如何防范Linux *** 作系统下缓冲区溢出攻击 黑客武林

虽然Linux病毒屈指可数，但是基于缓冲区溢出(BufferOverflow)漏洞的攻击还是让众多Linux用户大吃一惊。所谓“世界上第一个Linux病毒”??reman，严格地说并不是真正的病毒，它实质上是一个古老的、在Linux/Unix(也包括Windows等系统)世界中早已存在的“缓冲区溢出”攻击程序。reman只是一个非常普通的、自动化了的缓冲区溢出程序，但即便如此，也已经在Linux界引起很大的恐慌。

缓冲区溢出漏洞是一个困扰了安全专家30多年的难题。简单来说，它是由于编程机制而导致的、在软件中出现的内存错误。这样的内存错误使得黑客可以运行一段恶意代码来破坏系统正常地运行，甚至获得整个系统的控制权。

Linux系统特性

利用缓冲区溢出改写相关内存的内容及函数的返回地址，从而改变代码的执行流程，仅能在一定权限范围内有效。因为进程的运行与当前用户的登录权限和身份有关，仅仅能够制造缓冲区溢出是无法突破系统对当前用户的权限设置的。因此尽管可以利用缓冲区溢出使某一程序去执行其它被指定的代码，但被执行的代码只具有特定的权限，还是无法完成超越权限的任务。

但是，Linux(包括Unix)系统本身的一些特性却可以被利用来冲破这种权限的局限性，使得能够利用缓冲区溢出获得更高的、甚至是完全的权限。主要体现在如下两方面：

1.Linux(包括Unix)系统通过设置某可执行文件的属性为SUID或SGID，允许其它用户以该可执行文件拥有者的用户ID或用户组ID来执行它。如果该可执行文件的属性是root，同时文件属性被设置为SUID，则该可执行文件就存在可利用的缓冲区溢出漏洞，可以利用它以root的身份执行特定的、被另外安排的代码。既然能够使得一个具有root权限的代码得以执行，就能够产生一个具有超级用户root权限的Shell，那么掌握整个系统的控制权的危险就产生了。

2.Linux(包括Unix)中的许多守护进程都是以root权限运行。如果这些程序存在可利用的缓冲区溢出，即可直接使它以root身份去执行另外安排的代码，而无须修改该程序的SUID或SGID属性。这样获得系统的控制权将更加容易。

随着现代网络技术的发展和网络应用的深入，计算机网络所提供的远程登录机制、远程调用及执行机制是必须的。这使得一个匿名的Internet用户有机会利用缓冲区溢出漏洞来获得某个系统的部分或全部控制权。实际上，以缓冲区溢出漏洞为攻击手段的攻击占了远程网络攻击中的绝大多数，这给Linux系统带来了极其严重的安全威胁。

途径分析

通常情况下攻击者会先攻击root程序，然后利用缓冲区溢出时发生的内存错误来执行类似“exec(sh)”的代码，从而获得root的一个Shell。为了获得root权限的Shell，攻击者需要完成如下的工作：

1.在程序的地址空间内安排适当的特定代码。一般使用如下两种方法在被攻击的程序地址空间内安排攻击代码。

2.通过适当地初始化寄存器和存储器，使程序在发生缓冲区溢出时不能回到原来的执行处，而是跳转到被安排的地址空间执行。

当攻击者找到一种途径可以变原程序的执行代码和流程时，攻击的危险就产生了。

共2页: 1 [2]

内容导航

第 1 页：Linux系统特性

防范措施

Linux下的缓冲区溢出攻击威胁既来自于软件的编写机制，也来自于Linux(和Unix)系统本身的特性。实际上，缓冲区溢出攻击及各种计算机病毒猖獗的根本原因在于现代计算机系统都是采用冯?诺依曼“存储程序”的工作原理。这一基本原理使得程序和数据都可以在内存中被繁殖、拷贝和执行。因此，要想有效地防范缓冲区溢出攻击就应该从这两个方面双管其下。

确保代码正确安全

缓冲区溢出攻击的根源在于编写程序的机制。因此，防范缓冲区溢出漏洞首先应该确保在Linux系统上运行的程序(包括系统软件和应用软件)代码的正确性，避免程序中有不检查变量、缓冲区大小及边界等情况存在。比如，使用grep工具搜索源代码中容易产生漏洞的库调用，检测变量的大小、数组的边界、对指针变量进行保护，以及使用具有边界、大小检测功能的C编译器等。

基于一定的安全策略设置系统

攻击者攻击某一个Linux系统，必须事先通过某些途径对要攻击的系统做必要的了解，如版本信息等，然后再利用系统的某些设置直接或间接地获取控制权。因此，防范缓冲区溢出攻击的第二个方面就是对系统设置实施有效的安全策略。这些策略种类很多，由于篇幅有限只列举几个典型措施：

(1)在装有Telnet服务的情况下，通过手工改写“/etc/inetd.conf”文件中的Telnet设置，使得远程登录的用户无法看到系统的提示信息。具体方法是将Telnet设置改写为：

telnet stream tcp nowait root /usr/sbin/tcpd/in.telnetd -h

末尾加上“-h”参数可以让守护进程不显示任何系统信息，只显示登录提示。

(2)改写“rc.local”文件。默认情况下，当登录Linux系统时系统运行rc.local文件，显示该Linux发行版本的名字、版本号、内核版本和服务器名称等信息，这使得大量系统信息被泄露。将“rc.local”文件中显示这些信息的代码注释掉，可以使系统不显示这些信息。

一种方法是在显示这-些信息的代码行前加“#”：

……# echo “”>/etc/issue# echo “$R”>>/etc/issue#echo”Kernel $ (uname -r)on $a $(uname -m)”>>/etc/issue##echo>>/etc/issue……

另一种方法是将保存有系统信息的文件/etc/issue.net和issue删除。这两个文件分别用于在远程登录和本地登录时向用户提供相关信息。删除这两个文件的同时，仍需要完成方法一中的注释工作，否则，系统在启动时将会自动重新生成这两个文件。

(3)禁止提供finger服务。在Linux系统中，使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息。禁止提供finger服务的有效方法是，通过修改该文件属性、权限(改为600)使得只有root用户才可以执行该命令。

(4)处理“inetd.conf”文件。Linux系统通过inetd(超级服务器)程序根据网络请求装入网络程序。该程序通过“/etc/inetd.conf”文件获得inetd在监听哪些网络端口，为每个端口启动哪些特定服务等信息。因此，该文件同样会泄露大量的敏感信息。解决问题的方法是，通过将其权限改为600只允许root用户访问，并通过改写“/etc/inetd.conf”文件将不需要的服务程序禁止掉，最后修改该文件的属性使其不能被修改。

总结

缓冲区溢出攻击之所以能成为一种常见的攻击手段，其原因在于缓冲区溢出漏洞太普遍，且易于实现攻击，因此缓冲区溢出问题一直是个难题。

所幸的是，OpenBSD开发组为解决这一安全难题采用了三种新的有效策略。相信不久的将来，Linux用户可以不再为缓冲区溢出攻击而寝食难安了。

RAR文件在Linux下用起来

要在Linux下处理.rar文件，需要安装RARforLinux。该软件可以从网上下载，但要记住，它不是免费的。大家可从http://www.onlinedown.net/sort/125_1.htm下载RARforLinux 3.2.0，然后用下面的命令安装：

# tar -xzpvf rarlinux-3.2.0.tar.gz

# cd rar

# make

安装后就有了rar和unrar这两个程序，rar是压缩程序，unrar是解压程序。它们的参数选项很多，这里只做简单介绍，依旧举例说明一下其用法：

# rar a all *.mp3

这条命令是将所有.mp3的文件压缩成一个rar包，名为all.rar，该程序会将.rar 扩展名将自动附加到包名后。

# unrar e all.rar

这条命令是将all.rar中的所有文件解压出来。

Linux下的缓冲区溢出攻击威胁既来自于软件的编写机制，也来自于Linux(和Unix)系统本身的特性。实际上，缓冲区溢出攻击及各种计算机 病毒猖獗的根本原因在于现代计算机系统都是采用冯?诺依曼“存储程序”的工作原理。这一基本原理使得程序和数据都可以在内存中被繁殖、拷贝和执行。因此， 要想有效地防范缓冲区溢出攻击就应该从这两个方面双管其下。

确保代码正确安全

缓冲区溢出攻击的根源在于编写程序的机制。因此，防范缓冲区溢出漏洞首先应该确保在Linux系统上运行的程序(包括系统软件和应用软件)代码的正 确性，避免程序中有不检查变量、缓冲区大小及边界等情况存在。比如，使用grep工具搜索源代码中容易产生漏洞的库调用，检测变量的大小、数组的边界、对 指针变量进行保护，以及使用具有边界、大小检测功能的C编译器等。

基于一定的安全策略设置系统

攻击者攻击某一个Linux系统，必须事先通过某些途径对要攻击的系统做必要的了解，如版本信息等，然后再利用系统的某些设置直接或间接地获取控制 权。因此，防范缓冲区溢出攻击的第二个方面就是对系统设置实施有效的安全策略。这些策略种类很多，由于篇幅有限只列举几个典型措施：

(1)在装有Telnet服务的情况下，通过手工改写“/etc/inetd.conf”文件中的Telnet设置，使得远程登录的用户无法看到系统的提示信息。具体方法是将Telnet设置改写为：

telnet stream tcp nowait root /usr/sbin/tcpd/in.telnetd -h

末尾加上“-h”参数可以让守护进程不显示任何系统信息，只显示登录提示。

(2)改写“rc.local”文件。默认情况下，当登录Linux系统时系统运行rc.local文件，显示该Linux发行版本的名字、版本 号、内核版本和服务器名称等信息，这使得大量系统信息被泄露。将“rc.local”文件中显示这些信息的代码注释掉，可以使系统不显示这些信息。

一种方法是在显示这-些信息的代码行前加“#”：

……# echo “”>/etc/issue# echo “$R”>>/etc/issue#echo”Kernel $ (uname -r)on $a $(uname -m)”>>/etc/issue##echo>>/etc/issue……

另一种方法是将保存有系统信息的文件/etc/issue.net和issue删除。这两个文件分别用于在远程登录和本地登录时向用户提供相关信息。删除这两个文件的同时，仍需要完成方法一中的注释工作，否则，系统在启动时将会自动重新生成这两个文件。

(3)禁止提供finger服务。在Linux系统中，使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息。禁止提供finger服务的有效方法是，通过修改该文件属性、权限(改为600)使得只有root用户才可以执行该命令。

(4)处理“inetd.conf”文件。Linux系统通过inetd(超级服务器)程序根据网络请求装入网络程序。该程序通过“/etc /inetd.conf”文件获得inetd在监听哪些网络端口，为每个端口启动哪些特定服务等信息。因此，该文件同样会泄露大量的敏感信息。解决问题的 方法是，通过将其权限改为600只允许root用户访问，并通过改写“/etc/inetd.conf”文件将不需要的服务程序禁止掉，最后修改该文件的 属性使其不能被修改。

总结

缓冲区溢出攻击之所以能成为一种常见的攻击手段，其原因在于缓冲区溢出漏洞太普遍，且易于实现攻击，因此缓冲区溢出问题一直是个难题。

所幸的是，OpenBSD开发组为解决这一安全难题采用了三种新的有效策略。相信不久的将来，Linux用户可以不再为缓冲区溢出攻击而寝食难安了。

RAR文件在Linux下用起来

要在Linux下处理.rar文件，需要安装RARforLinux。该软件可以从网上下载，但要记住，它不是免费的。大家可从 http://www.onlinedown.net/sort/125_1.htm下载RARforLinux 3.2.0，然后用下面的命令安装：

# tar -xzpvf rarlinux-3.2.0.tar.gz

# cd rar

# make

安装后就有了rar和unrar这两个程序，rar是压缩程序，unrar是解压程序。它们的参数选项很多，这里只做简单介绍，依旧举例说明一下其用法：

# rar a all *.mp3

这条命令是将所有.mp3的文件压缩成一个rar包，名为all.rar，该程序会将.rar 扩展名将自动附加到包名后。

# unrar e all.rar

这条命令是将all.rar中的所有文件解压出来。

编辑推荐

Linux系统下配置Netware服务器方法

嵌入式设备上的 Linux 系统开发

深度介绍Linux内核是如何工作的(1)

【缓冲区溢出的处理】

你屋子里的门和窗户越少，入侵者进入的方式就越少……

由于缓冲区溢出是一个编程问题，所以只能通过修复被破坏的程序的代码而解决问题。如果你没有源代码，从上面“堆栈溢出攻击”的原理可以看出，要防止此类攻击，我们可以：

① 开放程序时仔细检查溢出情况，不允许数据溢出缓冲区。由于编程和编程语言的原因，这非常困难，而且不适合大量已经在使用的程序；

② 使用检查堆栈溢出的编译器或者在程序中加入某些记号，以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序，对新程序来讲，需要修改编译器；

③ 经常检查你的 *** 作系统和应用程序提供商的站点，一旦发现他们提供的补丁程序，就马上下载并且应用在系统上，这是最好的方法。但是系统管理员总要比攻击者慢 一步，如果这个有问题的软件是可选的，甚至是临时的，把它从你的系统中删除。举另外一个例 子，你屋子里的门和窗户越少，入侵者进入的方式就越少。

----------------------------------------------------------------------------------------------------------------------------------------

char buf[3]

memset(buf,0x55,10)

这个程序就存在溢出

对数据块的访问超出该数据块的地址范围

===================================================================================

【一个检测工具】

Valgrind 是一款 Linux下（支持 x86、x86_64和ppc32）程序的内存调试工具，它可以对编译后的二进制程序进行内存使用监测（C语言中的 malloc 和 free，以及 C++ 中的 new 和 delete），找出内存泄漏问题。

Valgrind 中包含的 Memcheck 工具可以检查以下的程序错误：

使用未初始化的内存 (Use of uninitialised memory)

使用已经释放了的内存 （Reading/writing memory after it has been free’d）

使用超过 malloc 分配的内存空间（Reading/writing off the end of malloc’d blocks）

对堆栈的非法访问（Reading/writing inappropriate areas on the stack）

申请的空间是否有释放（Memory leaks – where pointers to malloc’d blocks are lost forever）

malloc/free/new/delete 申请和释放内存的匹配（Mismatched use of malloc/new/new [] vs free/delete/delete []）

src 和 dst 的重叠（Overlapping src and dst pointers in memcpy() and related functions）

重复 free

① 编译安装 Valgrind：

# wget http://valgrind.org/downloads/valgrind-3.4.1.tar.bz2

# tar xvf valgrind-3.4.1.tar.bz2

# cd valgrind-3.4.1/

# ./configure

…………

Primary build target: X86_LINUX

Secondary build target:

Default supp files: exp-ptrcheck.supp xfree-3.supp xfree-4.supp glibc-2.X-drd.supp glibc-2.34567-NPTL-helgrind.supp glibc-2.5.supp

# make

# make install

# whereis valgrind

valgrind:

/usr/bin/valgrind

/usr/lib/valgrind

/usr/local/bin/valgrind

/usr/local/lib/valgrind

/usr/include/valgrind

/usr/share/man/man1/valgrind.1.gz

运行程序

使用示例：对“ls”程序进程检查，返回结果中的“definitely lost: 0 bytes in 0 blocks.”表示没有内存泄漏。

# /usr/local/bin/valgrind --tool=memcheck --leak-check=full ls /

==29801== Memcheck, a memory error detector.

==29801== Copyright (C) 2002-2008, and GNU GPL'd, by Julian Seward et al.

==29801== Using LibVEX rev 1884, a library for dynamic binary translation.

==29801== Copyright (C) 2004-2008, and GNU GPL'd, by OpenWorks LLP.

==29801== Using valgrind-3.4.1, a dynamic binary instrumentation framework.

==29801== Copyright (C) 2000-2008, and GNU GPL'd, by Julian Seward et al.

==29801== For more details, rerun with: -v

==29801==

bin etc lost+found mnt proc selinuxsys usr

boot home media net root smokeping tftpboot var

dev lib miscopt sbin srvtmp

==29801==

==29801== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 21 from 1)

==29801== malloc/free: in use at exit: 14,744 bytes in 32 blocks.

==29801== malloc/free: 162 allocs, 130 frees, 33,758 bytes allocated.

==29801== For counts of detected errors, rerun with: -v

==29801== searching for pointers to 32 not-freed blocks.

==29801== checked 139,012 bytes.

==29801==

==29801== LEAK SUMMARY:

==29801==definitely lost: 0 bytes in 0 blocks.

==29801== possibly lost: 0 bytes in 0 blocks.

==29801==still reachable: 14,744 bytes in 32 blocks.

==29801== suppressed: 0 bytes in 0 blocks.

==29801== Reachable blocks (those to which a pointer was found) are not shown.

==29801== To see them, rerun with: --leak-check=full --show-reachable=yes

----------------------------------------------------------------------------------------------------------------------------------------

# /usr/local/bin/valgrind --tool=memcheck --leak-check=full ps /

==29898== Memcheck, a memory error detector.

==29898== Copyright (C) 2002-2008, and GNU GPL'd, by Julian Seward et al.

==29898== Using LibVEX rev 1884, a library for dynamic binary translation.

==29898== Copyright (C) 2004-2008, and GNU GPL'd, by OpenWorks LLP.

==29898== Using valgrind-3.4.1, a dynamic binary instrumentation framework.

==29898== Copyright (C) 2000-2008, and GNU GPL'd, by Julian Seward et al.

==29898== For more details, rerun with: -v

==29898==

ERROR: Garbage option.

********* simple selection ********* ********* selection by list *********

-A all processes -C by command name

-N negate selection -G by real group ID (supports names)

-a all w/ tty except session leaders -U by real user ID (supports names)

-d all except session leaders -g by session OR by effective group name

-e all processes -p by process ID

T all processes on this terminal -s processes in the sessions given

a all w/ tty, including other users -t by tty

g OBSOLETE -- DO NOT USE -u by effective user ID (supports names)

r only running processes U processes for specified users

x processes w/o controlling ttys t by tty

*********** output format ********** *********** long options ***********

-o,o user-defined -f full--Group --User --pid --cols --ppid

-j,j job control s signal --group --user --sid --rows --info

-O,O preloaded -o v virtual memory --cumulative --format --deselect

-l,l long u user-oriented --sort --tty --forest --version

-F extra fullX registers --heading --no-heading --context

********* misc options *********

-V,V show version L list format codes f ASCII art forest

-m,m,-L,-T,H threads S children in sum-y change -l format

-M,Z security data c true command name -c scheduling class

-w,w wide output n numeric WCHAN,UID -H process hierarchy

==29898==

==29898== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 14 from 1)

==29898== malloc/free: in use at exit: 16 bytes in 2 blocks.

==29898== malloc/free: 20 allocs, 18 frees, 2,344 bytes allocated.

==29898== For counts of detected errors, rerun with: -v

==29898== searching for pointers to 2 not-freed blocks.

==29898== checked 263,972 bytes.

==29898==

==29898== 8 bytes in 1 blocks are definitely lost in loss record 2 of 2

==29898==at 0x4005A88: malloc (vg_replace_malloc.c:207)

==29898==by 0xBFF6DF: strdup (in /lib/libc-2.5.so)

==29898==by 0x804A464: (within /bin/ps)

==29898==by 0x804A802: (within /bin/ps)

==29898==by 0x804964D: (within /bin/ps)

==29898==by 0xBA5E8B: (below main) (in /lib/libc-2.5.so)

==29898==

==29898== LEAK SUMMARY:

==29898==definitely lost: 8 bytes in 1 blocks.

==29898== possibly lost: 0 bytes in 0 blocks.

==29898==still reachable: 8 bytes in 1 blocks.

==29898== suppressed: 0 bytes in 0 blocks.

==29898== Reachable blocks (those to which a pointer was found) are not shown.

==29898== To see them, rerun with: --leak-check=full --show-reachable=yes

---