黑客對(duì)Linux的入侵攻擊和Linux系統(tǒng)的安全防護(hù)兩個(gè)方面內(nèi)容將是我們?yōu)榇蠹谊U述的主題�,從而使大家了解如何加強(qiáng)Linux系統(tǒng)在安全方面的管理���。
防止黑客的入侵Linux主機(jī)
在談黑客入侵方面的安全管理之前����,簡(jiǎn)單介紹一些黑客攻擊Linux主機(jī)的主要途徑和慣用手法����,讓大家對(duì)黑客攻擊的途徑和手法有所了解。這樣才能更好地防患于未然����,做好安全防范�����。
要阻止黑客蓄意的入侵,可以減少內(nèi)網(wǎng)與外界網(wǎng)絡(luò)的聯(lián)系���,甚至獨(dú)立于其它網(wǎng)絡(luò)系統(tǒng)之外�����。這種方式雖造成網(wǎng)絡(luò)使用上的不便���,但也是最有效的防范措施。
黑客一般都會(huì)尋求下列途徑去試探一臺(tái)Linux或Unix主機(jī)���,直到它找到容易入侵的目標(biāo)�����,然后再開(kāi)始動(dòng)手入侵���。
常見(jiàn)的攻擊Linux系統(tǒng)的手法
1、直接竊聽(tīng)取得root密碼�����,或者取得某位特殊User的密碼,而該位User可能為root��,再獲取任意一位User的密碼���,因?yàn)槿〉靡话阌脩裘艽a通常很容易��。
2����、黑客們經(jīng)常用一些常用字來(lái)破解密碼����。曾經(jīng)有一位美國(guó)黑客表示,只要用“password”這個(gè)字�,就可以打開(kāi)全美多數(shù)的計(jì)算機(jī)。其它常用的單詞還有:account����、ald、alpha��、beta�、computer、dead�����、demo����、dollar、games�、bod、hello��、help����、intro、kill���、love���、no、ok��、okay�����、please、sex����、secret、superuser���、system�����、test����、work�、yes等。
3����、使用命令就可以知道該臺(tái)計(jì)算機(jī)上面的用戶名稱。然后找這些用戶下手����,并通過(guò)這些容易入侵的用戶取得系統(tǒng)的密碼文件/etc/passwd,再用密碼字典文件搭配密碼猜測(cè)工具猜出root的密碼。
4��、利用一般用戶在/tmp目錄放置著的SetUID的文件或者執(zhí)行著SetUID程序�,讓root去執(zhí)行,以產(chǎn)生安全漏洞����。
5���、利用系統(tǒng)上需要SetUID root權(quán)限的程序的安全漏洞��,取得root的權(quán)限�,例如:pppd����。
6、從.rhost的主機(jī)入侵�。因?yàn)楫?dāng)用戶執(zhí)行rlogin登錄時(shí),rlogin程序會(huì)鎖定.rhost定義的主機(jī)及賬號(hào)��,并且不需要密碼登錄�。
7、修改用戶的.login�、cshrc、.profile等Shell設(shè)置文件,加入一些破壞程序��。用戶只要登錄就會(huì)執(zhí)行��。
8���、只要用戶登錄系統(tǒng)��,就會(huì)不知不覺(jué)地執(zhí)行Backdoor程序(可能是Crack程序)����,它會(huì)破壞系統(tǒng)或者提供更進(jìn)一步的系統(tǒng)信息��,以利Hacker滲透系統(tǒng)�����。
9�、如果公司的重要主機(jī)可能有網(wǎng)絡(luò)防火墻的層層防護(hù),Hacker有時(shí)先找該子網(wǎng)的任何一臺(tái)容易入侵的主機(jī)下手�,再慢慢向重要主機(jī)伸出魔掌。例如:使用NIS共同聯(lián)機(jī)��,可以利用remote 命令不需要密碼即可登錄等��,這樣黑客就很容易得手了。
10���、Hacker會(huì)通過(guò)中間主機(jī)聯(lián)機(jī)���,再尋找攻擊目標(biāo),避免被用逆查法抓到其所在的真正IP地址���。
11���、Hacker進(jìn)入主機(jī)有好幾種方式����,可以經(jīng)由Telnet(Port 23)、Sendmail(Port25)���、FTP(Port 21)或WWW(Port 80)的方式進(jìn)入����。一臺(tái)主機(jī)雖然只有一個(gè)地址����,但是它可能同時(shí)進(jìn)行多項(xiàng)服務(wù),而這些Port都是黑客“進(jìn)入”該主機(jī)很好的方式。
12��、Hacker通常利用NIS(IP)�、NFS這些RPC Service截獲信息。只要通過(guò)簡(jiǎn)單的命令�����,便能讓遠(yuǎn)方的主機(jī)自動(dòng)報(bào)告它所提供的服務(wù)�����。當(dāng)這些信息被截獲時(shí)��,即使裝有安全防護(hù)軟件��,管理員依然會(huì)在毫不知情的情況下被“借”用了NIS Server上的文件系統(tǒng)��,而導(dǎo)致/etc/passwd外流�。
13、發(fā)E-mail給anonymous賬號(hào)��,從FTP站取得/etc/passwd密碼文件����,或直接下載FTP站/etc目錄的passwd文件���。
14、網(wǎng)絡(luò)竊聽(tīng)�����,使用sniffer程序監(jiān)視網(wǎng)絡(luò)Packet����,捕捉Telnet,F(xiàn)TP和Rlogin一開(kāi)始的會(huì)話信息��,便可順手截獲root密碼�,所以sniffer是造成今日Internet非法入侵的主要原因之一。
15����、利用一些系統(tǒng)安全漏洞入侵主機(jī)���。這對(duì)于入侵不勤于修補(bǔ)系統(tǒng)漏洞的主機(jī)相當(dāng)容易得手��。
16��、被Hacker入侵計(jì)算機(jī)����,系統(tǒng)的Telnet程序可能被掉包,所有用戶Telnet session的賬號(hào)和密碼均被記錄下��,并發(fā)E-mail給Hacker����,進(jìn)行更進(jìn)一步的入侵。
17��、Hacker會(huì)清除系統(tǒng)記錄����。一些厲害的Hacker都會(huì)把記錄它們進(jìn)入的時(shí)間、IP地址消除掉�����。
18��、入侵者經(jīng)常將如ifconfig����、tcpdump這類的檢查命令更換,以避免被發(fā)覺(jué)���。
19���、系統(tǒng)家賊偷偷復(fù)制/etc/passwd�,然后利用字典文件去解密碼�。
20、家賊通過(guò)su或sudo之類的Super User程序覬覦root的權(quán)限���。
21�����、黑客經(jīng)常使用Buffer overflow(緩沖區(qū)溢位)手動(dòng)入侵系統(tǒng)���。
22、cron是Linux操作系統(tǒng)用來(lái)自動(dòng)執(zhí)行命令的工具��,如定時(shí)備份或刪除過(guò)期文件等等�����。入侵者常會(huì)用cron來(lái)留后門����,除了可以定時(shí)執(zhí)行破譯碼來(lái)入侵系統(tǒng)外,又可避免被管理員發(fā)現(xiàn)的危險(xiǎn)����。
23、利用IP spoof(IP詐騙)技術(shù)入侵Linux主機(jī)��。
