その1

Mon, 09 Jan 2012 20:31:43 HADT (4522d)

広告

クラッカーがやって来た1

同じ研究室の人のPC(FreeBSD)にクラッカーが侵入したので、その話。 rootも取られていた (^^;

lsがおかしい

なぜ、クラックされたか分かったのか?
それはlsコマンド(DOS、win系で言う「DIR」)が正常に動かなかったからだそうだ。 これは、侵入したクラッカーが、ファイルの改変や侵入の形跡などを隠すために偽のlsコマンドに置き換えて、 誤った情報を表示するために行うのだが、そのおかげで侵入がばれている(笑)
あからさまに通常のlsと違う表示をするのだ。そりゃ分かるって
しかも、いろいろといじくりまわしているらしく、ちゃんと動かない状態であった。

素人、または駆け出し、または適当なクラッカーの仕業らしい。
取り合えず、ネットから切り離し、状態を調べることとなった。
無くなって分かるありがたさ。 普段、何の気無しに使っているlsコマンドであるが、いざ使えなくなるとかなり面倒だ。
そして、改変されているlsは「-l」(サイズや変更日時などを表示)、「-a」(全てのファイル(ディレクトリ)を表示)などの 引数が効かない状態であったのでさらに面倒であった。それに信用出来ない(笑)
そこで調べてみるとperlはちゃんと動く様なので、perlで簡単なlsもどきを作製し(viも動いた)、 ファイルを調べることになった。

しかし、ばればれの偽lsやperlが動いたり、あとあと述べるようにミスが多い。(笑) クラッカーと呼ぶに値しないので駆け出し君と呼ぶことにしよう。

改変されていたプログラム

駆け出し君が変えていた(追加された(笑)プログラムはクラッカーの教科書?に載ってそうな非常に基本的なもの。 変える理由を簡単に書くと

  1. ls
         上記の通り、ファイルの情報を表示するため。
         ファイルの変更日とかサイズとかで、ファイルの改変、追加や侵入が分かってしまうので偽の情報を表示するようにすると良い。
  2. wp
         wtmpなどのバイナリで記録しているlogファイルを改変するもの。
         どこからのアクセスかとか日時などがwtmpと言うファイルに記録されている。
         asciiだとエディタなどで改変が容易だけれどバイナリで書かれているため、プログラムを必要とする。
  3. login
         loginする時に認証、logingする。
         認証しないようにしたり、アクセス情報がlogに残らないようにする。
  4. netstat
         開いているポートなどを表示。
         裏口などを動かしているとき発見されないようにする。
  5. ps
         どんなプログラムが動いているか表示する。
         変なプログラム、裏口などを発見されないようにする。 

作製したアカウント

rootの権限をもつtoorと言うのを作っていた。って言うかべたべた何ですけれど(笑) ignasと言う普通のユーザー。なぜignasかは不明。実際にあるアカウントを真似たものか

(訂正)toorというのはFreeBSDでは初めからあるアカウントのようです。