1、從這裡延伸:後門和連線工具
tunnel的意思是隧道,通常httptunnel被稱之為http暗道,它的原理就是將資料偽裝成http的資料形式來穿過防火牆,實際上,它是在http請求中建立了乙個雙向的虛擬資料連線來穿透防火牆。說得簡單點,就是說在防火牆兩邊都設立乙個轉換程式,將原來需要傳送或接受的資料報封裝成http請求的格式騙過防火牆,所以它不需要別的**伺服器而直接穿透防火牆。
httptunnel包括兩個程式:htc和hts,其中htc是客戶端,而hts是伺服器端,我們現在來看看我是如何用它們的。比如開了ftp的機器的ip是192.168.10.231,本地機器ip是192.168.10.226,因為防火牆的原因,本地機器無法連線到ftp上。怎麼辦?現在就可以考慮使用httptunnel了。過程如下:
第一步:在本地機器上啟動httptunnel客戶端。用netstat看一下本機現在開放的埠,會發現8888埠已在偵聽。
第二步:在對方機器上啟動httptunnel的伺服器端,並執行命令「hts -f localhost:21 80」,這個命令的意思是說,把本機的21埠發出去的資料全部通過80埠中轉一下,並且開放80埠作為偵聽埠,再用neststat看一下他的機器,就會發現80埠現在也在偵聽狀態。
第三步:在本地機器上用ftp連線本機的8888埠,會發現已經連上對方的機器了。那麼,為什麼人家看到的是127.0.0.1,而不是192.168.10.231呢?因為我們現在是連線本機的8888埠,防火牆肯定不會有反應,如果沒往外發包,區域網的防火牆肯定就不知道了。現在連線上本機的8888埠以後,ftp的資料報不管是控制資訊還是資料資訊,都被htc偽裝成http資料報然後發過去,在防火牆看來,這都是正常資料,相當於欺騙了防火牆。
需要說明的是,這一招的使用需要其他機器的配合,就是說要在他的機器上啟動乙個hts,把他所提供的服務,如ftp等重定向到防火牆所允許的80埠上,這樣才可以成功繞過防火牆!肯定有人會問,如果對方的機器上本身就有www服務,也就是說他的80埠在偵聽,這麼做會不會衝突?httptunnel的優點就在於,即使他的機器以前80埠開著,現在也不會出現什麼問題,重定向的隧道服務將暢通無阻!
編輯結束後,儲存檔案,在/var/log下會生成tcplog檔案,注意這個檔案的讀寫屬性, 應該只對root有讀寫許可權。然後ps -ef | grep syslogd,找出syslogd的程序號,kill -hup 重啟syslogd程序使改動生效。 在這裡,我們可以預先看一看以後生成的tcplog檔案內容,如下:
jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1
jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5
jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3
aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5
aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1
(3)rootkit工具:lrk
rootkit出現於二十世紀90年代初,它是攻擊者用來隱藏自己的蹤跡和保留root訪問許可權的工具。通常,攻擊者通過遠端攻擊或者密碼猜測獲得系統的訪問許可權。接著,攻擊者會在侵入的主機中安裝rootkit,然後他會通過rootkit的後門檢查系統,看是否有其他的使用者登入,如果只有自己,攻擊者就開始著手清理日誌中的有關資訊。通過rootkit的嗅探器獲得其它系統的使用者和密碼之後,攻擊者就會利用這些資訊侵入其它的系統。
如果攻擊者能夠正確地安裝rootkit並合理地清理了日誌檔案,系統管理員就會很難察覺系統已經被侵入,直到某一天其它系統的管理員和他聯絡或者嗅探器的日誌把磁碟全部填滿,他才會察覺已經大禍臨頭了。不過,在系統恢復和清理過程中,大多數常用的命令例如ps、df和ls已經不可信了。許多rootkit中有乙個叫做fix的程式,在安裝rootkit之前,攻擊者可以首先使用這個程式做乙個系統二進位制**的快照,然後再安裝替代程式。fix能夠根據原來的程式偽造替代程式的三個時間戳(atime、ctime、mtime)、date、permission、所屬使用者和所屬使用者組。如果攻擊者能夠準確地使用這些優秀的應用程式,並且在安裝rootkit時行為謹慎,就會讓系統管理員很難發現。
下面我們介紹乙個非常典型的針對linux系統的lrk版本6。linux rootkit 6是乙個開放原始碼的rootkit,經過多年的發展,linux rootkit的功能越來越完善,具有的特徵也越來越多。下面我們簡單地介紹一下linux rootkit包含的各種工具。
ls、find、du。這些程式會阻止顯示入侵者的檔案以及計算入侵者檔案占用的空間。在編譯之前,入侵者可以通過rootkit_files_file設定自己的檔案所處的位置,預設是/dev/ptyr。注意如果在編譯時使用了showflag選項,就可以使用ls -/命令列出所有的檔案。這幾個程式還能夠自動隱藏所有名字為:ptyr、hack.dir和w4r3z的檔案。
ps、top、pidof。這幾個程式用來隱藏所有和入侵者相關的程序。
netstat。隱藏出/入指定ip位址或者埠的網路資料流量程。
