（计算机应用技术专业论文）系统安全审计跟踪工具的研究.pdf

电子科技大学硕士毕业沦文系统安全审计跟踪工具的研究 摘要 学科专业：计算机应用技术 论文题目：系统安全审计跟踪工具的研究 硕士研究生：刘奇志 导师：刘乃琦教授 t 审计跟踪是系统活动的记录，这些记录足以重构、评估、审查环 境和活动的次序，它是记录用户注册时间、从何处注册、要做什么的 文件，这些文件也记录管理员为以后分析保存的任何其它动作。 有关入侵的事件越来越多，虽然我们有日志文件可供查看，但 如何从大量的日志记录中提炼出有用信息，如何综合分析以搜寻出可 疑行踪，历来是烦扰管理员的一件耗时耗力的事情。 入侵者为了更好地隐藏自己，往往在入侵后修改日志文件，类 似的专用工具也越来越多，因而，如何从这些被破坏的日志文件中发 现人屋者的踪迹，也是值得考虑的问题。 笔者在对系统的日志文件及一般入侵者的常规行径作了大量分 析后，并编制了一个专用的分析工具。住要从几个角度人手：自动完 成s y s l o g 的配置，以减轻用户的工作；按用户需求进行正常的日志 分析，从大量的日志记录中找到用户需要的有用信息：搜寻入侵者留 下的蛛丝马迹，分析被破坏后的日志文件找到可疑迹象，生成异常报 告， 关踺词：审计跟踪、后门、日志文件、入侵丫 第4 页 鱼壁壁盔兰堡兰堂些堡壅墨笙茎全塑生坚堕墨塑塑塞 a b s t r a c t s u b j e c ta n ds p e c i a l t y ： c o m p u t e ra p p l i c a t i o nt e c h n o l o g y t i t l e ： r e s e a r c ho ft o o l sf o ra u d i tt r a i l so f s y s t e ms e c u r i t y m a s t e rc a n d i d a t e ：l i u q i z h i t u t o r：p r o f l i u n a i q i a u d i tt r a i lr e c o r d st h ea c t i v i t i e so f s y s t e m t h o s er e c o r d sh a ss u f f i c i e n t i n f o r m a t i o nt or e c o n s t r u c t ，a s s e t ，a u d i tt h ec i r c u m s t a n c ea n do r d e ro fs y s t e m a c t i v i t y t h e y a y ef i l e s r e c o r d i n gw h e nt h eu s e r sl o g i ni n ，w h e r et h e yl o g i n f r o m ，w h a tt h eu s e r sh a sd o n ea n da r t yo t h e ra c t i v i t yi n f o r m a t i o nf o rt h e a d m i n i s t r a t o rt oa n a l y z e s o m e l o gf i l e sg i v et h ea d m i n i s t r a t o rr e f e r e n c e ，b u tw i t hm o r ea n dm o r e c r a c ke v e n tt a k i n gp l a c e ，i ti st i r i n gf o rh i mt oe x t r a c ts e r v i c e a b l ei n f o r m a t i o n a n df i n do u ts u s p i c i o u sa c t i v i t ya m o n gt h er e c o r d so f l o gf i l e s m o r ea n dm o r et o o l sa y ea v a i l a b l ef o rc r a c k e r st om o d i f yt h o s el o gf i l e s t oc o n c e a lt h e m s e l v e sa f t e rt h e i ra t t a c k s i ti sa c h a l l e n g et ot h ea d m i n i s t r a t o r t of i n do u tt h o s ec r a c kf r o md e s t r u c t e dl o gf i l e s b e i n gw e l lm a s t e rt h ef o r m a to fl o gf i l e sa n da n a l y z e dl a r g em o u n to f a c t i v i t i e so fc r a c k s ，t h ea u t h o rd e v e l o p e dap r i v a t e a n a l y z i n g t o o