-l ]
5) secured.
Ups: option requires an argument -- u
usage: ps [ -aAdeflcj ] [ -o format ] [ -t termlist ]
[ -u userlist ] [ -U userlist ] [ -G grouplist ]
[ -p proclist ] [ -g pgrplist ] [ -s sidlist ]
'format' is one or more of:
user ruser group rgroup uid ruid gid rgid pid ppid pgid sid
pri opri pcpu pmem vsz rss osz nice class time etime stime
f s c tty addr wchan fname comm args
最后,攻击者运行了IRC bot,该程序是为了保证他们能够按照自己的意愿控制该IRC频道,同时它也记录IRC频道全部的聊天记录,也正是通过他们安装的bot,我们得到了他们的所有聊天记录。
init: Using config file: bot2
EnergyMech 2.7.1, December 2nd, 1999
Starglider Class EnergyMech
Compiled on Jan 27 2000 07:06:04
Features: DYN, NEW, SEF
init: Unknown configuration item: "NOSEEN" (ignored)
init: Mechs added [ save2 ]
init: Warning: save2 has no userlist, running in setup mode
init: EnergyMech running...
$ exit
当安置好bot后,黑客离开了系统,正是这个bot捕获了他们的所有对话(见下面第二部分)。如果想得到更多的关于IRC和黑客社团如何利用IRC和bot,可以参考David Brumley的<Tracking Hackers on IRC>。在以后的几周里,为了确认仍然控制着系统他们又登上系统几次。一周后,6月11日,他们再次连接过来尝试使用该系统进行拒绝服务攻击。当然,该"蜜罐"设计时已经考虑到阻塞所有使用它作为对外攻击的基地的尝试。所有使用该系统进行拒绝服务攻击的尝试都会被阻塞掉。
我们在这里所看到的是很普通的现象:黑客社团使用的工具和策略,他们根据已知的漏洞随机扫描Internet(在该案例中是rpc.ttdbserv),一旦发现,他们会很快的入侵系统并使用脚本工具安装后门,一旦控制了系统,他们会安装bot以确保他们控制着IRC频道。这里唯一不一般的是他们的bot为我们所捕获的聊天信息。在本文的下一部分我们将以他们的聊天记录分析他们的动机和心理。如果你怀疑你的系统已经被相同的方法入侵,可以参考checklist,它包括了怎样检查被入侵系统相关信息。
第二部分: IRC聊天记录
下面是他们的聊天记录,其中两个人我们暂且叫做D1ck和J4n3,他们开通的频道也暂且叫做K1dd13。你将会看到这两个人的行为,当然还有其他一些人。聊天记录我们按天分,罗列在下面。我们建议你按顺序读,这样就会明白发生的事。这里所提到的IRC频道、系统名称、IP地址都做了相应修改,所有系统的IP地址已经RFC 1918里的非公用IP替代,域名被换成"example",所有提到的信用卡号被换成"xxxx"。如果IRC频道名相同,纯属巧合。经过仔细考虑,我们没有过滤掉其中的谩骂的字眼,他们所提到的一些外语,我们也尽可能的翻译成英语。当你仔细读他们聊天记录时,你会发现他们缺乏
网络技巧和知识,经常会看到他们尝试学习Unix的基本技巧,但是就是他们仍然能够入侵破坏大量的系统,这些决不是危言耸听。
Day 1, June 04
开始讨论建立一个攻击程序结构并共享用来攻击潜在目标的攻击程序。
Day 2, June 05
今天D1ck和J4n3共享攻击程序和拒绝服务攻击。注意他们吹牛已经攻破了多少
网络,似乎其中一个正在教育网上搜寻Linux主机。同时他们讨论了在Linux和sparc上使用新的rootkit。
Day 3, June 06
D1ck和J4n3吹嘘那些他们已经对其进行拒绝服务攻击地系统,稍后,D1ck教给J4n3如何mount一个设备。最后讨论了sniffer(关于如何使用),似乎D1ck在拼命寻找Irix主机的攻击程序和rootkit。
Day 4, June 07
D1ck和J4n3决定对印度采取决绝服务攻击和针对bind的攻击。稍后,他们对那些激怒他们的IRC成员进行拒绝服务攻击。
Day 5, June 08
D1ck请求J4n3为他入侵三个系统。D1ck和他的密友Sp07想研究一下sniffer是怎样工作的,包括"是否需要在同一网段上运行"等问题。
Day 6, June 09
这支奇特的队伍开始忙碌起来,似乎D1ck已经入侵了40个系统。我们有理由相信:如果他们可以扫描足够多的系统,那么就会有更多的系统遭受入侵。
Day 7, June 10
平淡的一天,D1ck教一个新兵k1dd13如何使用针对sadmind的攻击程序,我们不确定D1ck是否自己会使用。
Day 8, June 11
D1ck和J4n3讨论他们拥有的系统和那些他们想对其进行拒绝服务的人们,D1ck发现了Ping of Death。
Day 9, June 12
似乎D1ck撞了大运,他发现了一个ISP并且获得了超过5000个用户帐号,现在他们不得不想如何crack这些帐号。
Day 10, June 13
Sp07加入这个团体,似乎他也不太喜欢印度。
Day 11, June 14
他们开始crack用户密码并存取用户帐号。
Day 12, June 15 Also with 罗马尼亚译文
D1ck和J4n3开始尝试在信用卡频道里搜寻信用卡号,成功的话,他们可以购买更多的域名
Day 13, June 16 Also with 罗马尼亚译文
D1ck和J4n3仍然在信用卡频道里搜寻。他们交换信用卡、分享帐号以及色情站点,最后他们把重点放在自己的Web站点。
Day 14, June 17 Also with 罗马尼亚译文
D1ck和J4n3讨论如何获取Linux主机帐号,并谈论了很多关于信用卡,然后继续构建Web站点。
我们已经回顾了这个黑客社团在14天当中的生活,当让这些并不意味着所有的黑客都是如此想和行动。我们只是关注了一些个别的特殊的团体。但是我们仍然希望通过这些信息能够给你些提示:他们的能力如何,他们或许并不是技术高手,甚至不明白他们正在使用的工具。但是,通过对很多系统的攻击,最终取得了戏剧性的结果,这些不是危言耸听。他们不关心所造成的后果有多严重,他们只关心自己达到了目标。
结论
本文的意图就是要使你明确黑客社团的行为和心理。从一开始的一台Solaris 2.6"蜜罐"遭受入侵开始,证实了一个使用普通的远程溢出攻击程序攻击存在漏洞的系统,一旦遭受入侵,系统很快就会被在黑客社团中普遍使用的工具包rootkit所控制。这些可能都很普通,但是本文的一个特点就是让你观察到黑客的思想行为,你可以看到他们所想的和实际行为以及所说的每一句话,特别是如何攻击和破坏系统,他们随机的扫描大量的系统并攻击那些在他们看来存在漏洞的系统。通过理解他们那的行为和思想,你可以更好的保护你的系统免受类似攻击。
感谢
此篇文章是Honeynet项目的工作和研究结果,Honeynet项目小组是由一些安全专业人士组成,致力于研究黑客社团使用的工具和策略、并把这些知识和经验与安全社团人士分享的组织。
我们应该感谢SANS的Alan Paller,尽管并不是Honeynet项目的成员,他帮助我们实现了这个研究。
(出处:viphot)
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:黑客社团的动机与心理