Читаем Спецвыпуск журнала «Хакер» #47, октябрь 2004 г. полностью

Самыми популярными программками являются авторутеры. В их задачу входит сканирование указанного диапазона адресов на предмет уязвимой службы, проникновение на сервер с помощью эксплоита, добавление нового пользователя с 0-уидом и запись информации в журнал. Главным недостатком подобного софта является огромное количество следов (если можно назвать следом нового юзера с правами админа :)), им оставляемых на машине-жертве. Избавиться от этого достаточно серьезного изъяна можно путем модифицирования shell-кода (подробнее об этом читай в Спеце #08.04(45)), например, встроив в него код, создающий LKM для сокрытия присутствия хакера и т.п.

Не менее распространенными в хакерских кругах являются сканеры безопасности. В отличие от авторутера, сканер – менее активный инструмент, после обнаружения уязвимости он оповещает о ней злоумышленника (интерактивно либо через лог), а не использует тотчас же эксплоит. Предмет сканирования может быть любым: www-скрипт, порт дырявого демона, хост или даже целая подсеть!

Помимо сканеров и «комплектов злых бинарников» существуют гибкие эксплоиты. Принцип их работы немного схож с алгоритмом авторутера, однако весь вражеский код зашит в один-единственный файл. Гибкий эксплоит тоже сканирует некоторый диапазон адресов на предмет уязвимости и применяет свой арсенал для всех найденных тачек. Под Windows отличным примером такой программки служил бы kaht2 (RPC DCOM-эксплоит).

Самое обидное, что автоматические сканеры и авторутеры редко попадают в публичные источники. Как правило, их выкладывают, только когда баг теряет актуальность, либо публикуют в урезанном варианте. Собранную мною коллекцию, уже довольно старенькую, ты сможешь найти на моем сайте .

Хотелось бы рассказать о некоторых нашумевших в свое время авторутерах. Даже если какой-нибудь из них уже потерял былую актуальность, никто не помешает тебе переделать его под новый баг.

С год назад я добыл аккаунт на каком-то хакерском FTP и вытащил оттуда файл под названием mass-scan.tar.gz. В архиве оказался авторутер, да не простой, а комбинированный. Эксплуатировал авторутер целых четыре уязвимости в bind, lpd, ftpd и rpc.*! Последний баг, кстати, до сих пор актуален для древних машинок на SunOS, IRIX и HP-UX. В общем, такой мощный пакет заслуживал доверия. Но, как известно, все познается на практике, поэтому я решил проверить работу этого авторутера. Мне пришлось поставить на свою машину дырявый ProFTPD, а затем натравить на него бинарник r00t. Даже не просто натравить, а заставить просканировать весь сегмент. Автоматизированная система выдержала все испытания и успешно справилась с задачей, взломав меня без каких-либо проблем.

Следующий интересный авторутер использовал известный баг в OpenSSH. Ты, наверное, помнишь множество поколений эксплоита x2. Так вот, комплект xssh.tgz содержал в себе сплоит x2, а также два бинарника: Xnet и Xirc.

Xnet – обычный сканер, совмещенный с эксплоитом, при запуске он искал в заданном диапазоне IP-адресов хост с нужным демоном и пытался его порутать. В случае успеха эксплоит автоматически добавлял нового юзера на машине жертвы, сообщал об этом к себе в лог и продолжал поиск.

Xirc делал нечто куда более оригинальное. Он заходил в IRC и пытался найти жертву там! Xirc join’ился на определенный канал и проверял всех присутствующих на предмет уязвимости в OpenSSH. Найдя ее, запускал эксплоит и далее по тому же принципу, что и в Xnet.

Этот авторутер успешно тестировался мной в локальной сети одного университета. Практически все демоны в университетской локалке были уязвимы, поэтому Xnet подарил мне целых шесть рутов!

Но на все уязвимости авторутеров не напасешься, да и обнаружить их все не так-то уж просто. Тут на помощь приходят сканеры безопасности.

Под *nix-системы существует много различных сканеров, но самый известный из них – nessus. Этот пакет состоит из двух частей – серверной и клиентской. Перед тем как сканировать сеть на уязвимости, необходимо сконфигурировать nessusd.conf и создать нового пользователя (командой nessus-adduser). Затем можно запускать демон nessusd с параметром -D (в режиме демона). Далее с настройкой можно разобраться и без бутылки: запускаем клиент и в удобных Иксах конфигурируем параметры nessus. Не забудь указать логин и пароль того юзера, которого ты создал консольным nessus-adduser. Пожалуй, после этих шагов nessus готов к автоматизированному сканированию. К каждому найденному багу прилагается подробное описание включая ссылку на багтрак, так что ты всегда будешь знать, каким эксплоитом можно атаковать дырявого пингвина!

Следующий хакерский сканер поможет найти уязвимость по заданному баннеру. Известный grabbb от TESO умеет сканировать сетевую местность с записью в журнал баннеров указанных служб – стоит лишь запустить его в бэграунд с полным логгингом. Именно с помощью grabbb я искал уязвимые FTPD.