Jak odhalit útok

Napsal O webu (») 26. 9. 2004 v kategorii Bezpečnost, přečteno: 2694×

Aneb jak je možno útočit, co třeba úprava webových stránek, a nebo velká zátěž počítače, takový faktoriál z miliardy bude asi rychlý :-).

Pro hackera je nejen důležité vědět, jak hackovat, ale i jak se proti hackování bránit. Většinou to spolu souvisí - hacker je v dané problematice natolik zkušený, že zná i slabiny oné věci. Nebo naopak: pokud známe slabiny stroje, můžeme na něj úspěšněji útočit. Podívejme se na možnosti, jak váš hacker může atakovat, popř. jakým způsobem můžete atakovat vy.

Úprava webových stránek

Většinou lamerská či crackerská záležitost. I když je to jedna z možností, jak dát adminovi vědět, že nemá v systému něco v pořádku. Chytrý hacker ale toto nedělá. Pokud se už dostane do nějakého počítače, snaží na sebe neupozornit. Takový stroj se pak hodí k redirectory (přesměrování).

Tak mně napadá, že zde vzniká taková relativní věc: nezkušený hacker se musí zezačátku hodně snažit, aby se utajil, tj. třeba používal hodně redirectory. Později, když už je zkušený, má už nějaké ty servery "nastřádané'' a takové problémy nemá. :-)

Jak na to? Zde se většinou užívají typické způsoby zjišťování hesel: brutal force, používání wordlistů, social engineering apod. Pokud ovšem nezískáme rovnou nějak rootovská práva díky nějakému exploitu.

Zaplňování harddisku

Někdy hackeři používají počítač k ukládání svých souborů: ať už je to warez, filmy a obrázky pochybného původu, mp3 atd. Moc jsem o tom neslyšel a věřím, že dnes už admini nejsou tak hloupí, aby si toho nevšimli.

Jak na to? Pokud získáte superuživatelská práva, existují tuny možností, co s tím. Ukládat pod jinými názvy, na neobvyklá místa apod. Pokud máte "jenom'' účet obyčejného uživatele, používá se na kopírování mezi počítači programy rcp, scp (zabezpečený přenos), ftpcp, popř. jiné (záleží na přenosovém protokolu).

Pomalá síť

Pokud se vaše připojení pohybuje rychlostí 0,3 kB za sekundu, je možné, (ale ne jisté), že jste napadeni hackerem, který využívá vašeho připojení. Např. máte velmi rychlé připojení (mikrovlnka, kabel aj.) a on ho chce využít pro stažení nějakého většího souboru. Toto se může stát, pokud máte nějakou lokální síť, kam chodí více lidí. Hacker si pak přijde a jednoduše si soubor např. vypálí. Možností 'proč' je více. Jinak pomalost připojení může být zapříčiněna třeba samotnou zahlceností sítě (zde je ale možnost napadení DoSem), nebo si některý váš program stahuje nějaká data (aktualizace antivirů, trojské koně :-).

Jak na to? Co tady napsat? Jakmile se dostanete na počítač, můžete si stahovat, jak se vám zachce. Dokonce nemusíte být ani přihlášení. To zvládá např. známý stahovací program wget, a to pomocí příkazu nohup, který potlačuje signál HANGUP.

Obvinění z hackování

Jestli dostanete nějaký mail, ve kterém vás nějaký admin obviňuje, že jste hackovali jeho stroj (síť), jsou 2 možnosti. Buď vás někdo hacknul a použil jako redirector nebo jste skutečně hackovali vy. V prvním případě se pokuste být vstřícní a třeba i umožnit adminovi přístup na počítač, aby si vše obhlédl. Samozřejmě děláme kopie "nebezpečných'' souborů (příručky o hackování, zdrojáky virů apod.), které někam zazálohujeme a z disku je pak smažeme.

No a pokud jste hackovali vy, doporučuji udělat to samé, akorát smažete různé logy, .bash_history a jiné podobné podezřelé soubory. Jo, a pokud jste byli hacknuti vy, zkuste se podívat na výpis ifconfig -a. Jestliže objevíte něco jako PROMISC, znamená to, že vaše síťová karta je nastavena do promiskuitního módu, který umožňuje zachytávat pakety procházející sítí, které nepatří danému počítači (prostě kontroluje všechno).