l s t h e a d v a n t a g e s o ft h et o o l sa r ea s f o l l o w i n g ：a c c o m p l i s h t h e c o n f i g u r a t i o n 第5 蠢 塑型：丝奎望堕圭坐些堡茎墨丝窒全空生坚堕兰墨塑盟窒 a u t o m a t i c a l l y , a n a l y z et h o s el o gf i l e sa tt h eu s e r sw i l l ，f i n do u ts e r v i c e a b l e i n f o r m a t i o nf r o ml a r g em o u n to f l o gr e c o r d s ，s e a r c hf o rt h et r a i l so fc r a c k e r s ， a n a l y z et h ed e s t r u c t e dl o gf i l e sa n dp r o d u c er e p o r to na b n o r m a l a c t i v i t y k e y w o r d ： a u d i tt r a i l sb a c k d o o r l o g f i l ec r a c k 第6 页 电：科技大学硕士毕业沦文系统安全审计跟踪工具的研究 绪论 尽管系统日志为系统管理员提供了大量信息，但它们绝对不能 针对拒绝非法入侵提供一个全面的解决方案。系统日志可能遭受数据 崩溃、修改和删除。在许多情况下，只有在发生入侵行为后它们才产 生相应的条目。因为每天的系统维护和用户支持占用太多的时间，所 以许多系统管理员无法承担所有与安全性有关的责任。 本论文旨在研究系统的日志文件体系及入侵者的入侵踪迹及惯 用手法，从而提出自己的对抗措施，对日志记录进行分析整理，以根 据用户需求找到对自己有用的信息，找到人侵者的入侵依据。 从布局来看，本论文分成以下几个部分： 第一章概述。主要是提出问题，指明课题的意义及目前采取 的措施，且简单阐述了自己的研究思路，最后介绍了几个本论文涉及 的术语及名词。 第二章系统现有日志系统。系统性地介绍了目前的u n i x t l i n u x ) 系统中主要的几个日志文件，阐述了各个文件所记录的 内容及时效性。 第三章黑客行径分析。要从日志系统中找到入侵端倪，首先 要明白人侵者们到底在做什么，他们通常是怎样做的。笔者从大量的 入侵资料人手，归纳总结了一下入侵者的工作步骤，并分析了一些人 侵工具，以求知道他们到底会怎么行动。 第四章一个日志分析工具的实现。尽最大可能地利用现有的 日志系统，一方面根据用户的需求得到常规的目志分析报告，另一方 面结合人侵者的行为习惯，寻找可疑踪迹，得到异常日志分析报告。 最后是结束语、感谢及附录部分。在附录中，包括了本论文 的部分参考文献及几个工具的下载网址。 网络上没有绝对的安全，计算机的安全涉及到计算机领域的方 方面面，本论文不是一篇讲述安全的综合论述，仅仅从系统的审计跟 踪的角度阐述了自己的一些建议和观点。也就是说，对于已经发生或 者正在进行的入侵行为，如何从日志分析的角度给管理员一个警觉的 镰 顶 ! 匝壁垫奎兰堡主坐些堕茎墨笙窒全空生坚堕兰墨塑业窒 f l i 号。本论文并不涉及到i p 欺骗、防火墙、加密技术及病毒等其它 订关安全领域的研究。 在本论文的研究及写作过程中，由于笔者水平原因，难免有考 虑不周或不详尽之处，恳请见谅。 第8 页 电于科技大学倾士毕业沦文 系统安全审计p h 踪上县的研究 1 1 审计跟踪 第1 章概述 审计跟踪l a u d i t t r a i l s ) 是系统活动的记录，这些记录足以重构、 评佶、审查环境和活动的次序。对于一般人来说，审计跟踪是任何记 录用户注册时间、从何处注册、要做什么的文件。这些文件还记录管 理员为以后分析保存的任何其它动作。 如果使用得当，审计跟踪能够为系统管理员提供有关追踪安全侵 害和入侵企图的非常有价值的信息。 1 2 入侵者与日志文件 有关黑客人侵的事件越来越多，但更多的入侵行为并不为大众 知晓，这不仅在于许多攻击来自系统内部，防火墙形同虚设，同时也 在于太多的攻击查无实据。如何保护本系统的安全? 人们的呼吁并不 能阻止真正的入侵，毕竟，i n t e m e t 上的犯罪不同于其他犯罪，更高 额的回报与更隐秘的行径使得很多不法分子铤而走险，也正是这种行 径的隐秘性使得调查人员难以指证。 如果没有太多的证据，想用法律手段来对付恶意攻击者几乎是 不可能的。虽然我们有日志文件可供查看，但如何从大量的日志信息 中提炼出有用信息，如何综合分析诸多日志文件以搜寻出可疑行踪， 历来是烦扰管理员的一件耗时耗力的事情。 因此，如何有效地对于各日志信息进行综合分析，以更快发现 入侵行为，是一个值得探讨的问题。如果能提供一种对于i - t 志文件自 动分析的软件包，必定将解决许多用户的后顾之忧。 虽然每种操作系统都提供了多个日志文件，但遗憾的是，日志 史件记录大都不具有较好的可读性，尤其是对于国内的多个用户来 说，情形更是如此。