根据几年来的经验,当前国内常见的入侵手段包括网络扫描获得目标信息、猜口令获得普通帐号、
利用缓冲区溢出漏洞获得超级用户、留下后门以备日后再次进入等。作为系统管理员,就免不了经
常为抵御这些攻击或者入侵而费尽心计。为了增加大家对实际安全工作的感性认识,下面介绍一段
从某个主机上面发现的某个帐号下的历史文件.sh.history的内容,并且进行了简单的注解。希望
能给大家一些帮助。
#cat .sh*
...
mkdir .test
ls
pwd
cd .test
cat>1 ;经过剪贴,将经过uuencode的利用程序上传,并存为文件1
/uudecode 1 ;解码
chmod 777 ufs ;改变属性成为可执行文件,可以看到这就是ufsrestore的利用程序
ufs ;运行,获得超级用户权利
cd /tmp/.test
drt ;留下什么东西,...
cd /tmp/.test
drt
x
exiit
exit
w
cat /etc/inetd.conf
telnet 61.xxx.xxx.xxx
exit
w
brt
cat >ff ;这次利用的是ff.core利用程序
chmod 777 ff ;改变属性
./ff ;运行,获得超级用户
rm /tmp/bob ;消除临时目录
rm /tmp/bob
rm ff ;删除已经用过的工具
cat /etc/passwd ;获得帐号文件
cat /etc/shadow ;获得口令影子文件
telnet 61.xx.xx.xx ;登录周围主机
exit
last -10
exit
who
w
more /etc/passwd
who
w
who
quit
#cd /
#more .sh*
上面只是一个简单的例子,如果管理员足够细心、负责并懂得这些记录的含义的话,应该可以很快地
发现此类入侵并进行清除。另一方面,也可以看出该入侵者不够谨慎、仔细,没有注意到历史文件的问题。
