解答通過路由器在內網上設置rootkit
rootkit簡介
通常,攻擊者通過遠程攻擊獲得root訪問權限,或者首先密碼猜測或者密碼強制破譯的方式獲得系統的訪問權限。進入系統后,如果他還沒有獲得root權限,再通過某些安全漏洞獲得系統的root權限。接著,攻擊者會在侵入的主機中安裝rootkit,然后他將經常通過rootkit的后門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息。通過rootkit的嗅探器獲得其它系統的用戶和密碼之后,攻擊者就會利用這些信息侵入其它的系統。
最早Rootkit用于善意用途,但后來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上,電腦病毒、間諜軟件等也常使用Rootkit來隱藏蹤跡,因此Rootkit已被大多數的防毒軟件歸類為具危害性的惡意軟件。Linux、Windows、Mac OS等操作系統都有機會成為Rootkit的受害目標。
路由器設置rootkit
問:在下面這種情況下,是否可以訪問內部網絡?
思科互聯網邊界路由器在沒有SSH的情況下運行TFTP,而有個惡意人士獲得了證書并擁有了路由器,然后上傳了新的配置,打開通信端口。唯一可能的攻擊是拒絕服務嗎,或者rootkit可以放置在內部網絡上嗎?
答:在不知道DMZ如何保護內部網絡的情況下,很難說破壞的難度有多大。但是在這種情況下,在表面上聽起來很不安全。
TFTP是一個不安全的協議,大部分時候用于在網絡的路由器之間傳送配置文件。它的不安全性是因為它已不加密的明文方式傳輸數據,而不要求認證,并且是基于UDP的。從安全方面來說,前兩個問題是最重要的。如果配置文件在傳輸時不加密,他們就可以被截取,閱讀并處理。如果它們的傳送沒有認證,任何人都可以訪問。
那么為什么誰都可以使用TFTP呢?TFTP位于思科路由器訪問的服務器上,而思科的路由器可以更新他們的配置文件。有些網絡仍然需要為舊的網絡硬盤的向后兼容性運行TFTP。但是,應該用SSH替換它,SSH可以加密流量并需要認證。
再說一遍,不知道內網受DMZ保護的情況, 就很難確定攻擊邊界路由器是否可以攻擊整個網絡。攻擊任何可以訪問網絡的路由器不能預示影響了企業的安全。例如,如果有人控制了系統中路由器的訪問,并且可以通過操作弱TFTP服務器更改配置文件,他或她就可以深入訪問網絡。拒絕服務(denial-of-service,DoS)攻擊只是一個可能。攻擊者可以釋放一系列的惡意軟件,包括擊鍵記錄器獲取帳戶證書。
路由器(網上的)如果受到攻擊,攻擊者就有了必要的訪問權,也可以控制網絡上服務器或者主機。有了服務器的訪問權,在操作系統上安裝roootkit就不是問題。
【編輯推薦】
