Linux глазами хакера
Шрифт:
Для гостевых пользователей достаточно только ограничить доступ определенной директорией, а все остальное защитит сервер. Правда, и здесь иногда бывают проблемы. Рассмотрим классическую ошибку программистов. Допустим, что пользователю открыта директория /home/robert, и для обеспечения этого сервер банально проверяет, чтобы путь к каталогу начинался с этой строки. Хакер видит эту директорию как корневую (/) и выше подниматься не должен. Теперь посмотрите на следующую команду:
Она
Несмотря на эту простоту, ошибка встречается довольно часто. А ведь программисту достаточно проверить адрес на вхождение в него символов двоеточия, и если они есть, то принять меры. В wu-ftp-сервере такой ошибки нет, но нет гарантии, что она не появится в будущем, когда выйдет обновление, в котором по случайности кто-то отключит проверку или удалит ее. Поверьте мне, такое иногда бывает с любым программным обеспечением, особенно если над ним работает целая команда, и нет контроля.
10.7. Безопасность FTP-сервера
Пока что мы говорили о конфигурации FTP-сервера под Linux. А сейчас нам предстоит разобраться с некоторыми практическими примерами использования сервера не по назначению и методами защиты.
Примеры, которые мы будем рассматривать в этом разделе, повергли в шок сетевую общественность и специалистов по безопасности, потому что FTP-сервер можно использовать для реализации практически любой атаки: рассылка вирусов, троянских программ и спама, взлом сервера и даже анонимное сканирование портов удаленного компьютера. Сервер FTP может выступать посредником в работе хакера.
10.7.1. Перехват соединения
Вспомним полный цикл соединения с FTP-сервером и передачи файлов:
1. Соединение с сервером.
2. Авторизация.
3. Запрос на скачивание файлов.
4. Сервер открывает порт и сообщает его клиенту.
5. Клиент подключается к указанному порту и получает или передает файл.
Очень сложно, но вполне вероятно направить соединение на себя. Хакеру нужно перехватить пакет, в котором сервер сообщает порт, и раньше авторизованного клиента успеть подключиться к этому каналу и передать на сервер свой или получить чужой файл.
Самое страшное — именно передача файла. Так как хакер вклинивается уже после авторизации, то он без проблем может транслировать данные, а сервер не контролирует, с какого адреса было запрошено соединение, и какой IP реально
В настоящее время в большинство FTP-клиентов уже встроили сравнение IP-адресов, подключенных к 21 порту и каналу для передачи данных. Это усложняет атаку, потому что теперь хакеру необходимо подделывать IP-адрес, что в случае с TCP-протоколом не так уж и просто.
Использование привязки к IP не всегда позволяет решить проблему. Если на пути соединения с FTP-сервером находится анонимный прокси-сервер или сетевой экран, маскирующий IP-адрес, то сервер будет видеть не реальный IP-адрес клиента, а IP-адрес proxy или Firewall.
Можно запретить пассивный режим, что закроет данный вопрос полностью. Но это не является панацеей от всех проблем с безопасностью. В следующем разделе мы увидим, что активный режим также далеко небезопасен.
А чего ждать? Активное соединение тоже можно перехватить, хотя это сделать немного сложнее. Если хакер получил доступ к компьютеру, который подключен к FTP-серверу, то достаточно дождаться момента, когда пользователь взломанного компьютера запросит передачу данных, и перехватить порт.
10.7.2. Сканирование портов
В разд. 1.1 мы говорили о том, что на начальном этапе взлома компьютера хакер должен получить как можно больше сведений о жертве. Средством сбора первичной информации является сканирование портов. Делать это с собственного компьютера опасно, поэтому хакеры стараются маскироваться и идут на различные хитрости.
Одна из уловок — использование сценария на PHP или Perl, который с сервера будет производить сканирование. Но этот метод обладает следующими недостатками:
□ необходим сервер, который сможет выполнять сценарии, а не всегда есть возможность найти подходящий;
□ бесплатные серверы с возможностью выполнения сценариев требуют регистрации и обладают хорошей системой журналирования. Если первое препятствие можно обойти, указав неверные данные, то второе является большой проблемой. Сервер зафиксирует сканирование, и служба безопасности может быстро найти будущего взломщика.
Хакеры нашли отличный способ заставить сервер сканировать порты. Для этого всего лишь нужно подключение к FTP-серверу, который работает в активном режиме.
Вспомним, как происходит прием/передача файлов в активном режиме. Для этого FTP-серверу посылается запрос с указанием порта клиентского компьютера, к которому он должен подключиться. Помимо номера порта передается и IP-адрес. Это значит, что клиент с адреса 192.168.1.1 может запросить соединение с компьютером 192.168.8.2 и любым его портом, и сервером это воспримется нормально. Хакеры научились использовать эту особенность для того, чтобы заставить FTP-сервер сканировать порты удаленного компьютера.