近期因撞机事件导致我国网站被黑事件有愈演愈烈之势,关于黑客的消息在各大网站的论坛上讨论的沸沸扬扬。其中最为人关注的是美国黑客组织poizonb0x,据称他们已攻陷了150个左右的中国网站(此数目未经证实)。我们这里姑且不去理会具体数目,从国外的黑客论坛上来看,poizonb0x攻击的目标主要是采用window NT操作系统的网站,基于NT操作系统网站在chinabyte前面的文章中安络公司的安全工程师做了说明,这次我们来看看使用unix操作系统的的网站被黑的情况。
从目前公布的数据来看,袭击unix系统的黑客之首当数被国内媒体冠以“单个最活跃美国黑客”的pr0phet,从attrition统计来看,4月1日至今他已攻陷了国内的26家网站。值得注意的是这26家网站中采用solaris操作系统的就有23家!是solaris这个被大量采用的操作系统有问题吗?
一、分析
我们分析了采用solaris操作系统上述绝大多数网站,从分析结果来看,pr0phet的攻击手法几乎完全一致,他的攻击目标全部是安装solaris2.6操作系统的unix主机,而且这些服务器都有共性:采用的是solaris2.6的默认安装,没有打更新patch,没有停掉rpc(rpc.cmsd,rpc.ttdbserverd等)服务。
这里,我们以4月22日被攻陷的www.xxxx.edu.cn (202.206.xx.xx)为例来做个说明。
该网站用的是solaris2.6操作系统,采用的是默认安装,没有停掉不需要的rpc服务,我们来看看pr0phet是怎么样进入这台服务器的吧,检查这台服务器的/var/adm/messages文件,我们可以看到如下内容:
Apr2205:59:20 xxxx /usr/dt/bin/rpc.ttdbserverd[8734]: _Tt_file_system::findBestMountPoint -- max_match_entry is null, aborting... Apr 22 05:59:20 xxxx inetd[134]: /usr/dt/bin/rpc.ttdbserverd: Segmentation Fault - core dumped Apr 22 05:59:34 xxxx inetd[134]: /usr/dt/bin/rpc.ttdbserverd: Illegal Instruction - core dumped
Apr 22 05:59:38 xxxx statd[139]: statd: attempt to create "/var/statmon/sm/;echo 'ingreslock stream tcp nowait root /bin/sh sh -i' /tmp/bob ; /usr/sbin/inetd -s /tmp/bob;" Apr 22 05:59:42 xxxx statd[139]: statd: attempt to create "/var/statmon/sm/echo 'ingreslock stream tcp nowait root /bin/sh sh -i' /tmp/bob ; /usr/sbin/inetd -s /tmp/bob"
我们再分析系统内运行的进程,发现如下进程:
root 8736 1 0 Apr 22 ?
0:00 /usr/sbin/inetd -s /tmp/bob
由上述内容,我们可以很轻松的推断出pr0phet是怎么进入这台服务器的,1、他利用了rpc.ttdb,在目标主机的根目录下生成了内容为“+ +“的.rhosts文件,2、他利用rpc.statd漏洞,在目标主机上打开了对端口1524监听的进程。
利用第一个漏洞,任何人在互联网的任何地方均可以无需帐号口令使用r命令进入该主机,并立即取得超级用户权限!
利用第二个漏洞,任何人在互联网的任何地方均可以无需帐号口令telnet该主机1524端口,并立即取得超级用户权限!
由上我们可以看到,黑客pr0phet攻击已经得逞,系统完全被控制。
二、警告!
需要注意的是,目前还有近四分之一被攻陷的网站的1524端口仍处于监听状态,同时根目录下的.rhosts文件没有被管理员发现!本例提到的www.xxxx.edu.cn (202.206.xx.xx)即为一例。管理员!你的系统仍然大门洞开!
三、初步解决方案
其实有这个问题的unix系统管理员不必惊慌,编辑你的/etc目录下的inetd.conf文件,将以下内容
100068/2-5 dgram rpc/udp wait
root /usr/dt/bin/rpc.cmsd rpc.cmsd
100083/1 tli rpc/tcp wait
root /usr/dt/bin/rpc.ttdbserverd /usr/dt/bin/rpc.ttdbserverd
rstatd/2-4 tli rpc/datagram_v wait
root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
注释(前面加#号),即:
#100068/2-5 dgram rpc/udp wait
root /usr/dt/bin/rpc.cmsd rpc.cmsd
#100083/1 tli rpc/tcp wait
root /usr/dt/bin/rpc.ttdbserverd /usr/dt/bin/rpc.ttdbserverd
#rstatd/2-4 tli rpc/datagram_v wait
root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
存盘退出,重起inetd进程,利用这种漏洞的黑客如pr0phet等就无计可施了.