Zkrácené či smazané soubory

Smazat soubor si může každý. Pokud ale víte, že jste celou dobu pracoval jako normální uživatel a náhle vám schází /var/log/messages, něco není v pořádku. Hackeři mění protokolové soubory, aby po sobě zametli stopy. To je základní věc, kterou musí každý umět, jestliže nechce mít po prvním hacku problémy. Proto doporučuji začínajícím hackerům, aby "zkoušeli'' na strojích, kde jsou zaručeně málo zkušení admini.

V podstatě může být smazán či změněn jakýkoliv soubor, ale hlavně jsou to ty v adresářích /var/, konkrétně /var/log/ a /var/run/. Pokud se přihlásíte pod nějakým loginem, je to zapsáno do /var/run/utmp a /var/log/wtmp.

Jak na to? O tom, které soubory měnit a hlavně *jak* (datum, velikost, kontrolní součty, integrity souborů...) by bylo možné napsat knihu. V základu ale měňte všeobecně známé soubory, rozhodně je nemažte! Pomocí touch -t MMDDhhmm[[RR]RR][.ss] můžete měnit datum, které si předtím u souboru zjistěte. Pokud jste přihlášení pod nějakým uživatelem, smažte .bash_history, a nebo lépe: nahraďte ji nějakým svým "neškodným" .bash_history. Jinak na vyhlazování záznamů o přihlášení existují prográmky jako zap, wipe a vanish2.

Noví uživatelé

Jestliže zjistíte, že v /etc/passwd (popř. /etc/shadow) máte nějaké uživatele, které neznáte (v případě velkých sítích to bude složitější), je velká pravděpodobnost, že se s vaším počítačem děje něco nekalého. Zvlášť, když uživatel nemá adresář v /home/. Často se používají jména loginů podobná některým programům, aby nebyla tak nápadná.

Jak na to? Tady je rada jednoduchá: nevytvářet nové uživatele. Jestliže se vám někdy podařilo dostat se na počítač, nepotřebujete vytvářet další uživatele. Stejně musíte (pokud se vám to nepovedlo nějakým exploitem) být root, abyste mohli nového uživatele vytvořit. Kdyžtak nový uživatel se dělá pomocí useradd. Použijte parametr -d pro vytvoření svého domovského adresáře.

Velká zátěž počítače

To souvisí částečně se zaplňováním disku a vytížením připojení. Vezměme ale další možnost: vytížený procesor a operační paměť. Útočník mohl spustit na vašem počítači nějaký náročný program, ať už výpočet nějaké šílenosti (faktoriál z miliardy) nebo nějaký nekonečný cyklus spouštějící sám sebe. Často jsou takové prográmky přejmenovány na nějaké programy, které jsou běžné a které normálně zabírají hodně procesorového času (např. slocate, který aktualizuje databázi všech souborů na počítači (->rychlejší vyhledávání)).

Jak na to? Tyto útoky většinou neslouží k něčemu užitečnému, pouze ke škodě. Využívají se tak často v DoS. Pokud byste chtěli mermomocí ten skriptík na výpočet faktoriálu z miliardy, tady je: :-)

$cat > faktorial
x=1
y=1
while (x<=1000000000) {
y=y*x
x=x+1
}
print y
/Ctrl/+/D/
$cat faktorial | bc

Tak to by bylo vše o možné obraně i útocích na počítače. Doufám, že v tom není moc faktických chyb - ať mně hackeři opraví! ;-)
Autor: m1c4a1, admin
Facebook Twitter Topčlánky.cz Linkuj.cz
Sdílet

Komentáře

Zobrazit: standardní | od aktivních | poslední příspěvky | všechno
Článek ještě nebyl okomentován.


Nový komentář

Téma:
Jméno:
Notif. e-mail *:
Komentář:
  [b] [obr]
Odpovězte prosím číslicemi: Součet čísel nula a sedm