在目前国内的许多公司，管理员很少甚至从不利 第9 页 电子科技大学硕士毕业论文系统安全审汁跟踪 ：具的研究 膈日志文件进行追踪，这虽然与管埋员的工作态度或业务能力有一定 关系，但我们也不能不承认，可读性差是日志文件记录致命的缺陷之 一 每一个操作系统都或多或少地提供了日志记录功能。但是，我 们不能完全相信系统日志文件，因为系统管理员查看的日志记录有可 能已经被入侵者修改过。事实上，修改日志文件是破译者学习的第一 件事情。这一活动如此普遍，以至于有专门的工具自动处理这一过程， 而这些用于抹“踪迹”的入侵工具更是唾手可得，充斥于因特网的各 个站点上。 因而，如何从这些被破坏的日志文件中发现入侵者的踪迹，得 到有效的查询证据，或者尽最大可能保留一份完整的日志信息，以提 高系统的安全性，这些对于管理员来说，都是迫在眉睫的事情。 1 3 目前现状与动态 为了很好地发现破译者对系统的入侵行为，目前在国外已有一 些专门的工具，主要从这样几个角度来考虑： 一种是从加强系统的日志记录能力的角度出发的。这类工具最 有名的是s w a t c h ，该工具主要对系统提供实时监控、日志记录能 力：另外新墨西哥大学的i n g h a m 开发的w a t c h e r 也是一个这样的工 具这类工具一般都是实时的。 一种是对现有日志文件进行分析，生成分析报告的。比如 n e s t w a t c h ，它运行在、 ，i n d o w s n t 上，能从所有主w e b 服务器和防 火墙中导出日志文件，然后以网页格式输出报告到选定的服务器上： 运行在l i n u x 上的l o g c h e c k 则是定期分析日志文件，按照用户的配 置，以邮件形式将报告送给用户。 但对于被入侵者破坏了的日志文件进行分析，从中找出蛛丝马 迹以发现入侵者的踪迹的工具目前还比较少见。通常对于这种情形， 管理员试图使用第三方日志，也就是说，在系统的日志记录之余，利 j f j 某些工具，重新做一份另外的日志记录，作为日常的日志文件系统 第1 0 页 坚壁塾- 夫兰堡主兰些堡茎墨垫壅全空! 坠堕墨垦塑堡! 塞 的一个替代。 除了目前流传在外的这些工具外，国外有些公司或企业的管理 员也编写了一些针对本公司实际情况的类似程序。但由于该工作的技 术性很强，尤其是涉及到公司机密，保密性也很强，因此，要收集获 取在上述领域中的研究成果，有一定的难度。 而在国内，目前这一领域的研究，基本上还是一片空白，至今 未见有成型的类似工具出现。而事实上，对于国内的很多系统，尤其 是涉及到国防、军事等领域的一些系统，在这方面的需求是相当大的。 1 4 本论文的研究思路 由于u n i x ( l i n u x ) 当前应用面日益广泛，也是黑客们最感 兴趣的人侵目标系统，因此，我选择了l i n u x 作为实验平台，且在 本论文的陈述中也包括了u n i x 的很多相通之处。笔者从各方收集资 料，了解了u n i x ( l i n u x ) 的日志系统构成，由于日志文件受系统 版本、配置等因素的影响较大，在第二章，我重点介绍了一些有代表 性的、常见的日志文件，并对各文件的作用及特点做了系统性的阐述。 孙子兵法日：“知己知彼，百战不殆。”人侵者所使用的命令和 操作通常会在各个系统日志中留下踪迹。清楚入侵者利用的安全漏 洞，并且知道如何在系统日志中发现异常，对于有安全意识的系统管 理员来说是非常重要的。 为了更好地作好系统的审计跟踪工作，笔者收集了大量有关黑 客入侵的资料及工具，首先将自己摆在入侵者的思考立场考虑问题， 并对多个入侵工具的源代码进行分析，力求找出其中的疏漏之处。在 阅读了大量的“黑客人门”、“黑客宝典”之类的资料，并分析了多个 入侵工具软件之后，我对入侵者的常用方法有了一个系统性的了解。 柱第三章，我着重介绍了黑客入侵行径，并系统性地对入侵者的常用 步骤做了描述。 尽管系统日志为系统管理员提供了大量信息，但它们绝对不能 针对跟踪安全违规提供一个全面的解决方案。系统日志可能遭受数据 第1 1 页 电子科技大学硕士毕业论文系统安全审计跟踪工# 0 的研究 崩溃、修改和删除。在许多情况下，只有在发生入侵行为后它们才产 生相应的条目。因为每天的系统维护和用户支持占用太多的时间，所 以许多系统管理员无法承担所有与安全性有关的责任。因此，如何设 计一个更实用的分析工具，是本论文讨论的重点。 通过第二、三章的分析，我认为可以从下面几个方面人手进行 分析和设计： ( 1 ) 如果一个系统的日志能够通过正确地配置，以便监控和记录 用户及网络活动，这样发现入侵企图就容易得多。在本论文中，将重 点讨论s y s l o g 的配置方法，并通过程序的方式进行自动配置。 ( 2 ) 定期检查日志常常能够发现有入侵企图的行动。来自奇怪站 点的基于t c p 的入境连接，例如t e l n e t 、f t p 和f i n g e r 可能是一种入 侵行为的警告信号。但就象我们前面所讲到的，首先是系统中的f t 志 文件的存放并不集中，且不同的系统、不同的版本均有所不同，所使 用的命令也不一样，对于用户来说，查看起来本来就不方便，再加上 e t 志文件本身的海量特点，往往有用的信息夹杂在庞大的无用信息 中，根本就看不出一个所以然来。 通过程序自动分析的方法，提出一个有条理的日志报告，是本 论文的另一个设计目的。