精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● UNIX>>中美黑客大战愈演愈烈,我方如何应对(转载)

主题:中美黑客大战愈演愈烈,我方如何应对(转载)
发信人: xmzw(小米粥)
整理人: xiaomiao(2001-04-25 20:17:21), 站内信件
【ChinaByte 独家报道】
作者:水银流动([email protected]) 

  近期因撞机事件导致我国网站被黑事件有愈演愈烈之势,关于黑客的消息在各大网站的论坛上讨论的沸沸扬扬。其中最为人关注的是美国黑客组织poizonb0x,据称他们已攻陷了150个左右的中国网站(此数目未经证实)。我们这里姑且不去理会具体数目,从国外的黑客论坛上来看,poizonb0x攻击的目标主要是采用window NT操作系统的网站,基于NT操作系统网站在chinabyte前面的文章中安络公司的安全工程师做了说明,这次我们来看看使用unix操作系统的的网站被黑的情况。 

  从目前公布的数据来看,袭击unix系统的黑客之首当数被国内媒体冠以“单个最活跃美国黑客”的pr0phet,从attrition统计来看,4月1日至今他已攻陷了国内的26家网站。值得注意的是这26家网站中采用solaris操作系统的就有23家!是solaris这个被大量采用的操作系统有问题吗? 


一、分析
  我们分析了采用solaris操作系统上述绝大多数网站,从分析结果来看,pr0phet的攻击手法几乎完全一致,他的攻击目标全部是安装solaris2.6操作系统的unix主机,而且这些服务器都有共性:采用的是solaris2.6的默认安装,没有打更新patch,没有停掉rpc(rpc.cmsd,rpc.ttdbserverd等)服务。 

  这里,我们以4月22日被攻陷的www.xxxx.edu.cn (202.206.xx.xx)为例来做个说明。 

  该网站用的是solaris2.6操作系统,采用的是默认安装,没有停掉不需要的rpc服务,我们来看看pr0phet是怎么样进入这台服务器的吧,检查这台服务器的/var/adm/messages文件,我们可以看到如下内容: 

  Apr2205:59:20 xxxx /usr/dt/bin/rpc.ttdbserverd[8734]: _Tt_file_system::findBestMountPoint -- max_match_entry is null, aborting... Apr 22 05:59:20 xxxx inetd[134]: /usr/dt/bin/rpc.ttdbserverd: Segmentation Fault - core dumped Apr 22 05:59:34 xxxx inetd[134]: /usr/dt/bin/rpc.ttdbserverd: Illegal Instruction - core dumped 

  Apr 22 05:59:38 xxxx statd[139]: statd: attempt to create "/var/statmon/sm/;echo 'ingreslock stream tcp nowait root /bin/sh sh -i' >> /tmp/bob ; /usr/sbin/inetd -s /tmp/bob;" Apr 22 05:59:42 xxxx statd[139]: statd: attempt to create "/var/statmon/sm/echo 'ingreslock stream tcp nowait root /bin/sh sh -i' >> /tmp/bob ; /usr/sbin/inetd -s /tmp/bob" 

  我们再分析系统内运行的进程,发现如下进程: 
root 8736 1 0 Apr 22 ? 
0:00 /usr/sbin/inetd -s /tmp/bob 

  由上述内容,我们可以很轻松的推断出pr0phet是怎么进入这台服务器的,1、他利用了rpc.ttdb,在目标主机的根目录下生成了内容为“+ +“的.rhosts文件,2、他利用rpc.statd漏洞,在目标主机上打开了对端口1524监听的进程。 

  利用第一个漏洞,任何人在互联网的任何地方均可以无需帐号口令使用r命令进入该主机,并立即取得超级用户权限! 

  利用第二个漏洞,任何人在互联网的任何地方均可以无需帐号口令telnet该主机1524端口,并立即取得超级用户权限! 

  由上我们可以看到,黑客pr0phet攻击已经得逞,系统完全被控制。 


二、警告!
  需要注意的是,目前还有近四分之一被攻陷的网站的1524端口仍处于监听状态,同时根目录下的.rhosts文件没有被管理员发现!本例提到的www.xxxx.edu.cn (202.206.xx.xx)即为一例。管理员!你的系统仍然大门洞开! 


三、初步解决方案
  其实有这个问题的unix系统管理员不必惊慌,编辑你的/etc目录下的inetd.conf文件,将以下内容 
100068/2-5 dgram rpc/udp wait 
root /usr/dt/bin/rpc.cmsd rpc.cmsd 
100083/1 tli rpc/tcp wait 
root /usr/dt/bin/rpc.ttdbserverd /usr/dt/bin/rpc.ttdbserverd 
rstatd/2-4 tli rpc/datagram_v wait 
root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd 

注释(前面加#号),即: 
#100068/2-5 dgram rpc/udp wait 
root /usr/dt/bin/rpc.cmsd rpc.cmsd 
#100083/1 tli rpc/tcp wait 
root /usr/dt/bin/rpc.ttdbserverd /usr/dt/bin/rpc.ttdbserverd 
#rstatd/2-4 tli rpc/datagram_v wait 
root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd 
存盘退出,重起inetd进程,利用这种漏洞的黑客如pr0phet等就无计可施了。 
 
 

[关闭][返回]