HaCKeW
04-23-2007, 10:52 PM
Bu shell programi sanki gerçek sistem su komutu gibi kullanicidan sifreyi istemektedir. Daha sonra da bu sifreyi *****er'in adresine göndermekte ve programi kullanici dizininden silmektedir.
Ancak bu programin çalismasi için kullanici PATH degiskeninde modifiye edilmesi gerekmektedir. Zira kulanici su komutunu girdiginde sistem bu komutu ilk olarak sistem dizinlerinde "/usr/bin" gibi... arayacaktir. Ilk olarak kullanicinin ana dizinine bakmasini saglamak için kulanicinin .profile dosyasina:
..
PATH=.:/usr/bin:/bin:/usr/local/bin:/sbin
export PATH
...
satirlarini girmek yeterlidir. Ayni taktik telnet komutunu degistirmek için de kullanilabilir. telnet adinda bir shell script yazilarak kullanicidan baglanacagi sistemdeki kullanici adi ve sifresi okunabilir ve daha sonra bu bilgiler *****er adresine gönderildikten sonra hata verilerek programdan çikilabilir!
cron ve at trojanlari : cron ve at tarafindan çalistirilan dosyalarda da arka kapilar olabilir. Örnek olarak root crontab dosyasi (/var/spool/cron/crontabs/root) root erisim haklariyla çalistigi için bu dosya içerisine yazilacak komutlar belli zamanlarda çalisarak *****er'a sisteme erisim hakki verebilir. Crontab dosyasinin yapisi asagidaki gibidir:
(1) (2) (3) (4) (5) (6)
0 0 * * 1 /usr/bin/chg_passwd
1-5 arasi sutunlar sirasiyla: dakika (0-59), saat (0-59), gün (1-31), ay (1-12), haftanin günü (0-6) en son sutun ise çalistirilacak programi belirler. Yukaridaki örnekte her hafta Pazartesi günü saat tam 0:0'da chg_passwd programinin çalistirilacagini gösterir.
Yukaridaki chg_passwd shell programi *****er tarafindan yazilmis bir script olabilir. Bu script asagidaki gibi olabilir,
...
cp /etc/passwd /etc/temppasswd
cp /tmp/yenipasswd /etc/passwd
sleep 60
mv /etc/temppasswd /etc/passwd
....
Bu script orijinal etc/passwd sifre dosyasinin *****er'in hazirladigi yeni dosyayla degistirilmesini saglar. Bu degisimden sonra script 60 saniye uyuyacaktir ve sonra tekrar orijinal sifre dosyasini yerine koyacaktir. Bu sekilde *****er her Pazartesi saat 0:0'da sisteme 60 saniye süresince girme hakkina sahip olacaktir J.
Tabi burada crontab servisiyle yapilabilecek arka kapilar ve yapilabilecek isler sinirsiz sayida denilebilecek kadar çoktur. *****er'in hayal gücüne kalmistir artik, mesela *****er crontab içine yerlestirdigi gizli bir script ile her gün /etc/passwd dosyasinin kendi mail adresine postalanmasini saglayabilir bu sekilde sisteme eklenen yeni kullanicilari takip edebilir.
Dikkat: crontab ve at dosyalarinin her zaman kontrol altinda olmasina dikkat edin. Bu dosyalardaki degisiklikler sisteme bir *****er'in girdiginin belirtisi olabilir.
Ayrica sistemde sistem komutlariyla ayni isme sahip yeni dosyalarin olusturulup olusturlulmadigi da kontrol edilmelidir.
Diger teknikler: UNIX sistemlerinde yukarida saydiklarimizdan çok daha fazla arka kapi teknikleri vardir. Burada hepsini ayrintili olarak anlatmak sayfalarca sürebilir o nedenle diger tekniklerin sadece ismini vermekle yetinecegim.
Yukarida sayilan teknikler, herkes tarafindan kullanilabilir teknikler olmakla birlikte çok fazla sistem bilgisi ve programlama bilgisi gerektiren teknikler de vardir.
Diger teknikler arasinda asagidakileri sayabiliriz:
login arka kapisi,
telnetd arka kapisi,
library arka kapilari,
kernel arka kapilari,
file sistem arka kapilari,
bootblock arka kapilari,
process saklama teknikleri,
network trafik arka kapilari,
TCP shell arka kapilari,
UDP shell arka kapilari,
ICMP shell arka kapilari,
Sifrelenmis baglanti teknikleri,
Çözüm
Yukarida da gördügümüz gibi bir UNIX sistemine girmenin binbir yolu vardir ve bir sisteme bir *****er girdigi zaman sisteme tekrar girebilmek için geride çok degisik arka kapilar birakabilir.
Bütünlük kontrolü: Bunlara karsi alinacak en iyi önlem tripwire gibi sistem bütünlügünü saglayan araçlari kullanmaktir. Tripwire programina daha önce deginmistik. Yukarida belirtilen arka kapilari bu araçla yakalayabilirsiniz. Tripwire en son çalismasindan beri hangi dosyalarin degistigini listeledigi için sistemde hangi degisikliklerin oldugunu anlayabilirsiniz.
Konfigürasyon ayarlari: Ancak tripwire'in yaninda sistemdeki yanlis konfigürasyon ayarlarinin da kontrol edilmesi gerekmektedir. suid programlarinin tespiti, herkese yazma hakki verilen dizinlerin belirlenmesi gibi.