如果一个帐号几个月没有使用，而忽然启动 并占用大量系统时间一定是可疑的。分配给秘书人员的帐号突然开始 查看工程小组的文件是可能人侵行为的另一种提示。在第四章，重点 讨论了有关内容。 ( 3 ) 就象我们前面所描述的一样，入侵者学习的第一课就是如何 修改日志文件，因此，如果一个系统曾被入侵过，对于系统管理员来 说，一切日志条目都有可能是不可信的。那么，如何利用这些被修改 过的文件，发现入侵者的踪迹呢? 我们知道，许多入侵者也许因为自身水平因素，也许因为当时 所受到的权限限制，并不能完全彻底地清除干净自己留下的踪迹；如 果入侵者打算下次入侵陔系统，也许会给自己安置一定的后门，必定 也会留下某些蛛丝马迹；许多入侵者并非一定是系统高手更多的也 许是利用某些免费的入侵工具，这些工具在设计过程中很多都并非考 第1 2 页 电于科技大学硕士毕业论文系统安全审计跟踪工 0 的研究 虑全面，更多的只是对一个或几个文件进行修改而不是全面抹掉入 蹬踪迹，这也给我们提供了追踪线索：同时，这些工具更多的是针对 系统的缺省配置，对于每一个特定的系统来说，它也不见得就能全面 实现其功能。 这些，就是我们所指的异常踪迹，从多个文件进行分析得到 一个提请管理员注意的审计异常报告，是我们在第四章中所要讨论的 另一个重点。 1 5 本论文涉及的术语、名词 审计( a u d i t )对现有的安全策略和过程进行的独立或内含式 审查。审计有助于系统管理员和安全部门识别特定网络的整体安全状 态中的关键强点和弱点。 审计跟踪( a u d i tt r a i l ) 证实特定系统的活动和使用情况的日 志、书面文档和其他记录。审计跟踪在调查过程中显得特别重要如 果没有最起码的审计跟踪，系统管理员就几乎没有希望抓住破坏者。 简单地说审计跟踪就是证据，在系统中，就是日志记录。 入侵( c r a c k ) 指利用系统的某些漏洞或者其他不正当手段得到 系统帐户及密码后，非法进入系统以从事某些不为人知的活动的行 径。 清除踪迹( r e m o v et r a i l )特指入侵者进入系统后，为了不让自 己的行踪暴露，删除或者修改系统日志文件。 后门( b a c kd o o r ) 电子剽窃者或不满雇员留下的隐藏程序， 他们可以通过该程序再次访问受侵主机。该词与陷阱( t r a pd o o r ) 同 义。 嗅探器( s n i f f e r )秘密捕获穿过网络的数据报文的程序，它可 以合法地供工程师诊断网络问题，也可以违法地供破译者设法盗用用 一轺和密码。 特洛伊木马( t r o j a nh o r s e )不为用户所知地进行秘密和未授权 仔务地应用程序和代码，它们可能降低系统的安全性。 第1 3 页 电于科技大学硕士毕业论文 系统安全审计跟踪： 艮的研究 破译程序 一种用于重复猜测口令，进行加密并使其与真实口 令相比较的程序，目的在于猜测加密口令，如果猜测的口令与加密口 令相一致时，该口令就被猜对了。 字典文件( d i c t i o n a r yd o c u m e n t )破译程序用来猜测口令时， 所使用的口令库，通常一个好的口令为了不被破译，应该尽量复杂， 不要能被字典文件收藏到。 守护进程( d e a m o n )又叫后台进程，运行在系统后台，接收来 自管道或域套接端口的请求并提供一些服务。 第1 4 页 电子科技大学硕士毕业论文系统安全审汁跟踪l ：蚺的研究 第2 章系统现有日志系统 为了保证系统正常运行，为了解决每一天可能遇到的各种各样 的问题，认真地读取日志文件是系统管理员的一项非常重要的任务。 既然本论文将专门针对系统的日志文件及其异常进行分析，首先将了 解系统的日志结构，我在收集、整理了各日志文件的资料后，在本章 将针对一些主要的、常用的日志文件进行简单的介绍和描述。 一般说来，u n i x 和l i n u x 系统中的大多数日志用a s c i i 文本文件 的方式存储，但是也有些日志以二进制格式存储。 2 1 l a s t i o g 一一用户最后一次登录记录 l a s t l o g 文件记录每个用户的最近一次登录时间和每个用户的最 初目的地。 当一个用户登录到系统时，注册程序在l a s t l o g 文件中查找该用 户的u i d 。如果程序找到了该用户的u i d ，系统就会为用户显示最 后一次登录的时间和t t y 。有些版本则既显示成功的登录，也显示 失败的登录尝试。 然后，注册程序用新的登录时间和t t y 信息更新l a s t l o g 文件。 而且，该程序还更新u t m p 和w t m p 文件。 该文件的时效性在于，只记录最后一次登录。所以，入侵者进 人系统以后，这个文件的登录条目是必须被删除的，也是他们所要修 改的第一个日志文件。 2 2 u t m p 一一系统当前登录用户 系统在一个名为u t m p 的文件中记录当前登录到系统中的所有 _ e j 。 这个文件随着用户进入和离开系统而不断地变化。它不会为系 统中的用户保持很长的历史记录，只记录此时联机的那些用户。 第1 5 页 电子科技大学硕士毕业论文系统安全审计跟踪工县的研究 u t m p 可能不包括完全精确的信息。