Иллюстрированный самоучитель по Secure Web


Инвентаризация UNIX - часть 5


Существуют также и другие, менее популярные утилиты, например rusers и rwho. Как и в случае с программой finger, от них лучше отказаться (обычно эти утилиты запускаются независимо от демона inetd). Поищите в файлах загрузки ссылки на файлы rpc.rwhod и rpc.rusersd). Утилита rwho возвращает перечень пользователей, которые в данный момент зарегистрированы на удаленном узле,

rwho 192.168.202.34

root localhost:ttypO Apr 11 09:21

jack beanstalk:ttypl Apr 10 15:01

jimbo 192.168.202.77:ttyp2 Apr 10 17:40

При использовании параметра -1 утилита rusers позволяет получить более подробную информацию. Кроме сведений о пользователях она предоставляет данные о времени, прошедшем после последнего нажатия пользователем клавиш на клавиатуре,

rusers -1 192.168.202.34

root 192. 168..202.34:ttyl Apr 10 18:58 :51

root 192.168.202.34:ttypO Apr 10 18:59 :02 (:0.0)

Еще один классический метод инвентаризации основан на использовании универсального средства почтовой доставки Internet — протокола SMTP (Simple Mail Transfer Protocol). Этот протокол поддерживает две встроенные команды, которые позволяют выполнять инвентаризацию пользовательских учетных записей. Команда VRFY подтверждает, что введенное имя имеется в системе, а команда EXPN отображает реальный адрес доставки письма вместо псевдонима или списка рассылки. Хотя в настоящее время многие компании и так достаточно свободно предоставляют информацию об электронных адресах, разрешение подобной деятельности на почтовом сервере может дать взломщику ценную информацию о пользователях, а также предоставить ему возможность фальсификации.

telnet 192.168.202.34 25

Trying 192.168.202.34...

Connected to 192.168.202.34.

Escape character is -'^]'.

220 mail.bigcorp.com ESMTP Sendmail
8.8.7/8.8.7; Sun, 11 Apr 1999

10:08:49 -0700

vrfy root

250 root <root@bigcorp.com>

expn adm

250 adm <adm@bigcorp.com>

quit

221 mail.bigcorp.com closing connection

Это еще один пример того, что нужно всегда помнить о старых хакерских приемах и вовремя отключать соответствующие режимы. Популярная программа sendmail, предназначенная для обмена информацией с использованием протокола SMTP (http://www.sendmail.org), начиная с версии 8, поддерживает синтаксис, который позволяет поместить в файл mail.cf параметры, запрещающие подобные команды или требующие аутентификации. Другие реализации SMTP-сервера должны предоставлять аналогичные возможности. Если это не так, замените программу!



Начало  Назад  Вперед