Inventory * NIX

Inventory * NIX
So, jetzt würde Ich mag zu einem der umstrittensten Themen im Inventar zu gehen. Umstrittene da keine wichtigen Informationen, die Sie gar nicht sammeln können, weil Nix Systeme auf Basis von TCP Sicherheit - IP-Protokoll (die seit Jahren gearbeitet) mit wenig oder keiner Innovation.
*** Ich werde beachten Sie, dass Linux mehr Innovationen hat.
Deshalb, wenn Sie ein System fällt, der mit dem Verstand gebaut wurde, gibt es nichts nützlich Sie nicht sammeln kann, aber wenn jemand wieder - dann ist alles zu installieren entschieden und mehr, die ... System kann in der Verteidigung sehr schwach geworden.
Für mich ist die Frage, wie der Artikel richtig zu schreiben (!!!) ist sehr akut. Der Grund ist wieder, dass "zu viel zu sagen" kann fast jedes Netzwerk-Daemon sein, aber ich kann ihre Aufmerksamkeit nicht widmen, wie »Apache oder Sendmail zu" sprechen (dies kann in je mehr die Artikel oder bagtakah, advisori verengen zu finden und etc.). Deshalb muss sagen, dass die immer beliebter und was wahrscheinlich ist, zu arbeiten. Daher wird in diesem Artikel sehr kurz sein.
Für den Anfang möchte ich sagen, dass das Lesen über Portscans wert ist, vor dem Lesen auf.
In * nix-Systeme haben eine sehr beliebte Taschen, die sicherlich für uns von Interesse sind. Zum Beispiel bereits berüchtigt RPC-Dienst (Remote Procedure Call) sowie NFS (Network File System) und NIS (Network Information Service).
Lassen Sie uns zuerst einen Blick auf die RPC. Dieser Service erfordert Programme, die über das Netzwerk kommunizieren. Speziell für diese entwickelt und RPC wurde. Auf der Grundlage dieses Protokolls arbeitet rpcbind Programm. Sein Ziel: ein Vermittler zwischen dem Client und dem Hafen. Das Programm dynamisch zuweist Ports für die Kunden. Für die Inventur RPC rpcinfo Dienstprogramm gibt, die wie ein Finger funktioniert (siehe unten).
Nun, wir noch einmal mit der Tatsache konfrontiert werden, dass wir eine Liste der offenen Ports benötigen, wie wir brauchen einen Port 111. Wenn wir wissen, dass wir mit Sun zu tun haben, ist ein Port 32771.
/ * Beachten Sie, dass in der Realität, werden Sie wahrscheinlich nicht die gleiche sehen, wie es in meiner früheren Artikel war, die undichte Maschinen geschrieben wurden unter Verwendung, die sich noch im Netzwerk vorhanden sind. Jetzt modelliert ich eine solche Maschine in Ihrem Netzwerk Zeit auf der Suche nach undichten Maschinen auf dem Internet zu speichern. Daher ist in den Listen, werden Sie sehen, vor allem, was eine Schwachstelle ist und was sollte man im Inventar * sucht /
---------------------------------------
#rpcinfo -p XX.XXX.XX.XXX
Programm vers Proto-Port
100000 2 111 tcp rpcbind
100002 3 712 udp rusersd
100005 1 udp 635 mountd
100003 2 udp 2049 nfs
100004 2 tcp 778 ypserv
... ... ... ... ...
---------------------------------------
Daraus sehen wir, dass wir einen Dämon rusersd haben (die uns mehr Details zu zeigen), ypserv (NIS-Server), die mountd, von denen wir Informationen über Showmount -e (siehe unten näher) zu erhalten. Sie können sehen, ob es rquotad Server: rpcinfo -n -t 111 100011
In dem RPC-Server rquotad entspricht der Nummer 100011.
So können wir leicht herausfinden, was auf dem System ausgeführt wird, sowie eine Art von zusätzlichen Informationen zu erhalten. Natürlich könnten wir es über einen Port-Scan, aber! Bitte beachten Sie, dass wir UDP- und TCP zu sehen, und der Scanner würde eine weitere udp zu scannen haben.
Betrachten wir nun NFS.
Hier ist alles ganz einfach. Wenn wir wissen, dass wir (100003 2 udp 2049 nfs), wir geben und Ballons zu sehen
--------------------------------------
Showmount -e XX.XXX.XX.XXX
Exportliste für XX.XXX.XX.XXX
/ Pub (jeder)
/ Quelle (alle)
/ Loc (alle)
/ Usr Benutzer
--------------------------------------
Es ist erwähnenswert, dass es jetzt im Linux-Teil von NFS Samba Alternative enthalten ist! Dadurch, dass Fehler NFS fixiert werden, um sich selbst zugefügt. Samba verwendet das SMB-Protokoll (Server Message Block), ist es eine Art von Punkt touch * nix und Windows-Systemen auf gemeinsam genutzte Dateien und Drucker.
die NIS-Next genannt "Schmankerl". Manchmal scheint es mir, dass es von unserer Regierung entwickelt wurde. Die Idee ist gut, aber die Umsetzung ist alles ruiniert. So seine gute Seite ist, dass es ist so konzipiert, eine verteilte Datenbank von Netzwerkinformationen zu unterstützen. Und jetzt ... die Realisierung eines einfachen RPC NIS-Server Anforderung erhalten wir jede Karte NIS. Die Karte ist eine Datei, die Informationen für jede Domain-Knoten enthält, bis Passwörter Lächeln traurig
Zunächst müssen wir einen Domain-Namen zu finden. Sie können pscan (liegend überall) verwenden. Es ist die Methode der Auswahl wird uns mit allen Informationen bereitzustellen.