突发性错误可能会终止用户 的s h e l l ，而没有更新u t m p 。u t m p 也不是特别可靠，因为在许多 平台上，缺省情况下任何人都可以改写该文件。 由于一般用户都可以修改这个文件，因而可非常易于隐藏入侵 髫 u t m p 日志通常存储在e t c u t m p 文件中，尽管你可能在某些版 本的某些地方找到它。通常可以使用命令w h o 或者w 查看u t m p ， 但也可以使用其他命令访问这个文件，例如f i n g e r 、r w h o 和u s e r s 。 该文件虽然时效性很短，但如果入侵者进入系统后打算呆上一 时半会，很有可能被管理员用w h o 命令查看到，所以，这时候，他 们必须“隐藏”自己，也就是说，删除u t m p 中相关条目，以便其 他人看不到他们。 2 3 w t m p 一一用户登录及退出记录 w t m p 文件记录用户登录和退出事件。它同u t m p 文件类似， 但是随着用户每一次的登录和退出它会持续增长。在有些版本中，一 些程序( 如f c p 等) 也在w t m p 中记录访问信息。w t m p 还记录正 常的系统退出时间，例如由r e b o o t 或s h u t d o w n 命令所引起的退出。 许多系统在v a r a d m w t m p 文件中存放w t m p 信息。 通常使用l a s t 命令访问w t m p 文件。l a s t 将按时间反序显示结 果也可以根据名字、t t y 或者时间( 例如退出) 产生报告：或者 列出一些特定的条目。 a c 命令以一种不同的方式格式化存储在w t m p 文件中的数据。 它可以按用户，也可以按日期产生报告。这些报告能够快速警告管理 员有关不适当的使用。例如，一个不太活跃的帐户突然开始登录了很 长连接时间可以很容易在a c 的报告中显示出来。 w t m p 记录了用户的每一次登录及退出信息，该文件的信息永 不过期，除非由管理员删除。因此，细心的入侵者也会修改该文件的， 起码要把自己的非法登录记录删除。不过，有些不怎么完善的入侵 ： 第1 6 页 里! 型! 堇- 欠兰婴主望些堕茎墨堑室全堕盐坠堕墨垦塑塑壅 具只删除了l a s t l o g 却没有考虑w t m p 。 2 4 s y s i o g 一一系统e t 志 s y s l o g 不是个日志文件，而是一个非常有用的消息日志工具。 s y s l o g 为日志条目的目标提供一个中心参考点，从而使系统管理员能 够方便地记录各种程序产生的日志。 s y s l o g 的工作机理是这样的：通过一个叫s y s l o g d 的守护程序， 接收各种系统消息，然后将这些消息存放在指定的日志文件中：而不 同来源、不同级别的消息是否接收，接收后所存放的文件，是通过一 个s y s l o g c o n f 的正确配置得到的。 为了利用s y s l o g ，在后台执行一个名为s y s l o g d 的守护程序。这 个守护程序从下面三个来源监听日志消息： - d e v l o g 一个域套接字，它接收在本地机器上运行的进程所 产生的消息。 d e v k l o g 一个从内核接收消息的设备 5 1 4 端口一个i n t e r n e t 域套接字，它接收其他机器通过u d p 产生的s y s l o g ? 肖息。 当s y s l o g d 从其中任何一个来源接收到消息时，它检查自己的配 置文件s y s l o g c o n f ，找出消息的相应目标。一个消息可以到达多个目 标，也可以被忽略，这要根据配置文件中的相应条目而定。 s y s l o g c o n f 文件中的条目由两个基本部分组成： s e l e c t o r 域告诉s y s l o g 记录什么类型的消息 a c t i o n 域告诉s y s l o g 如何处理它接收到的消息。 一般说来，按照系统缺省的s y s l o g c o n f 的配置，系统信息的很 大一部分审计记录被存放在v a r l o m e s s a g e s 中。有关s y s l o g c o n f 的 州陧及s y s l o g 的更多内容，在本论文的第四章将重点讨论。 2 5 s u l o g 一一用户切换日志 普通用户通过使用s u 命令可以切换成r o o t 这个命令的使用信 第1 7 页 电子科技大学硕士毕业论文系统安全审计跟踪上心_ | j 研究 息破记录在s u l o g 中。该文件的存放按照缺省，一般在v a r a d m i n 目 录下一个称为s u l o g 的文件中，但具体通过s y s l o g 来配置记录。 有些入侵者使用s u 命令切换到可以远程访问其他主机的用户 名。这个活动也被记录在s u l o g 中。 2 6 c r o n 自动任务调度日志 c r o n 守护程序是自动任务调度进程，它在请求的时间运行调度 作业，它可以让用户在规定的时间间隔执行许多作业，完成这项工作 要创建一个c r o n t a b 文件来标明系统将在什么时候执行什么作业。 c r o n 实用工具维护c r o n 所执行的实用程序记录。