- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Файлы журналов
Файлы журналов содержат информацию о том, что происходило в системе и кто являлся инициатором этих действий. Файлы журналов являются неоценимым средством обнаружения взломщиков. Для того чтобы обнаруживать взломщика с помощью журналов, их нужно вести и регулярно проверять их файлы. К сожалению, многие администраторы не включают ведение журнала, а те, которые включают, не проверяют его регулярно. В результате даже если взломщик не заметает следы, он все равно может остаться необнаруженным.
Более опытные взломщики не полагаются на удачу и очищают файлы журналов. Есть два способа скрыть следы своего присутствия в файлах журналов. Первый из них заключается в полном удалении всех таких файлов. Однако это может вызвать подозрения у администратора, который знает, что его файл журнала должен иметь большое количество записей. Многие администраторы продолжают вести журнал после его полной очистки или удаления. Во-вторых, взломщик может "вычистить" файл журнала, удалив из него те записи, которые касаются его деятельности. В зависимости от типа взламываемой ОС такая чистка может иметь разную сложность. Поскольку UNIX и NT по-разному ведут файлы журналов, о чистке для разных ОС будет рассказано отдельно. В каждом из этих разделов будет описана как система ведения журналов, так и действия взломщика по сокрытию следов.
Файлы журналов Linux
Данный раздел посвящен системе ведения журналов операционной системы Linux. Стоит упомянуть, что хотя описанные команды есть во многих системах UNIX, они работают по-разному и приводят к разным результатам.
В системах UNIX на базе ОС Linux информация аудита хранится в нескольких файлах. Основной файл настройки демона syslogd, который отвечает за ведение журнала,— /etc/syslog.conf. Этот файл управляет процессом ведения журнала для большинства приложений, таких как почта и новости, а также стандартных системных сообщений. Некоторые из этих файлов хранятся в формате ASCII (простой текст) и могут редактироваться вручную. Более важные с точки зрения системы файлы хранятся в двоичном формате. Это означает, что их содержимое может быть просмотрено только с помощью специальных программ. Ниже приведен список основных файлов, в которых хранятся журналы системы Linux:
-
/var/run/utmp — хранит информацию о том, кто подключился к системе;
-
/var/log/wtmp — хранит информацию о том, кто подключался к системе и отключался от нее;
-
/var/log/btmp — хранит информацию о неудавшихся попытках подключения;
-
/var/log/messages—хранит информацию о системных сообщениях;
-
/var/log/secure—хранит информацию о доступен авторизации.
Давайте более детально разберем эти файлы, узнаем о том, какая информация хранится в них и как обращаться к этой информации.
UTMP
Файл utmp содержит информацию о том, кто в данный момент подключен к системе. Когда пользователь подключается, в файл utmp добавляется запись, содержащая имя пользователя, терминал, время работы и имя компьютера, с которого произошло подключение. Когда пользователь отключается, запись удаляется из файла utmp. Важно помнить, что в этом файле находится информация о том, кто подключен к системе в данный момент, а не о тех, кто подключался к системе. Если пользователь отключился, его имя не будет храниться в файле utmp.
WTMP
Файл журнала wtmp очень похож на utmp, за исключением того, что он сдержит информацию о пользователях, которые подключались к системе и уже отключились. В некоторых случаях файл wtmp более ценен, поскольку позволяет узнать о том, кто ранее подключался к системе. В зависимости от настроек установки и версии Linux этот файл может не вестись в системе. Если этого файла не существует, значит такой журнал не ведется, а если он есть, нужно просто включить ведение этого журнала
ВТМР
Администратора должны интересовать не только удачные подключения, но и неудачные. Наличие большого количества неудачных подключений может свидетельствовать о том, что кто-то пытался проникнуть в систему, однако на начальном этапе ему это не удалось. Лучше поймать взломщика сейчас, пока он действительно не проник в систему. После того, как взломщик проникнет в систему, поймать его будет намного сложнее. Записи о неудачных попытках подключения находятся в файле btmp, который похож на файлы utmp и wtmp.
Файл messages
По умолчанию стандартной системой ведения журнала в UNIX является syslog. Сообщения от нее записываются в файл /var/log/messages. В этот файл записываются разнотипные сообщения: как сообщения от работающих в системе демонов, так и сообщения о действиях пользователей. Обычно в поисках подозрительных действий администратор просматривает именно этот журнал
Информация в этот файл записывается в формате ASCII, и поэтому ее можно просмотреть с помощью команды more /var/log/messages. Кроме того, вы можете использовать команду grep, чтобы найти определенный тип записей по ключевому слову.
Файл secure
Этот файл также сохраняется в формате ASCII и может просматриваться с помощью команды more. Данный файл содержит информацию о всех подключениях к системе и о том, откуда они происходили. Это полезно для поиска подключений из неизвестных мест. Ниже приведены результаты просмотра этого файла.