分享
 
 
 

经验与技巧:2004最新UNIX应急响应攻略

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

{{初始响应}}

目标:在进行司法鉴定复制之前获得系统中的易失数据,初步确定突发事件概况。

==============

创建响应工具包

==============

我们调查系统,必须以高度可信赖的程序执行命令,再加上备份与修复,创建一个工具包是很有必要的。

即使在非UNIX/LINUX系统上,创建工具包也应该作为响应的第一步。

首先,我们需要在对应体系结构的系统上编译响应期间需要的工具,且编译程序需要考虑系统兼容的问题。

通常我们需要如下的工具:

ls dd des file pkginfo

find icat lsof md5sum nc

netstat pcat perl ps strace

strings truss df vi

cat kstat ifconfig chkrootkit

more gzip last w rm

script bash modinfo lsmod

读者可根据自己的需要自行添加,但是一个工具包通常只能用来完成对某一特定平台的工作,把对多个平台编译的工具放进同一个工具包反而会显得紊乱。

在Linux上创建响应工具包时,可以用gcc的?static参数编译源代码,或者用ldd检查动态连接库,在响应工具包存储介质上建立库文件目录,并拷贝所有工具需要的动态连接库的副本,最后设置环境变量。

这个过程有点类似于创建一个Linux的优盘启动盘。

============

获取易失数据

============

易失的数据包括:当前打开的套接字,进程列表,RAM内容,非链接文件的位置。

*unix特性: unix允许进程正在执行时将其删除! 非链接文件是访问该文件的进程中止时被标记为删除的文件。当系统关闭时(正常关机或突然断电非正常关机),标记为删除的文件都将消失。因此在找到被标记为删除的文件之前不能关机!

=================

执行可信赖的shell

=================

使用我们自己准备的响应工具包,装载该介质的文件系统,

mount ?t auto /dev/sda1 /mnt/usb 或

mount ?t iso9660 /dev/cdrom /mnt/cdrom

按下Ctrl+Alt+F1~F6,从控制台以root身份登陆。

请一定要区分原环境变量中的命令和当前响应工具包的相同名字的命令集,防止潜在的二进制特洛伊木马攻击。

==================

查看登陆系统的用户

==================

[root@ay4z3ro foo]# w

19:50:48 up 43 min, 2 users, load average: 0.00, 0.00, 0.00

USER TTY LOGIN@ IDLE JCPU PCPU WHAT

root :0 19:08 ?xdm? 11.10s 0.43s gnome-session

root pts/0 19:08 1.00s 0.21s 0.01s w

输出标题行显示了当前系统时间,该系统已运行的时间,当前登陆用户数,最近1分钟,5分钟和15分钟内的平均系统负载。

USER字段显示当前登陆的用户名。TTY字段显示了会话的控制终端,tty表示从控制台登陆,pts/typ则可以表示通过一个网络连接,因为X是个C/S模式的应用程序,所以我在GNOME下开的shell窗口显示为pts。如果不从本地登陆,输出中还有FROM字段, 表示建立会话的源地址的域名或IP。LOGIN@显示该连接的本地开始时间。IDLE字段显示了自上一个进程运行以来的时间长度。

JCPU显示与tty或pts关联的全部进程所使用的时间。PCPU字段显示了WHAT列中当前进程所使用的CPU时间。WHAT列显示用户当前运行的进程。

================

查看系统进程列表

================

Solaris中使用ps ?eaf,而在FreeBSD和Linux中则使用ps ?aux.

[root@ay4z3ro foo]# ps aux

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

root 1 0.1 0.2 1356 496 ? S 19:07 0:04 init

root 2 0.0 0.0 0 0 ? SW 19:07 0:00 [keventd]

root 3 0.0 0.0 0 0 ? SWN 19:07 0:00 [ksoftirqd_CPU0]

root 4 0.0 0.0 0 0 ? SW 19:07 0:00 [kswapd]

root 5 0.0 0.0 0 0 ? SW 19:07 0:00 [bdflush]

root 6 0.0 0.0 0 0 ? SW 19:07 0:00 [kupdated]

root 7 0.0 0.0 0 0 ? SW< 19:07 0:00 [mdrecoveryd]

root 11 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]

root 114 0.0 0.5 2108 1304 ? S 19:07 0:00 devfsd /dev

root 209 0.0 0.0 0 0 ? SW 19:07 0:00 [khubd]

root 338 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]

rpc 620 0.0 0.2 1496 520 ? S 19:07 0:00 [portmap]

root 636 0.0 0.2 1452 624 ? S 19:07 0:00 syslogd -m 0

…………………(以下省略)