通常这个记录 保存在v a r l o g c r o n 文件中。但是由于c r o n 利用s y s l o g 所以消息可 能存放在不同的文件中。 如果入侵者能够操纵c r o n t a b 文件或者该文件指定的程序和脚 本，他们就能使用c r o n 实用程序获得更高的权限。c r o n 产生的日志 能够对这种非正当的手段提供线索。 同样，入侵者如果在系统中安置由特洛伊木马，他也有可能通 过c r o n 将木马收集到的资料或数据定期发送到自己的邮箱或某个远 程主机。这时候，通过c r o n 产生的日志项也能发现问题。 2 7 s e n d m a 邮件传输记录 s e n d m a i l 守护程序是一个公共邮件传输代理，它监听并接收来 自外部系统的入境电子邮件连接。 该程序通过s y s l o g 完成它的日志。根据所产生消息的重要性， s e n d m a i l 产生的消息被标记为设施“m a i l ”，和从“d e b u g ”到“c r i t ” 的重要性级别。这个程序产生的所有消息在消息正文中都包括 s e n d m a i l 程序名。 s e n d m a i l 有个命令行选项( 一l ) ，指定记录它的最低重要性。l 选项的较高值能导致在日志中记录更多的信息。一l 值为0 表示不运 仃f e 何记录。 第1 8 页 电予科技大学硕士毕业论文系统安全审汁跟踪工具的研究 当入侵者试图从s m t p 端口利用其中的漏洞时，s e n d m a i l1 3 志可 r 为系统管理员提供非常重要的线索。 2 8 u u c p 一一u n l x t ou n i xc o p y 记录 u u c p 是一组程序，它用来从一个系统向另一个系统传送文件。 基于u u c p 的漏洞曾经被发现过很多，但由于属于已经过时的东西， 许多主机已不使用它或者根本就没有安装它，故而大多数人侵者在他 们的活动中并不利用u u c p 。 然而，如果系统中使用了u u c p ，就要审记日志以便查出可疑 活动，因为可以从远程站点通过u u c p 危害文件。根据所使用u u c p 版本的不同，u u c p 使用工具可以把信息存储在各种日志文件中。在 这里，我们将不再予以讨论。 2 9 f t p 的日志文件 f t pt 文件传输协议) 是通过网络从一台计算机向另一台计算机 传输文件的一种十分流行的方法。 配置f t p 服务器有两种方式：一种是专用服务器，管理员可以 通过为用户设置访问权限，从而明确地拒绝和接受对系统地访问；另 一种是匿名服务器网络上的任何人都可以不使用帐号对它进行连接 并传输文件。这种配置含有很多的不安全因素，经常被入侵者利用， 以便获得进一步的入侵途径。 f t p 服务器所生成的所有日志，缺省存放在v a r l o g x f e r l o g 文件 中，但其守护程序f t p d 目前使用s y s l o g 处理它产生的消息，因此， 具体日志文件实际存放由s y s l o g c o n f 决定。 2 1 0h t t p d 日志 伴随着w o r l dw i d ew e b 的出现并成为i n t e r n e t 服务的主宰，几 甲侮一个域都设置了一个w w w 服务器向i n t e r n e t 用户提供广告、信 息f “娱乐。h t t p d 服务器在日志中记录每一次的w e b 访问，并且报 第1 9 页 些! ：型：壁查兰塑主望些 ! 塞墨丝窒全堕盐坚墅三! ! ! ! ! 堕窒 告正常操作期间产生的错误。许多系统管理员保存这些日志用来产生 统汁报告一一那些主机最常访问这个服务器哪些方面最流行等等、 h t t p d 服务器一般产生两个独立的文件，一个包含错误信息而 另一个包含访问信息。这些日志文件的文件名设置在h t t p d c o n f 文件 1 1 j 。 2 1 1 h i s t o r y 日志 u n i x ( l i n u x ) 中最容易被忽视的日志之一就是s h e l l 历史日志。 这个文件保存了用户最近输入命令的记录。cs h e l l 和k o r ns h e l l 都支 持历史命令功能。 有一个环境变量能够确定保存命令行的数目。在cs h e l l 中这个 变量$ h i s t o r y ：在k e r ns h e l l 中这个变量是$ h i s t s i z e 。命令被保 存在用户主目录下的个文件中。在cs h e l l 下这个文件名为h i s t o r y ， 而在k e r n s h e l l 下这个文件的缺省名为s h h i s t o r y ，但可以通过 $ h i s t s i z e 环境变量来修改。 h i s t o r y 命令按照记录时间顺序显示历史日志中的内容，显示内 容前带有序号。如果使用带有h 选项的h i s t o r y 命令，则显示内容时 就不带序号。 许多入侵者在初次访问一个新系统时都会忘记清除他的s h e l l 历 史记录。甚至在他们编辑其他日志并替代实用工具后，他们输入的每 一条命令仍然可以在他们最初访问的帐号下h i s t o r y 文件中清晰可 见 第2 0 页 电子科技大学硕士毕业沦文系统安全审计跟踪上具的研究 第3 章黑客行径分析 孙子兵法曰：“知己知彼，百战不殆。”