rootになろう!

システム防御その8

shellが利用できるプロバイダーというのがあります。これはサーバーになっている UNIX上(NTでもtelnetで入れるときもある)でコマンド等を実行できる環境です。たいていtelnetで入ってcgiのディバックなどのために公開しているのです。これは、非常に大きなセキュリティーホールになりうるものです。
あることをすることによってroot(管理者権限)を得ることができます。こうなると(知識と技術があれば)何でもできます。システムを停止させようが踏み台にしようが、内部のネットワークを探ろうが、ファイルをすべて消すなんて芸のないこともできます。
プロバイダーではかなり制限がきついのですが、企業ではそこまで金が回らないためにやりやすくなっています。確率的にはshell=1/2rootです。
実はshellが無くてもroot権限を奪うことできます。最近では認証サーバーを攻撃することにより、できる方法が公開されました。これを使えば、ほとんどのプロバイダーに勝手にアカウントを作成したりできます。


システム防御その8
rootにはさせない

さて、shellアカウントはありますでしょうか?ある場合は注意してください、 rootになるプログラムはinternet上で公開されています。これらのプログラムは特定のプラットホーム上で動くもので、AIXならAIX用、BSDならBSD用のものがあります。これらのツール郡はある程度決まっていますので、その系統のコマンドを root権限でないと実行できないようにしましょう。

もしも乗っ取られてしまった場合

誰がやっているかを突き止める

LAN analyzerを使って、誰がどこからつなげているかを特定しましょう。普通はtelnetもしくはbackboorを使ってログインしてくるので、telnetのパケットをそのまま取り込んで、パケットの出元を突き止めます。次に出元のIPアドレスより、 JPNIC,interNICのデータベースを使ってどの組織が管理しているかを突き止めます。その組織に直接電話をして、(メールより緊急性があってよい)たぶんそこは踏み台にされているので、調査を依頼します。うまくいけば見つかるでしょう。

とりあえず取り返す

rootのパスワードが変更されているときは、ログインできませんので、シングルモードに移行して/etc/passwdのrootをパスワード無しにします。マルチモードに移行後rootパスワードを変更します。
実ユーザーのはいった/etc/passwdを入れ直します。このとき/usr/bin/csh /usr/bin/sh /usr/bin/bash /usr/bin/tcsh とかを /usr/bin/zeroなど実在しないものにします。( rootはshellが必要です)
これで、一時的にはshellが使えなくなりました。rootと取る原因となったものを調査しましょう。


telnetのアクセス制限

tcpdによってtelnet接続できるIPアドレスをあらかじめ制限しておくことによって、telnetできるIPアドレスをあらかじめ制限しておきましょう。システムを守るいい方法です。また、rootはコンソールからのみしか使えないとか。しておくのもいい手段です。

ご意見、ご感想はメールでどうぞ。
トップページへ

PC用眼鏡【管理人も使ってますがマジで疲れません】 解約手数料0円【あしたでんき】 Yahoo 楽天 NTT-X Store

無料ホームページ 無料のクレジットカード 海外格安航空券 ふるさと納税 海外旅行保険が無料! 海外ホテル