killall。不會殺死被入侵者隱藏的程序。
ifconfig。如果入侵者啟動了嗅探器,這個程式就阻止promisc標記的顯示,使系統管理員難以發現網路介面已經處於混雜模式下。
crontab。隱藏有關攻擊者的crontab條目。
tcpd。阻止向日誌中記錄某些連線。
syslogd。過濾掉日誌中的某些連線資訊。
其次是後門程式。木馬程式可以為本地使用者提供後門;木馬網路監控程式則可以為遠端使用者提供inetd、rsh、ssh等後門服務,具體因版本而異。隨著版本的公升級,linux rootkit iv的功能也越來越強大,特徵也越來越豐富。
再就是工具程式。所有不屬於以上型別的程式都可以歸如這個型別,它們實現一些諸如:日誌清理、報文嗅探以及遠端shell的埠繫結等功能。
(4)netcat
這是乙個簡單而有用的工具,能夠通過使用tcp或udp協議的網路連線去讀寫資料。它被設計成乙個穩定的後門工具,能夠直接由其它程式和指令碼輕鬆驅動。同時,它也是乙個功能強大的網路除錯和探測工具,能夠建立你需要的幾乎所有型別的網路連線,還有幾個很有意思的內建功能。
2、查詢linux下的蛛絲馬跡:日誌工具
對於高明的攻擊者來說,進入系統後,還應了解自己的「蛛絲馬跡」並清除這些痕跡,自然就要了解一些日誌工具了。
1)logcheck
logchek 可以自動地檢查日誌檔案,定期檢查日誌檔案以發現違反安全規則以及異常的活動。它先把正常的日誌資訊剔除掉,把一些有問題的日誌保留下來,然後把這些資訊 email 給系統管理員。logcheck 用 logtail 程式記住上次已經讀過的日誌檔案的位置,然後從這個位置開始處理新的日誌資訊。logcheck 主要由下面幾個主要的檔案:
logcheck.sh
可執行的指令碼檔案,記錄logcheck檢查那些日誌檔案等,我們可以把它加入crontab中定時執行。
logcheck.hacking
是logcheck 檢查的模式檔案。和下面的檔案一起,按從上到下的順序執行。這個檔案表明了入侵活動的模式。
logcheck.violations
這個檔案表示有問題,違背常理的活動的模式。優先順序小於上面的那個模式檔案。
logcheck.violations.ignore
這個檔案和上面的logcheck.violations的優先是相對的,是我們所不關心的問題的模式檔案。
logcheck.ignore
這是檢查的最後乙個模式檔案。如果沒有和前三個模式檔案匹配,也沒有匹配這個模式檔案的話,則輸出到報告中。
logtail
記錄日誌檔案資訊。
logcheck首次執行時讀入相關的日誌檔案的所有內容,logtail會在日誌檔案的目錄下為每個關心的日誌檔案建立乙個logfile.offset 的偏移量檔案,以便於下次檢查時從這個偏移量開始檢查。logcheck執行時,將未被忽略的內容通過郵件的形式傳送給 logcheck.sh 中 系統管理員指定的使用者。
(2)logrotate
一般linux 發行版中都自帶這個工具。它可以自動使日誌迴圈,刪除儲存最久的日誌,它的配置檔案是 /etc/logrotate.conf,我們可以在這個檔案中設定日誌的迴圈週期、日誌的備份數目以及如何備份日誌等等。在/etc/logrotate.d目錄下,包括一些工具的日誌迴圈設定檔案,如syslog等,在這些檔案中指定了如何根據/etc/logrotate.conf做日誌迴圈,也可以在這裡面新增其他的檔案以迴圈其他服務的日誌。
(3)swatch
swatch 是乙個實時的日誌監控工具,我們可以設定感興趣的事件。swatch 有兩種執行方式:一種可以在檢查日誌完畢退出,另一種可以連續監視日誌中的新資訊。swatch提供了許多通知方式,包括email、振鈴、終端輸出、多種顏色等等。安裝前,必須確保系統支援perl。swatch 軟體的重點是配置檔案swatchmessage,這個文字檔案告訴 swatch 需要監視什麼日誌,需要尋找什麼觸發器,和當觸發時所要執行的動作。當swatch發現與swatchmessage中定義的觸發器正規表示式相符時,它將執行在 swatchrc中定義的通知程式。
當然,上面所介紹的軟體只是linux大海中的幾隻美麗的貝殼,隨著越來越多的使用者加入到linux大軍中,我們相信,優秀的hack也將越來越多,這反過來也將促進linux作業系統逐步走向成熟,我們拭目以待。
Linux下常用日誌分析工具
linux下常用日誌分析工具 logcheck簡介 對於擁有大量賬戶 系統繁忙的linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如logcheck和friends。logcheck用來分析龐大的日...
Linux下後門初探(一)
在linux下建立後門方式一 預設情況下 gnu netcat 不支援持續性監聽操作。每一次accept並執行完命令之後,netcat就會斷開連線。如果需要讓 netcat 保持持續性監聽狀態,就必須使用迴圈語句不斷的開啟新的監聽模式。listener.sh 監聽指令碼 bin bash while...
Linux下常用日誌分析工具Logcheck簡介
對於擁有大量賬戶 系統繁忙的 linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如logcheck和friends。該程式的安裝相當方便。解壓後執行make檔案,按照它的提示選擇作業系統的型別以後就...