Ancak bu programin çalismasi için kullanici PATH degiskeninde modifiye edilmesi gerekmektedir. Zira kulanici su komutunu girdiginde sistem bu komutu ilk olarak sistem dizinlerinde "/usr/bin" gibi... arayacaktir. Ilk olarak kullanicinin ana dizinine bakmasini saglamak için kulanicinin .profile dosyasina:
..
PATH=.:/usr/bin:/bin:/usr/local/bin:/sbin
export PATH
...
satirlarini girmek yeterlidir. Ayni taktik telnet komutunu degistirmek için de kullanilabilir. telnet adinda bir shell script yazilarak kullanicidan baglanacagi sistemdeki kullanici adi ve sifresi okunabilir ve daha sonra bu bilgiler *****er adresine gönderildikten sonra hata verilerek programdan çikilabilir!
cron ve at trojanlari : cron ve at tarafindan çalistirilan dosyalarda da arka kapilar olabilir. Örnek olarak root crontab dosyasi (/var/spool/cron/crontabs/root) root erisim haklariyla çalistigi için bu dosya içerisine yazilacak komutlar belli zamanlarda çalisarak *****er'a sisteme erisim hakki verebilir. Crontab dosyasinin yapisi asagidaki gibidir:
(1) (2) (3) (4) (5) (6)
0 0 * * 1 /usr/bin/chg_passwd
1-5 arasi sutunlar sirasiyla: dakika (0-59), saat (0-59), gün (1-31), ay (1-12), haftanin günü (0-6) en son sutun ise çalistirilacak programi belirler. Yukaridaki örnekte her hafta Pazartesi günü saat tam 0:0'da chg_passwd programinin çalistirilacagini gösterir.
Yukaridaki chg_passwd shell programi *****er tarafindan yazilmis bir script olabilir. Bu script asagidaki gibi olabilir,
...
cp /etc/passwd /etc/temppasswd
cp /tmp/yenipasswd /etc/passwd
sleep 60
mv /etc/temppasswd /etc/passwd
....
Bu script orijinal etc/passwd sifre dosyasinin *****er'in hazirladigi yeni dosyayla degistirilmesini saglar. Bu degisimden sonra script 60 saniye uyuyacaktir ve sonra tekrar orijinal sifre dosyasini yerine koyacaktir. Bu sekilde *****er her Pazartesi saat 0:0'da sisteme 60 saniye süresince girme hakkina sahip olacaktir J.
Tabi burada crontab servisiyle yapilabilecek arka kapilar ve yapilabilecek isler sinirsiz sayida denilebilecek kadar çoktur. *****er'in hayal gücüne kalmistir artik, mesela *****er crontab içine yerlestirdigi gizli bir script ile her gün /etc/passwd dosyasinin kendi mail adresine postalanmasini saglayabilir bu sekilde sisteme eklenen yeni kullanicilari takip edebilir.
Dikkat: crontab ve at dosyalarinin her zaman kontrol altinda olmasina dikkat edin. Bu dosyalardaki degisiklikler sisteme bir *****er'in girdiginin belirtisi olabilir.
Ayrica sistemde sistem komutlariyla ayni isme sahip yeni dosyalarin olusturulup olusturlulmadigi da kontrol edilmelidir.
Diger teknikler: UNIX sistemlerinde yukarida saydiklarimizdan çok daha fazla arka kapi teknikleri vardir. Burada hepsini ayrintili olarak anlatmak sayfalarca sürebilir o nedenle diger tekniklerin sadece ismini vermekle yetinecegim.
Yukarida sayilan teknikler, herkes tarafindan kullanilabilir teknikler olmakla birlikte çok fazla sistem bilgisi ve programlama bilgisi gerektiren teknikler de vardir.
Diger teknikler arasinda asagidakileri sayabiliriz:
login arka kapisi,
telnetd arka kapisi,
library arka kapilari,
kernel arka kapilari,
file sistem arka kapilari,
bootblock arka kapilari,
process saklama teknikleri,
network trafik arka kapilari,
TCP shell arka kapilari,
UDP shell arka kapilari,
ICMP shell arka kapilari,
Sifrelenmis baglanti teknikleri,
Çözüm
Yukarida da gördügümüz gibi bir UNIX sistemine girmenin binbir yolu vardir ve bir sisteme bir *****er girdigi zaman sisteme tekrar girebilmek için geride çok degisik arka kapilar birakabilir.
Bütünlük kontrolü: Bunlara karsi alinacak en iyi önlem tripwire gibi sistem bütünlügünü saglayan araçlari kullanmaktir. Tripwire programina daha önce deginmistik. Yukarida belirtilen arka kapilari bu araçla yakalayabilirsiniz. Tripwire en son çalismasindan beri hangi dosyalarin degistigini listeledigi için sistemde hangi degisikliklerin oldugunu anlayabilirsiniz.
Konfigürasyon ayarlari: Ancak tripwire'in yaninda sistemdeki yanlis konfigürasyon ayarlarinin da kontrol edilmesi gerekmektedir. suid programlarinin tespiti, herkese yazma hakki verilen dizinlerin belirlenmesi gibi.