Журналы консольных сообщений
Утилита conlog.nlm предоставляет возможность записи консольных сообщений и ошибок, например о выявлении вторжений и блокировании учетных записей. Получив доступ к утилите rconsole, взломщик без проблем может ввести команду unload conlog, отключив режим регистрации сообщений в файле, а затем снова включить этот режим и возобновить запись сообщений в совершенно новый файл console.log. При этом предыдущий файл удаляется, а вместе с ним и все записанные ошибки и сообщения. Грамотный системный администратор должен рассматривать такую ситуацию как попытку взлома. К сожалению, на практике ее иногда относят к разряду необъяснимого.
Системные ошибки и сообщения, генерируемые в процессе загрузки сервера и выполнения им операций, постоянно регистрируются в файле SYS: SYSTEMX sysSerr.log. Обладая привилегиями администратора, взломщик способен отредактировать этот файл и удалить из него сообщения, связанные с его деятельностью, включая блокирование используемой им учетной записи.
Контрмеры против редактирования журналов регистрации
Следите за изменениями файлов console.log и sysSerr.log. Порекомендовать какие-либо простые способы защиты нельзя. Контролируйте администраторов (или взломщиков), которые знают о том, что решаемая ими задача может оказаться неразрешимой. И проверяйте содержимое файлов журналов в надежде на то, что в них найдут отражение сообщения об отключении системы аудита.
1. Запустите утилиту SYS: PUBLlCXauditcon.
2. Выберите команду Audit configuration.
3. Выберите команду Audit by file/Directory.
4. Найдите файлы SYS:ETC\console.log и SYS:SYSTEM\sys$err.log.
5. Выделите каждый из файлов и нажмите клавишу <F10>, чтобы подключить систему аудита и приступить к записи сообщений.
6. Выйдите из утилиты auditcon.
"Потайные ходы"
Самым эффективным "потайным ходом" системы NetWare является то, чего вы никогда не сможете добиться самостоятельно,— "осиротевшие" объекты (orphaned object). Использование скрытого объекта OU (Organizational Unit), содержащего пользователя с правами, эквивалентными администратору, и правами опекунства на свой собственный контейнер, позволит эффективно скрыть этот объект.
1. Зарегистрируйтесь в дереве NDS в качестве администратора или с эквивалентными правами.
2. Запустите утилиту NetWare Administrator (nwadmn3x.exe).
3. В глубине дерева создайте новый контейнер. Щелкните правой кнопкой на существующем объекте OU и создайте новый объект OU, выбрав команду Create, a затем элемент Organizational Unit.
4. Внутри этого контейнера создайте новый объект-пользователь. Щелкните правой кнопкой на новом контейнере, выберите команду Create, а затем — элемент User.
5. Предоставьте объекту-пользователю полные права опекунства на его собственный объект. Щелкните правой кнопкой на новом пользователе, и выберите команду Trustees of this Object. Теперь пользователь является явным опекуном.
6. Назначьте этому пользователю полные права опекунства на новый контейнер. Щелкните правой кнопкой на новом контейнере и выберите команду Trustees of this Object. Сделайте объект-пользователь явным опекуном нового контейнера, установив все флажки, как показано на следующем рисунке.
7. Измените свойства пользователя таким образом, чтобы он получил права, эквивалентные администратору. Щелкните правой кнопкой на объекте-пользователе, выберите в появившемся контекстном меню команду Details, перейдите во вкладку Security Equal To, щелкните на кнопке Add и выберите Admin.
8. Модифицируйте фильтр наследуемых прав (inherited rights filter — IRF) контейнера, отменив права Browse и Supervisor.
При выполнении п. 8 будьте осторожны, поскольку после этого контейнер и созданный объект-пользователь станут невидимыми для всех пользователей, включая Admin. Администраторы не смогут увидеть или удалить этот объект. Сокрытие объекта от администратора оказывается возможным из-за того, что в дереве NDS можно отменить права supervisor для любого объекта или свойства.
9. Теперь зарегистрируйтесь с помощью только что созданного "потайного хода". Не забывайте, что в дереве вы не сможете увидеть новый контейнер. Следовательно, в процессе регистрации потребуется ввести контекст вручную, как видно на следующем рисунке.
Для получения более подробной информации обратитесь на Web-узел хакерской лаборатории NMRC (Nomad Mobile Research Centre)
(http://www.nmrc.org). Симпл Номад (Simple Nomad) подробно описал эту технологию в разделе Unofficial Hack FAQ по адресу
http://www.nmrc.org/faqs/hackfaq/ hackfaq.html.
Контрмеры против "потайныхходов"
Для защиты от подобных нападений можно использовать несколько средств, как свободно распространяемых, так и коммерческих.
Среди коммерческих программных продуктов можно порекомендовать набор средств администрирования EMS/NOSadmin версии 6
(http://www.bindview.com) от компании BindView. Ее можно использовать для поиска скрытых объектов.
Из категории свободно распространяемого программного обеспечения заслуживает внимания программа Hidden Object Locator, которую можно найти по адресу
http://www.netwarefiles.com/utils/hobjloc.zip. Эта программа запускается на сервере в качестве модуля NLM и выполняет сканирование дерева NDS на предмет поиска объектов, у которых отсутствуют права просмотра для зарегистрированных пользователей (обычно Admin). Эта программа имеет небольшой размер (87 Кбайт) и абсолютна бесплатна, что делает ее прекрасным решением проблемы скрытых объектов.
Компания Novell предоставляет лишь один метод решения описанной проблемы — подключение системы аудита. С помощью утилиты SYS:PUBLlC\auditcon можно регистрировать событие Grant Trustee.
1. Запустите утилиту auditcon.
2. Выберите команду Audit Directory Services.
3. Выберите команду Audit Directory Tree.
4. Выберите контейнер, для которого нужно подключить систему аудита, и нажмите клавишу <F10>.
5. Выберите команду Enable Container Auditing.
6. Нажимайте клавишу <Esc> до тех пор, пока не вернетесь в главное меню.
7. Выберите команду Enable Volume Auditing.
8. Выберите команду Auditing Configuration.
9. Выберите Audit By Event.
10. Выберите Audit By User Events.
11. Включите режим Grant Trustee.
Конечно, предлагаемый метод предполагает, что взломщики не окажутся достаточно умными и перед созданием "потайного хода" не отключат систему аудита.
|