入侵者使用的一些平常 的安全故障经常会在各种系统日志中留下踪迹。清楚入侵者利用的安 全漏洞，并且知道如何在系统日志中发现异常，对于有安全意识的系 统管理员来说是非常重要的。 为了更好地作好系统的审计跟踪工作，笔者收集了大量有关黑 客入侵的资料及工具，首先将自己摆在入侵者的思考立场考虑问题， 并对多个入侵工具的源代码进行分析，力求找出其中的疏漏之处。在 阅读了大量的“黑客入门”、“黑客宝典”之类的资料，并分析了多个 入侵工具软件之后，我对入侵者的常用方法有了一个系统性的了解。 在本章，我将着重介绍黑客人侵行径，并系统性地对入侵者的常用步 骤做一定的描述。 3 1 黑客入侵一般方式 入侵者在得到一个能够进入某系统的起始帐户后，首先要做 的，就是获得该系统的r o o t 权限，在这期间，入侵者也许会采取很 多的方法，通过依次测试系统的某些漏洞，缺陷，或者通过其它一些 渠道，来获取。很有可能，他不会成功，但一旦成功，就可以进入系 统从事自己的活动了。 通常，入侵者会在无人的时候，潜入系统，然后，很快地通过 某些入侵工具隐藏自己，再开始从事自己希望的活动，如窃取需要的 情报或破坏系统等。如果入侵者希望自己下次能够顺利进入的话，他 们可能会在系统中做一些手脚，如给自己留一个藏身的目录，把希望 存留在系统中的某些程序放在这个目录中，或者留一个特别的帐户给 自己，或者将某个隐秘的文件给定特殊的权限，这便是通常的“后门”。 在做完这些工作后，入侵者会仔细地清除掉自己刚才留下的痕 迹，然后再悄悄地退出去。这些过程，详见图3 1 。 第2 i 页 型塞查兰堡主望些堡壅墨笙塞全空塑：竖堕三墨塑堕塞 第2 2 页 电子科技大学硕士毕业论文系统安全审汁跟踪工具的研究 3 2 黑客开始的工作获得一个起始帐户 黑客们有很多方法获得起始帐号，事实上， g f i l 真正需要的是一 个好的帐号，用来获得数百个帐号。 通常，入侵是这样进行的：以一个起始帐号，进入一个很好的可 以利用的系统( 大多是l i n u x 机器) ，夺取r o o t 权限并装上一个s n i f f e r ( 嗅探器) ：这个t c ps n i f f e r 将监测到网络上任何l o g i n ( 登录) 过 程并记录下所有t e l n e t ，f t p 或拨号进出的l o g i n 名和口令：这样， 即使是一个小以太网，黑客也可获得口令，如果是一个更大的网络供 应商，得到的帐号将大大超乎我们的预料! 这一切，就是从某个可利用系统的一个好帐号和口令中得来的! 如果看起来确实无法利用系统的r o o t 权限，通常他们会采用一些破 译工具来破解口令，或者，与那些没有s h e l l 帐号或磁盘空间的其他 h a c k e r 及i r c 使用者交换。 r o o t 帐号的重要性在于它操纵着整个系统，也是黑客时刻关注 的帐号，因此，想法让你的r o o t 帐号的口令不被破译，是非常重要 的! 除了使用破解文件来搜寻帐户口令外，黑客们也可能使用其他的 一些方法。比如，在得到一个管理员的帐号却无法找出r o o t 口令的 情形下，很多黑客会采用伪s u 文件。 具体做法如图3 2 所示，先读一读该管理员的历史文档看看 他是否曾用过s u 命令成为r o o t 。如果有，o k ，机会就来了：更改 该管理员的s h e l l 脚本使得一隐藏目录( t e r m ) 被很好安置在搜寻路 径里所有目录之前然后把伪s u 程序放在该t e r m ( 或其他) 目录里。 当该管理员再次使用s u 成为r o o t 时，假的s u 文件提供的界面对他 来说一切如常，在提示下他键人r o o t 口令，这时候，伪文件悄悄地 将1 5 1 令拷贝至o t m p e l m 6 9 的l o g 文档里，同时删除伪文件自身，并返 回一个口令出错的信息让他再试一次。对于管理员来说，一定认为是 e 己输入错了，便再次运行s u ，但这回是真的s u 了。 第2 3 页 电子科技大学硕士毕业沦丈系统安全审汁跟踪上鼹的研究 类似伪s u 文件之类的文件或工具到处都可以找到，在本论文的 附录里列出了一些黑客站点，上面可找到这样的一些伪s u 文件源 代码、伪l o g i n 文件等供下载。 找到个伪s u 文件 0 建立个隐藏目录 0 修改管理员的s h e l l 脚本中搜索路径，使 该隐藏目录在所有目录之前，将伪s u 文 件置人该目录 0 一旦该管理员使用s u , 伪文件起作用 0 提示输八r o o t 口令 将口令拷贝到另一事先设定好的文件中 j 伪文件删除自己，并提示口令输 错 管理员再次使用s u ，真s u 文件起作用 图3 - 2 3 3 获取p a s s w d 密码档 入侵者们想得到p a s s w d 文档并不象我们想象的那么困难，通常， 他们可以通过系统本身的一些漏洞或者网上可找到的一些工具来得 到 比如说，一个很常用的方法是通过p h f 漏洞来进行攻击。 