Ps命令输出中的START字段显示了程序开始运行的时间,对于查出攻击时间很有帮助。有时仅通过时间就能识别可疑进程。

Linux下还可以通过strings ?f /proc/[0-9]*/cmdline来查看系统中运行进程的完整命令行参数,但是这个并不完全可信。

因为攻击者甚至不需要插入内核模块,而只在应用层的编码中加入语句就能欺骗我们。

===============

检测LKM Rootkit

===============

内核模块后门,还有什么比这个更臭屁的呢?Solaris,Linux和几乎所有的UNIX都支持LKM(Loadable Kernel Modules),用普通的方法无法检测其存在,这给应急响应带来了极大的挑战性。对于我们来说,解决的办法是找到那些lkm rootkit,并熟悉,解剖他们。有时lkm rootkit虽然被成功装载,但在系统的某些细节上会出现“异常”,甚至可能使系统在运行一段时间后彻底崩溃。

还有,lkm虽然活动在ring0核心态,但是攻击者往往会在系统的某处留下痕迹,比如攻击者为了让系统每次关闭或重启后能自动装入他安置的

内核后门,可能会改写/etc/modules.conf或/etc/rc.local.

kstat/ksec是检测lkm非常方便的工具,前者用于Linux,后者用于*BSD.

[root@ay4z3ro kstat]# ./kstat

Usage: ./kstat [-i iff] [-P] [-p pid] [-M] [-m addr] [-s]

-i iff may be specified as 'all' or as name (e.g. eth0)

displays info about the queried interface

-P displays all processes

-p pid is the process id of the queried task

-M displays the kernel's LKMs' linked list

-m addr is the hex address of the queried module

displays info about the module to be found at addr

-s displays info about the system calls' table

其中-s参数最有用,它显示了系统调用入口的信息,能检测市面上最流行的knark和adore这两个内核后门,但理论上他并不能检测出所有的lkm rootkit.

Kstat/ksec站点:http://www.s0ftpj.org其实熟悉内核攻击的人都知道Kstat单纯检查sys_call_table[]的方式如今已经被攻击的一方完全超越,e4gle很早也写过这类文章。

有兴趣可以看看2002焦点峰会jbtzhm的《内核后门实现及其检测》现在linuxforum安全版版主madsys在Phrack61上有篇文章:

Finding hidden kernel modules (the extrem way)--链接:

http://www.linuxforum.net/forum/gshowflat.php?Cat=&Board=security&Number=434871&page=0&view=collapsed&sb=5&o=all&fpart=

======================

检测开放端口和关联进程

======================

[root@ay4z3ro foo]# netstat ?anp

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 908/X

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 880/sshd

udp 0 0 0.0.0.0:111 0.0.0.0:* 620/

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags Type State I-Node PID/Program name Path

unix 2 [ ACC ] STREAM LISTENING 2753 756/ /tmp/.font-unix/fs-1

……(以下省略)

在Solaris,HP-UX,AIX,FreeBSD,Linux上可以使用lsof工具列举所有运行进程及其所打开的文件描述符,其中包括常规文件,库文件,目录,UNIX流,套接字等。如果只想显示网络套接字的进程:

[root@ay4z3ro foo]# lsof ?i

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

portmap 620 rpc 3u IPv4 2598 UDP *:sunrpc

portmap 620 rpc 4u IPv4 2609 TCP *:sunrpc (LISTEN)

sshd 880 root 3u IPv4 2885 TCP *:ssh (LISTEN)

X 908 root 1u IPv4 2945 TCP *:x11 (LISTEN)

其中特别需要注意的是奇怪的进程和已打开的原始套接字。

================================

寻找系统中是否运行一个非法嗅探器

================================

为了达到这个目的,我们需要检查网卡是否处于混杂(promiscuous)模式:

[root@ay4z3ro foo]# ifconfig ?i eth0 | grep PROMISC

PROMISC标志并不会在所有的*NIX上出现,通过lsof+ps命令可以判断系统是否正运行一个嗅探器。或者通过第三方的工具,比如AntiSniff。

=================

检查/proc文件系统

=================

在/proc/$PID/目录下对于调查比较有意义的是:exe链接,fd子目录,cmdline文件。

[root@ay4z3ro 880]# ls -al

total 0

dr-xr-xr-x 3 root root 0 Sep 20 19:53 ./

dr-xr-xr-x 62 root root 0 Sep 20 15:07 ../

-r--r--r-- 1 root root 0 Sep 20 19:54 binfmt

-r--r--r-- 1 ro

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有