Wir haben eine Liste von Dateien und die entsprechenden Karten.
___________________________________________________________
/ Etc / hosts | hosts.byname, hosts.byaddr
/ Etc / networks | networks.byname, networks.byaddr
/ Etc / passwd | passwd.byname, passwd.byuid
/ Etc / group | group.byname, group.bygid
/ Etc / services | services.byname services.bynumber
/ Etc / rpc | rpc.byname, rpc.bynumber
/ Etc / protocols | protocols.byname, protocols.bynumber
Verzeichnis / usr / lib / Aliase | mail.aliases
-------------------------------------------------- ---------
Blick auf die Zukunft und sagen, dass die gesamte Hacking hier enden könnte ---> #ypx -o passwd.byname -g target.remote.com
Weitere Passwörter eine Art Lieblings prog gespeist, die wir normalerweise ihrer jetzigen Form, gut, Wurzel annehmen kann nicht produzieren, aber einige der Passwörter werden wir.
Stellen Sie sich vor, dass wir eine Vermutung über die Namen der Benutzer des Systems haben, oder wollen wir, ob ein bestimmter Benutzer im System zu überprüfen. In diesem Fall werden wir SMTP (Simple Mail Transfer Protocol) zu helfen. Unter anderem hat er zwei nützliche Befehle:
// In Config können Sie sie deaktivieren
1. vrfy - bestätigt, dass der eingegebene Name im System verfügbar ist
2. expn - es zeigt die reale Adresse der Nachrichtenübermittlung. Aber wenn wir mit einer Mailing-Liste (Mailingliste) zu tun haben, wird die PHA alle Mitglieder der Liste eogo.
Beispiel:
---------------------------------------
#telnet XX.XXX.XX.XXX 25
Der Versuch, XX.XXX.XX.XXX ...
Verbunden mit XX.XXX.XX.XXX.
Escape-Zeichen ist '^]'.
220 mail.target.ru ESMTP Postfix
vrfy john
252 john
expn mike
250 mike
verlassen
221 mail.target.ru Schlussverbindung
----------------------------------------
Nun, ganz kurz. Wenn wir sahen geöffnet, dass der Port 79, dann sind wir mit einem Finger zu tun haben. Es ist ein altes Werkzeug, aber noch häufiger. Gerade in der Tat byladeystvitelno es in der Morgendämmerung des Internets müssen, wenn es nicht so einfach zu bedienen war. Finger bedient zu jemand anderes könnte Informationen über die Nutzer zu bekommen.
Es ist am besten überhaupt Beispiel aussehen:
--------------------------------------------
#finger -l @ haha.lala.com

[Haha.lala.com]
Benutzername: root
Verzeichnis: / root
Am seit Do 28 Jan 23.12 (PST) an tty1 2 Minuten im Leerlauf
(Nachrichten off)
Am seit Do 28 Jan 23.12 (PST) auf ttyp1 12 Minuten Leerlauf
1 mail
Plan:
Ich bin Wurzel
Mein Telefon num 555.555.55
--------------------------------------------
Im Allgemeinen ist es nichts Besonderes, aber wir können sehen, was die Nutzer, wie lange sie inaktiv sind. Zum Beispiel können wir in diesem Fall siehe da, Ruth über das System ein Auge jetzt halten war ich aktiv arbeiten, so dass der Aufstieg nicht lohnen würde.
Abschließend möchte ich, dass für jede Verteilung zu sagen, dass Sie ihre eigenen Methoden der Bestandsaufnahme sein kann, eines Tages versammeln ich zu diesem Thema alle möglichen Informationen finden können. Legen Sie als Ergänzung a la "Inventar RedHat". Was oben irgendwie beschrieben wurde, hilft das Inventar Unix-System zu verstehen und seine Klone. Sie können eine Menge von Systemen mit ähnlichen Verstößen finden. In meinem nächsten Artikel werde ich beschreiben, wie die Firewall zu ihrem Vorteil zu nutzen. Als Router. Daher wird das Netzwerk viele völlig ungeschützt Unix, Windows und andere öffnen. System. Bestandsaufnahme der jeweils separat ist auch sehr nützlich, weil es sie sind Punkte von Netzwerk-Intrusion. Hier und erinnerte sich an alles.