第11章网络攻击痕迹清除实战技术详解.pptVIP

第11章 网络攻击痕迹清除实战技术 网络攻击痕迹清除就是“打扫战场”，把攻击过程中所产生的有关文件记录尽可能删除，避免留下攻击取证数据，同时为后续的攻击做好准备。 一个基本原则是切断取证链，尽量将痕迹清楚在远离真实的攻击源所在处。 本章主要内容 UNIX系统攻击痕迹清除 Windows NT系统攻击痕迹清除 防火墙系统攻击痕迹清除 入侵检测系统痕迹清除 WWW服务攻击痕迹清除 UNIX系统攻击痕迹清除 Unix系统中3个重要的log文件： Wtmp或wtmpx记录每次登录的信息，包括登录/退出的时间、终端、登陆主机IP，可以用last访问（/var/log） Utmp或utmpx日志记录以前登录到系统中的所有用户，这个文件随着用户进入和离开系统不断变化。可以使用w和who查看utmp（/var/run） Lastlog记录每个用户最近一次的登录时间和登陆点（/var/log） 用户每次通过telnet，ftp、rlogin、rsh的登陆都会被记录到上述文件中。 通过这些文件，管理员可以： 准确的发现攻击者什么时候进行了攻击活动 发现攻击者从哪个站点进入系统 知道攻击者再线的时间 修改日志文件需要有root权限 攻击者拥有普通用户权限 如果系统管理员将日志文件配置成任何用户可读写，修改日志文件就很容易。 如果不是，那么攻击者可以想法添加一写记录到日志文件中，干扰管理员的视线。 攻击者会rlogin到现在的主机，在lastlog中增加一个令人怀疑的数据项，它将在该用户下次登录时被显示。 攻击者拥有超级用户权限 拥有超级用户权限虽然可以为修改日志带来方便，但是修改过多的话，就会引起网管的怀疑。 修改日志文件要做到“润物细无声”，才会实现攻击目的，为后续供给买下伏笔。 Utmp文件的修改 Utmp主要记录当前系统用户注册情况，数据结构如下 struct utmp { char ut_user[8]; //注册的用户名 char ut_id[4]; char ut_line[12]; //设备名 short ut_pid; short ut_type; struct exit_status ut_exit; time_t ut_time; }; 修改时，首先利用ttyslot函数找到所要修改数据的位置，然后使用lseek直接定位到该记录，改成其它用户的记录，主要修改ut_time,ut_line,ut_user Wtmp文件的修改 Wtmp文件中记录的数据结构和utmp相同，修改时，先利用ttyname(0)查处自己的终端设备名，在根据设备名逐个查找记录，修改自己的设备名记录。 Acct文件的修改 Acct是专么记录系统使用情况的工具，它的数据结构如下： struct o_acct { char ac_flag; //账号标志 char ac_stat; //退出时状态 uid_t ac_uid; //用户ID gid_t ac_gid; //用户组ID dev_t ac_tty; //用户控制终端设备号 time_t ac_btime; //开始时间 comp_t ac_stime; comp_t ac_etime; comp_t ac_mem; //内存使用情况 comp_t ac_io; comp_t ac_rw; char ac_comm[8]; //命令 }; 修改文件前，攻击者先取得用户ID，用函数getuid()即可。然后逐个比较记录，查找所有与该ID有关的记录，修改该记录。也可以将该记录改为其他用户记录，用户ID可通过函数getpwnam获得。 Lastlog文件的修改 Lastlog文件中记录的数据结构如下： struct lastlog{ time_t ll_time; char ll_line[8]; char ll_host[16]; }; Lastlog文件按的记录按用户ID的大小顺序排列，因此，修改前要利用函数getuid取得用户ID，然后可利用lseek直接定位到该记录，然后修改。 清除日志文件的程序见书上代码。 Windows NT系统攻击痕迹清除 WinNT通过了TCSEC的C2级评测，默认的审计子系统缺省是关闭的。 审计事件分为7类，对于每类事件，审计管理员可以选择审计失败或成功的事件或是二者都审计。 对于文件和对象存取事件类的审计，管理员可以在资源管理器中进一步制定各文件和目录的具体设计标准。 系统在运行中产生3类日志：系统日志、应用程序日志和安全日志，这些日志可使用实践查看其浏览和按条件过滤显示。 winNT系统设计清除 可以使用elsave工具，例如： elsave -s \\IDS_ONE -l security -C elsave