文档介绍:一次被DNS攻击后的分析这篇文章是关于被DNS攻击后的系统分析,通过这个分析可以了解攻击者的行为,能很好的了解怎样攻击,攻击后做什么等各种行为,有助你更好的维护系统。原文作者:lance@背景此文信息由honeypot--/~lspitz/,,其字面意思是蜜缸,呵呵,即使说用来引诱某些...的一个陷阱,呵呵。下面分析的所有IP地址用户帐号,和击键的信息是真实的,除了密码信息,这样是为了更直接的了解整个过程。所有SNIFF信息是通过SNORT格式体现的;ORT是一个常用的嗅探器,对于检测系统入侵分析来说是一个不错的工具,我使用在XVISION的IDS签字。攻击行为在四月26号,snort提醒我其中的一个系统正受到一个'noop'攻击,信息包装载包含noops的信息,在此情况下,SNORT探测到攻击和记录了警告信息到/var/log/messages文件中(使用/~lspitz/--swatch来监控),,其他的地址是black-hat(黑帽子)使用的IP地址。Apr2606:43:05lisasnort[6283]:IDS181/nops-x86::1351->:53我的honeypots接受无数探测,扫描和查询,而且下面的一个警告信息使我注意到其中一个系统可能被破坏,下面的系统LOG信息指示攻击者正开始了一个连接和LOGIN了系统:Apr2606:44:25victim7PAM_pwdb[12509]:(login)sessionopenedforusertwinby(uid=0)Apr2606:44:36victim7PAM_pwdb[12521]:(su)sessionopenedforuserhantubytwin(uid=506)从上面的情况可以看到,入侵者已经获得超级用户权利和控制了整个系统,但这是怎样完成的呢,我们下面开始分析:分析当分析一攻击的时候,最好的位置是在开始端,即攻击者是从哪里开始的,攻击者一般开始是收集系统信息,可以让他获得系统所存在的漏洞,如果你的系统被破坏,这就表明攻击者不是第一次与你的系统通信了,大多数攻击者必须通过对你系统的连接获得初始化的信息。所以我们从最开始的信息收集开始,从第一条信息可以知道攻击初于53端口,这表示在我们系统上发动了一个DNS攻击,所以我通过我的snortalerts--/~lspitz/,我们发现一DNS版本查询探测的信息:Apr2502:08:07lisasnort[5875]:IDS277/DNS-version-query::4499->:53Apr2502:08:07lisasnort[5875]:IDS277/DNS-version-query::4630->:53注意,这个探测日期是4月25日,我们系统被攻击是在4月26号,系统是在被探测后的一天被入侵的,所以我猜测攻击者是使用一些扫描器扫描出一些关于DNS漏洞的信息,扫描以后,攻击者查看扫描结果,获得系统漏洞信息,然后启用他们的EXPLOIT。这样我们可以得到如下结论:在4月25号被检测后,后一天被侵入,通过我们的IDS警告,我们获知我们是被DNS漏洞攻击。THEEXPLOIT:类似于大多数商业IDS系统,snort可以显示我们所有IP信息包装载数据,我们就使用这功能来分析EXPLOIT,这个EXPLOIT信息可以从snort的LOG记录获得(存储在tcpdump两进制格式)。我查询snort的LOG记录并开始分析攻击开始时候的信息包,,主要是因为攻击者使用三个不同系统来运行这个EXPLOIT,这个EXPLOIT的目标是在远程主机上获得ROOTSHELL,一旦攻击者获得ROOTSHELL,他们可以以ROOT身份运行所有命令,还通常会在/etc/passwd和/etc/shadow文件中增加帐号,下面的获得ROOTSHELL后执行的一些命令:cd/;uname-a;pwd;id;-15#1MonApr1922:21:09EDT1999i586unknown/uid=0(root)gid=0(root)groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)echo"