他们对这种事倒是盯得紧一些。所以开始寻找本身配置的错 误,经过长时间的搜索,发现mysql是以root的权限运行的,并且可以本地运行,因为xxx.org还运行了需要mysql帐号的程序,并且将其用户 名/密码明文存放,所以很轻易的就可以获得mysql数据库的帐号密码。找到端口重定向的工具了,以便本地能使用mysql客户端了。
4、完全控制mysql后,我们可以在任何地方以root的身份建立文件,这些文件将是666权限的,虽然无法覆盖其它文件,但它仍然是有用的,在 root的文件夹建立一个文件等待某人来运行su了,就得到了一个suid的shell,成为root。这下想干什么就可以干什么了。
5、擦掉在系统日志里的信息,退出。
从以上入侵我们可以看到防火墙和IDS(入侵检测系统)无论设计得多么严密,毕竟是基于一定的规则进行被动防御的,而系统总是可能存在一些漏洞,这些漏洞也总是有被高明的黑客发现的可能。所以说网络安全永 远只是相对的,再坚固的防御、再高明的网管也不能说一定能挡住所有的入侵和攻击,那我们如何建立更合理的防御系统,被入侵后如何尽可能地挽回损失?要做到 这些我们必须从建防火墙、IDS走向更高层面的防御,建立富有创造性、先进的主动防御体系,网络入侵取证将会是提升网络安全的有力武器之一。在上面的实例 里如果网管只建立了常规的被动防御的话,就完全无法追查事件,甚至不知道曾经发生过什么,但是如果有了网络入侵取证系统就会完全不同。入侵取证系统可以完 整地记录下网络上所有流量,同时还可以对所保护的主机的日志进行实时转移和保护,并对记录的所有以上信息进行加密封存,在将网络上发生的事件完全记录的同时还能保证记录的原始性、完整性、不可更改性。下面我们看看如果上述入侵发生时网络上安装有入侵取证系统的情况,通过这个实例大家应该对入侵取证系统有一个初步的了解:
网管发现问题后,先确定事件发生的时间,用分析机将取证系统中该时段的记录全部调出,首先找出SERVER的日志,发现(以下技术部写),然后察看对应 的网络数据,发现(以下技术部写),最后定位为IP地址为A的机器发起了以上攻击,经公安部门协助追查,A为某大学的服务器,调出A的记录,经过排查,发 现是IP地址为B的机器攻陷A后进行的攻击,再查B的IP,是电信局拨号上网分配的,调出电信记录,查到上网电话,发现机主就是该单位某辞退员工,一切一 目了然,下来就是具体处理问题了,责成其赔偿损失并进行应有的行政处罚或法律制裁。
其实在欧美等互联网发达国家入侵取证早已成为了安 全热点,美国政府和银行目前在安全问题上最关注的就是如何实现取证。国内目前也有厂家开发出了入侵取证产品,并已在一些领域有了应用,可以预见入侵取证即 将成为大家关注的中心,如果能用好这个产品,应该说是我们互联网安全的一大进步,毕竟这是第一款不是着眼于简单防御的产品,也是第一款与法律密切相关的互 联网安全产品。入侵取证系统将和防火墙与IDS一样成为网络安全最核心、重要的产品。
但是入侵取证并不是万能的,它只是整个安全防御 体系中的一个重要构成部分,它可以与防火墙、IDS等一起构成更为坚固的安全防御体系,而如果没有防火墙等基本安全设备,入侵取证的存在也就没有意义了。 如果我们将网络安全产品与传统的保安产品做一个类比,入侵取证的概念就更清晰了,防火墙好比网络上的防盗门、IDS好比网络上的红外线探测警报器、入侵取 证系统就好比网络上的录像监控系统,而对于安全来说,你一定是先有防盗门,然后才能考虑红外线探测警报器和录像监控系统。网络安全也一样,防火墙一定是最 基本的设备,之后才可以考虑配置IDS和入侵取证系统了,但是有了IDS和入侵取证系统,网络安全的水平就一定会有一个质的飞跃。