第2 4 页 电r 科技夫学硕士毕业论文 系统安全审计跟踪j 二肄的研究 如果在w w w 的c g i b i n 的目录下有一个名为p h f 的可执行程序， 跫a p a c h e 上w w w 服务器的c g i b i n 命令，它存在缺陷。可以通过 w w w 或l i n u x 的文本浏览器l y n x 访问它。该功能允许读取系统上 的文件，女 1 e t c p a s s w d 等，并保存在本地机上。 如果h t t p d 服务器是由r o o t 根用户运行的，通过使用p h f ，我们 i 以成为该服务器的r o o t 用户；甚至修改服务器上某个用户的密码。 p h f 它存在缺陷，其后果是允许任何人以运行h t t p 服务器用户的 身份执行命令。通常该用户是n o b o d y ，但有时是r o o t 。 如果这个网站的用户笨到以r o o t 运行h t t p ，就可以通过安装一个 i n t e l n e t d 特洛伊木马并清除e i 志，以获得r o o t 用户的密码。然而， 在大多数情况下，只能获得n o b o d y 权限，需要通过系统的其它漏洞 去“黑”r o o t 用户。入侵者们经常从这个漏洞得手，因为系统管理员 往住认为没有人会在w w w 服务器上运行s h e l l ，因而没有必要设置 安全系统。很显示，他们并不了解自己的系统是否存在p h f 缺陷。 此时，入侵者们就可以利用一些现成的工具了。比如说在 r s i n t e n i c n e t 站点就提供了这样两个工具包：g e t d o m a i n p l 和 g e t u r l p l 。g e t d o m a i n p l 执行后可以分析出一个域名文件。而g e t u r l p l 工具则非常容易使用，它可以帮助入侵者取得r o o t 用户权限和从不 同的d o m a i n 获取p a s s w d 密码档。 g e t u r l p l 试图记录i n t e r n e t 上每台d o m a i n 对p h f 的响应结果。你 可以选择c o m e d u o r g m i l g o v 或是需要探测的p 地址列表。一旦 发现具有r o o t 权限的用户，便在结果文件中记录u i d = r o o t ，然后继续 探测下一台d o m a i n 。如果p h f 探测器找到的用户没有r o o t 权限，它 就会读取该d o m a i n 上的p a s s w d 密码档，并在当前目录下保存。 3 4 获取s h a d o w 密码档 s h a d o w 文件通常简称为影像文件，包含了每一用户的加密口令和 有效期。缺省情形下，该文件并不存在，故而给入侵者提供了机会： 该文件一旦建立，系统的安全性也就得到了很好的保障，但人侵者如 第2 5 页 电于科技大。# 硕士毕业论文系统安全审计跟踪j ：t - f f , f f l f 充 泶通过某些渠道得到了s h a d o w 文档，其安全性电就很难说了，因为 s h a d o w 文档同样如p a s s w d 文档一样可被破译。 3 5 破解p a s s w d 文档 如果黑客是按照正确的途径去h a c k i n g 的话，一般都是先运行破 解程序直到得到一个可以进入此系统的好帐号，然后l o g i n 上去看看 能否夺取系统的r o o t 权限。如果可以，拿了r o o t ，移取用得着的文 档到他们自己的子目录里，再抹去在场痕迹，清除所有日志。这样就 准备好可以安装s n i f f e r 了。 一般说来，黑客们只需要下列三样东西： l p a s s w o r d 破解程序 2 好的字典文件 3 p a s s w o r d 文档 我们前面已经讲述获得p a s s w d 文档的方法，破解程序和字典文 件都是非常容易得到的，连上因特网，上到任何一个黑客站点，都会 有大堆的诸如此类的资源供免费下载，不到l o 分钟，就可以下载到 黑客需要的这些东西，然后开始行动，执行破解程序，一旦p a s s w d 文档被破译，入侵者们便可以使用这些破译了的口令，长驱直入，进 攻系统。 3 6 使用m o u n t 得到系统访问权限 这并不难，而且网络上有很多系统是m o u n t a b l e ( 可共享的) 的。 m o u n t 允许在远程机器驱动器安装系统。这样一来，既可从其他机器 进行安装过程，也可仅仅共享网络中的磁盘和目录。问题在于许多管 理员过于懒惰，而把磁盘设置为全局属性，却不明白全局m o u n t ( 连 接或共享) 该磁艋，别人就能获得对他们的用户目录的写权限 开始，入侵者需要一个h a c k 过的r o o t 帐号，为了能m o u n t 远程 磁盘并获取权限，他们会修改系统的p a s s w o r d 文档并使用s u 命令 通过前面章节的介绍，假设入侵者已经取得r o o t 权限，他们通 第2 6 页 毡于科技大学硕士毕业沦文系统安全审计跟踪工f 的研究 常会使用s h o w n m o u n t 命令显示另一系统是否有m o u n t a b l e 的磁馥 在f o o t 帐号下： $ r o o t s h o w m o u n t e 域名 并非