|
Dust
|
 |
« Ответ #1 : 25 Февраля 2004, 17:43:38 » |
|
Для удобства
7. Шальнев Алексей Анатольевич. Алтайский технический университет. Ассистент кафедры защиты информационных ресурсов и систем связи. Один из экспертов. Участвовал в проведении комиссионной экспертизы с двумя другими участниками Береговым В.И. и Боровцовым Е.Т.
3.11.2003.
Экспертизу проводили все вместе. Файл clients.dbf был найден и распечатан системными средствами операционной системы. Как определили, что это именно тот файл - он был один. Других файлов на компьютере с таким именем не было.
Как объяснить разницу во времени между датой и временем файла и моментом его скачивания (файл был создан на 14 часов раньше момента скачивания)?
Возможны следующие причины:
1. Неправильная установка системного времени на компьютере, с которого осуществлялся доступ к фтп серверу.
2. Неправильная установка часового пояса на компьютере, с которого осуществлялся доступ к фтп серверу.
3. Дата и время могли быть переданы файлу clients.dbf фтп сервером. Это могла быть дата создания файла на сервере или дата создания файла до его закачивания на фтп сервер.
Какая из этих причин была в данном случае сказать не могу. На CDR диске было 2 файла auth.log и access.log. Там были записаны все операции фтп сервера (процедуры). При доступе клиента на фтп сервер происходит процедура авторизации, которая записывается в виде следующих друг за другом команд:
USER
PASS
в файл auth.log. Если авторизация прошла успешно, то код завершения операции 230 в строке PASS, а если нет, то 530. В файле access.log отображаются действия с файлами пользователя успешно прошедшего авторизацию.
Из чего виден подбор пароля?
Много строк в auth.log c одним и тем же IP адресом и логическим именем, завершившихся неудачей (код операции 530). О достоверности логов говорят следующие вещи:
1. Операции пользователя над файлами не могут проходить раньше того как он прошел авторизацию.
2. Времена операций построчно должны быть в хронологической последовательности.
В файлах на исследуемом диске нарушений этих правил не было. Внести изменения в лог-файл теоретически возможно, но в данных файлах формальный порядок был соблюден и логическая последовательность действий не нарушена. Для получения дополнительного доказательства можно использовать IP-адрес и доменное имя и получить информацию от провайдера Алтайтелеком был ли выделен данный IP адрес в это время и с какого телефона было соединение. Из той информации, что была мне предоставлена все свидетельствует о корректности информации в лог-файлах.
Все ли действия фиксируются в логе?
Да из той информации, которой я располагаю все действия фтп сервера фиксируются.
Как подбирался пароль?
Подбор пароля происходил со скоростью 2-3 операции в секунду, из чего можно сделать вывод, что это осуществлялось с помощью какой-то программы. Вручную это исключается. Более того есть вероятность, что это было многопоточное программное обеспечение, то есть подбор происходил по нескольким каналам одновременно. Это видно из того, что строки
USER
PASS
в файле auth.log не следуют друг за другом. С программой Brutus я знаком. Эта программа - сканер сетевой безопасности. Я не могу сказать точно этой ли программой осуществлялся подбор пароля, но могу сказать, что эта программа попадает в класс программ, которыми это можно было осуществить. Эта программа общедоступна в интернет. Она есть на многих хакерских сайтах и может быть скачена свободно. Ее название от Brute Force - метод грубой силы.
Что такое взлом сервера?
Это доступ к информации сервера помимо воли администратора - несанкционированный доступ. Когда хакер проник на фтп сервер, то он закачал туда файл hddkill.zip, скачал его обратно и удалил из чего мы видим, что он получил на сервере широкие права.
4.11.2003.
Найдите и прокомментируйте операции с файлом clients.dbf в лог-файле access.log.
...
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:10 +0600] "RETR avp.klb" 226 3032
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:11 +0600] "RETR elfbases.klc" 226 381
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:11 +0600] "RETR kavlite40patch1.klc" 226 587
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:14 +0600] "RETR avp.set" 226 443
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:14 +0600] "RETR daily.avc" 226 20389
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:15 +0600] "RETR avp.klb" 226 3032
admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:04 +0600] "RETR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:12 +0600] "DELE clients.dbf" 250 -
admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:27 +0600] "RETR clients.dbf" 226 117060
...
Первые пять строк говорят о том, что с компьютера из внутренней сети Алтапресс, имеющим логическое имя admin.altpress.ru и IP адрес 192.168.1.78 пользователем winadmin пять раз был успешно закачен на сервер файл clients.dbf.
Все пять строчек одинаковы - почему?
Дело в том, что время в лог-файл записывается с точностью до секунды, поэтому получилось одинаковое время, хотя все операции были проведены последовательно друг за другом.
Можно ли считать, что файл был закачен в пять разных мест?
Нет, файл был закачен пять раз в одну и ту же директорию, иначе здесь была бы команда CWD - смены директории. При этом каждое последующее закачивание уничтожало предыдущий файл, так что в результате всех пяти действий на сервере оказался один экземпляр файла clients.dbf. В следующей найденной строке файл clients.dbf пользователем admin скачивается обратно на ту же машину, находящуюся во внутренней сети Алтапресс, а в строке следующей за ней этот файл удаляется с сервера.
Можно ли сказать, что после завершения операции удаления файла clients.dbf на сервере не было?
Да, так можно сказать.
Можно ли сказать, что файл clients.dbf просуществовал на сервере 1 минуту 12 секунд (с 10:33:00 до 10:34:12).
Нет я не могу этого сказать. Дело в том, что мог быть альтернативный доступ к тем же директориям при помощи других протоколов, например, telnet, ssh, наконец, этот доступ мог быть с консоли сервера. Поэтому файл мог быть помещен в директорию не по протоколу ftp, а иным способом и в этом случае этот факт не отразился бы в данном лог-файле. В следующей строке файл был успешно скопирован с ftp сервера на компьютер admin.altpress.ru с адресом 192.168.1.78. Эта строка не противоречит предыдущей, как я уже объяснил мог быть альтернативный доступ.
Кому принадлежал этот компьютер и куда был скопирован файл?
Я не могу ответить на этот вопрос, скорее всего компьютер принадлежал администратору - судя по имени.
Можно ли утверждать, что файл clients.dbf был подложен пользователем компьютера admin.altpress.ru с именем winadmin в директорию пользователя admin?
Нет не могу это утверждать.
Но этот файл оказался доступен для пользователя admin?
Да, доступен.
То есть он находился в директории пользователя admin?
Да можно так сказать.
Так можно ли утверждать, что файл clients.dbf был подложен пользователем с именем winadmin в директорию пользователя admin?
Да, можно утверждать.
|