美国佬pr0phet大概不会想到,他的黑客行为在国内的某些网站是如此轻易得手,近期美国对国内的网站攻击行为中,poizonb0x 和pr0phet 高居榜首,与poizonb0x 侧重攻击window不同,pr0phet的攻击目标主要是unix系统,尤其是sun公司的unix系统-solaris,丛统计数字来看,自今年3月在国内开始他的首次攻击行为以来,pr0phet已得手了近30次!如此看来,pr0phet似乎是个厉害角色了,但从我们的分析情况来看,pr0phet闹翻天了也不过是个小角色而已,黑客这个名头他根本担当不起。
为什么这么说呢?很简单,目前被pr0phet黑掉的网站,几乎全部都是没有打安全补丁,同时开放rpc服务的的solaris2.6系统,要知道,大部分默认安装的solaris2.6系统(及2.6以下)在提供的rpc服务上都有极危险的远程漏洞,也就是说,可以让在主机之外的恶意人士通过一些程序获得连在互联网上有这些漏洞主机的超级用户权限,这其中,最臭名昭著rpc服务的就是rpc.ttdbserver,rpc.cmsd,rpc.statd,早在99年的时候,这些系统漏洞就在互联网上流传,并诞生了相应的攻击程序,恶意人士只需要利用现成的工具攻击就是了,也就是几条指令的事情,几十秒钟有这种漏洞的服务器就会被攻陷,使攻击者得到目标主机超级用户的权限。pr0phet,就是这样的一位,我们看他的攻击,简直一点新意都没有,只是利用上述漏洞及现成的工具重复劳动罢了,他还根本不入流。
那么,一个不入流的攻击者居然能屡屡得逞,说明了什么问题呢?看来我们的安全意识及安全水平尚差强人意呀。
再次警告:
在前面的文章里我们就提出了警告,有想当数量的被黑网站虽然主页已经恢复正常,但截至作者写这篇文章的时候因为攻击上述的rpc漏洞而带来的开放后门依然洞开着!!(目前来开,pr0phet的攻击手法比较单一,除了固定的两种开放后门外,没有在服务器上看到特洛依木马等其他安全问题)
请被黑服务器的管理员立刻检查根目录下有没有名为.rhosts的文件,内容是两个+号,如果有,立刻删除。(为了试试这个后门,在删除之前管理员可以在另外一台支持r命令的连在网上的unix主机(或者安装了支持r命令软件的window机子)上试试如下命令:rsh -l root 被黑主机ip csh -i,什么发生了?无需帐号口令,立刻连接到了被黑主机,并得到提示符"#"号-被黑主机的超级用户!)
同时,管理员可在服务器上使用netstat -an | grep 1524 命令检查有没有第二种后门,假如结果如下:
*.1524 *.* 0 0 0 0 LISTEN
那么,第二个后门也是开放着的,管理员应该立刻找到相应进程并杀死!
如果netstat -an | grep 1524出来类似如下,
*.1524 *.* 0 0 0 0 LISTEN
ww.xx.yy.zz.1524 a.b.c.d.39794 33580 0 8760 0 ESTABLISHED
那么,立刻记下a.b.c.d这个ip地址,这个闯入者现在就在你的服务器上呦!
(为了试试这个后门,在找到相应进程并杀死之前管理员可以在随便找一台机子,window机子也可以,执行telnet 被黑主机ip 1524, 什么发生了?无需帐号口令,立刻连接到了被黑主机,并得到提示符"#"号-被黑主机的超级用户!与超级用户不同的只不过是每条命令后需要加一?quot;;"符号罢了。)
unix管理员,看住了你的大门呀
5月4日晚,“中国红客同盟”的行动达到首个高潮,出现了“八万中国红客攻打白宫”的场面,并迫使白宫网页一度瘫痪。预计“中国红客联盟”的下一次行动高潮将在5月8日到来。“5.1这个长假期间凡是上过网的人,恐怕都见过类似上面这个报道,感觉颇令人振奋。国内攻击者众志成城,以此来抒发自己的爱国热情,是件好事,但是,请不要以黑客(红客)的名义!
真正的黑客是不屑于做这种事情的。
看看双方较量的实质吧,从目前被公布的情况来,本次中美黑客攻击事件对阵的两军中,中美两方均无重量级的选手出场,可以说几乎都是不入流的小角色罢了.
总的来讲,中美无论是哪一方,都有几个显著的特点:攻击手法简单,技术含量不高,目标系统安全措施不完善。而且攻击完全是傻瓜式的,攻击步骤可概括如下:
1:利用现成的漏洞扫描工具(公平的讲,这些工具鲜有国内开发的)对对方大量ip地址扫描-
2:扫描发现某个ip的主机有某种漏洞-
3:利用现成漏洞破解工具(公平的讲,这些工具同样极少国内开发的)获得对方主机权限-
4:修改对方主页-
5:耶!又一对方站点被拿下!捷报!
此外:中方还多了一种DoS(拒绝服务攻击),实质也就是利用大量数据包淹没目标,使其资源耗尽,也是在互联网上流传已久的大路货了。
由上,我们不难看出这种黑客的实质-没有自己的攻击技术,依靠现成的工具;如果这也算黑客的话,那么本人可以确保30分钟可以教会一大批有一点点计算机基础的人,而且让他们成为“黑客中的高手“。
对那些不服气的黑客(或是红客),请自问一下:
