8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 16 17 18 19 20 21 22 ... 169

address: Connection reset by peer

Apr 14 21:25:09 mozart ipop3d[11720] : connect from unknown.

Apr 14 21:25:09 mozart in.rlogind[11722] : warning: cant get client

address: Connection reset by peer

Apr 14 21:25:09 mozart in. rlogind.[11722 ] : connect from unknown

Обратите внимание на ошибки в установлении соединения. Так как последовательность SYN-ACK прерывается и установка соединения не завершена, демон не может определить систему-источник. Из регистрационных журналов видно, что вас сканируют, но невозможно определить кто. Еще более тревожным является тот факт, что большинство систем (включая Linux с новыми ядрами) не фиксирует эти ошибки в журналах. Как сказал Fyodor, «... основываясь на сообщениях connection reset by реег». Это особенность Linux 2.0.ХХ. Практически все остальные системы (включая ядра 2.2 и поздние ядра 2.1) не показывают ничего. Ошибка (accept(), возвращающий управление до завершения трехшагового процесса установления соединения) исправлена.»

Ninap имеет и другие опции для осуществления скрытого сканирования, такие как -sF, -sX, -sN, использующие различные флаги.

Вот так выглядят регистрационные журналы после такого сканирования:

/var/log/secure

И снова, обратите внимание, что журналы пусты! Страшно подумать, вы проскаииронаны, но даже не подозреваете об этом! Все три типа сканирования дают одинаковые результаты, но вы можете зафиксировать только первый — с опцией -sT (полное соединение). Чтобы обнаружить факты скрытного сканирования, вам придется использовать специальные средства регистрации, такие как tcplogd или ippl. Некоторые коммерческие межсетевые экраны также могут обнаруживать и фиксировать попытки такого сканирования, в частности IPFilter, SunScreen или FireWall-1.

Получили ли они доступ?

После того, как вы определили факт сканирования, следующий вопрос, которым вы задаетесь: Смогли ли они проникнуть внутрь? Большинство современных эксплоитов основано на переполнении бу-

59

фера (известном также, как срыв стека). Говоря простым языком, переполнение буфера возникает, когда программа (как правило, демон) получает на вход данные большего размера, чем ожидалось, перезаписывая критичные области памяти. В результате выполняется некоторый код, дающий права привилегированного пользователя (root).

Дополнительную информацию о переполнении буфера можно найти в прекрасной главе (автор - Alephl) по адресу ftp://ftp.tech-notronic.com/rfc/phrack49-14.txt.

Обычно следы атак на переполнение буфера можно обнаружить в файле /var/log/messages (или /var/adm/messages для других разновидностей Unix) для атак типа mountd. Вы также можете обнаружить

аналогичные следы в файле maillog, если атака осуществлена на imapd. В регистрационных журналах это выглядит так:

Apr 14 04:20:51 mozart mountd[6688] : Unauthorized

access by NFS

client 192.168.11.200.

Apr 14 04:20:51 mozart syslogd: Cannot glue message parts together

Apr 14 04:20:51 mozart mountd [ 6688] : Blocked attempt of

to mount

~p..p..pp..p~p..p~p..p~p~p..pp.»p,p,p~p..p,p..p..p~p~p~p..p-p~ P-.ppp>p~pp-.ppp-p~p~

p~p~p~p~p-.p~p~p~p~p~pP~p-p.-p~p~p~p~p..p~p~p~P-.p,.p~p~p p,p-.pp~p>p-p-p~p-.p~P~

P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P-P~P-P~P~P~P~P~P~P~P-P рррр«.рр>.ррррр~р

p~p~p~P~p~p..p..p..p~p~p..p..p~p~p~p~p..p..p~p~p..p..p..p. p~p..p ~P~P~P~P~P~P~P~P~P~P~P-P-

p~pp,p pp~p-p~p-p~pP~p~pp-p~p~Pp~p-p-pP~~p,p-p-

EJ-P * с с С~?~?-Р~Р-Р~-Р-

p~pp~pp~p,pppp~pp,ppppppp.pppp„pp.p.p -p-.pp~p~p~p-p„.p-.p..p..p~p„

р--р~р..р..р..р~р.,р~р~р..р~р.»р,р~р~рр~р.*р~р-.р~р..р~р~р,.р..р -.pp.ppp.p.pp.ppp.p

P~P~P-P~P~P-P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P ~p p~p~p„p~p~p..p..pp p..p

P~P~P~P~P~P~P~P~P~P~P~P-P~P~P~P~P~P-P~P~P~P~P~P~P~P~P ~P-P-P~P~P~P~P~P~P~P~P-P-

60

р~р~р~р~р~р~р~р~р~р~р~р~р~р~Р~Р~р~р~р~Р~р~р~р~р~р~Р~Р -р~Р-р~р-р~р~Р~р~р~р~р-р~

рР..р~рр~р~р~р..р~р~р~р..р~р~р~р~р~р~р..р-.рр~р..р~р..р..р -рр-ррррррРррр

PPP~PPPppPPPpppPPp-.ppppPppP~PP ~р.р„Р..р р-.р..р~р~р.р..р~р,.

ррррррррррррррр>рр-.рр.р,рр„ррр,рр ~р~р-.ррррррррр-.р~

р~р~р~р-р~р~р~р-р~р~р-р~р-р~р~р~р-р-р~р-р~р~р-р-р-р~р ~р~р~р~р~р~р-р-р~р~р~р~р~

P~P~P3&Ucirc;3&Agrave;°Л[&Iacute;~@3&0grave;3&Agrave; ~K&Uacute;°AF&Iacute;~@&thorn;SAcirc;u&ocirc;l&Agrave ;0/4B&Iacute; ~@~E&Agrave;ub&euml;b/4V<&yacute; tAF&thorn ;&Agrave;tAK&euml;Sotilde;°0&thorn;SEgrave;~HF&yuml;S euml;sigrave;Л°ЛВ~

IAF&thorn;&Egrave;~IFAD°AF~IFAH° fl&Ucirc;&thorn;&Atil de;~I&ntilde;Slacute;~@~IAF°ABf~IF"L°*f~IFAN~MF"L~IFA Dl&Agrave;~IF"P°AP~IFAH°

f&thorn;&Atilde;&Iacute;~@°AA~IF"D°f&sup3;"D&Iacute;~ @&euml;AD&euml;L&euml;RlSAgrave;~1ГЛ0~1РЛН°f&thorn;&A tilde;& Iacute;~@~H&Atilde;°?l&Eacute;slacute;~@°?&tho rn;&Aacute;&Iacute;~@ ° ?&thorn;SAacute;&Iacute;~@&cedi 1;.bin@~

I"F&cedil; . sh ! @~IFADl&Agrave; ~HF4G~IvAH~IF/4L° лК~1&оас ute; ~MN/4H~MV/4L&Iacute; ~@l&Agrave; °AAl&Ucirc; Slacute; ~ @&egrave;E&yuml;&yuml;Syuml;&yuml;Syacute;&yuml;Privet

ADMcrew~P(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН<-лЕлН(-ЛЕЛН(-лЕлН(-лЕлН(Арг 14 04:20:51 mozart

ЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН (-ЛЕЛН (-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-Л

ЕЛН(-ЛЕЛН-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕАН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕ

ЛН(-ЛЕЛН-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-АЕЛН(-ЛЕЛ Н(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕЛН(-ЛЕ ЛН(-ЛЕЛН (-АЕ

Если вы видите нечто подобное в ваших регистрационных журналах, это означает, что кто-то пытался использовать уязвимость вашей системы. Очень сложно определить, была ли попытка эксплоита

61



0 ... 16 17 18 19 20 21 22 ... 169