四、建立自己的shell帐号

　　经过二、三两个关键的步骤入侵者终于拿到了关键的密码文件，并且破解出了密码。现在可以运行TELNET程序，登陆主机了。当连上服务器时服务器会向你显示自己的一些信息，通常是U NIX、linux、 aix、 irix、 ultrix、 bsd 甚至是 DOS 和VAX/Vms；然后是Login提示符出现在屏幕上，这时键入得来的帐号和密码即可登陆系统。此时入侵者就可以利用自己的UNIX知识做自己喜欢做的事了。

　　最后对一份密码文件做一个分析，该文件内容如下：

　　root:1234aaab:0:1:Operator:/:/bin/csh

　　nobody:*:12345:12345::/:

　　daemon:*:1:1::/:

　　sys:*:2:2::/:/bin/csh

　　sun:123456hhh:0:1:Operator:/:/bin/csh

　　bin:*:3:3::/bin:

　　uucp:*:4:8::/var/spool/uucppublic:

　　news:*:6:6::/var/spool/news:/bin/csh

　　audit:*:9:9::/etc/security/audit:/bin/csh

　　sync::1:1::/:/bin/sync

　　sysdiag:*:0:1:Old System

　　Diagnostic:/usr/diag/sysdiag:/usr/diag/sysdiag/sysdiag

　　sundiag:*:0:1:System

　　Diagnostic:/usr/diag/sundiag:/usr/diag/sundiag/sundiag

　　tom:456lll45uu:100:20::/home/tom:/bin/csh

　　john:456fff76Sl:101:20:john:/home/john:/bin/csh

　　henry:AusTs45Yus:102:20:henry:/home/henry:/bin/csh

　　harry:SyduSrd5sY:103:20:harry:/home/harry:/bin/csh

　　steven:GEs45Yds5Ry:104:20:steven:/home/steven:/bin/csh

　　+::0:0:::

　　其中以“：”分成几个栏位，比如： tom:456lll45uu:100:20:tomchang:/home/tom:/bin/csh的含义是：

　　User Name: tom

　　Password: 456lll45uu

　　User No: 100

　　Group No: 20

　　Real Name: tom chang

　　Home Dir: /home/tom

　　Shell: /bin/csh

　　读者可以发现以上诸如nobody、 daemon、 sys、 bin、 uucp、 news、 audit、 sysdiag、sundiag 等的密码栏位都是*，也就是说这些帐号的密码都已锁死，无法直接利用。

　　值得注意的是，许多系统在首次安装后会有一些缺省帐号和密码，这给投机主义的黑客带来方便，以下就是一些UNIX下缺省的帐号和密码。

　　ACCOUNT PASSWORD

　　----------- ----------------

　　root root

　　sys sys / system / bin

　　bin sys / bin

　　mountfsys mountfsys

　　adm adm

　　uucp uucp

　　nuucp anon

　　anon anon

　　user user

　　games games

　　install install

　　reboot 供“command login”使用

　　demo demo

　　umountfsys umountfsys

　　sync sync

　　admin admin

　　guest guest

　　daemon daemon

　　其中 root mountfsys umountfsys install (有 r候 sync也是) 等都是root级别的帐号, 也就是拥有了sysop (系统管理员)的权限。

　　最后有必要介绍一下UNIX的日志文件。很多入侵者不希望侵入的电脑追踪他们，那到底如何做那。

　　系统管理员主要依靠系统的LOG，即我们时常所说的日志文件来获得入侵的痕迹及入侵者进来的IP和其他信息。当然也有些管理员使用第三方工具来记录侵入电脑的信息，这里主要讲的是一般U NIX系统里记录入侵踪迹的文件。

　　UNIX系统有多个版本，各个系统有不同的LOG文件，但大多数都应该有差不多的存放位置，最普通的位置就是下面的这几个：

　　/usr/adm，早期版本的UNIX；

　　/var/adm，新一点的版本使用这个位置；

　　/var/log，一些版本的Solaris，Linux BSD，Free BSD使用这个位置；

　　/etc，大多数UNIX版本把utmp放在此处，一些也把wtmp放在这里,这也是 syslog.conf的位置。

　　下面列举一些文件的功能，当然他们也根据入侵的系统不同而不同。

　　acct 或 pacct，记录每个用户使用的命令记录；

　　access_log，主要使用来服务器运行了NCSA HTTPD，这个记录文件会有什么站点连接过你的服务器；

　　aculog，保存着你拨出去的MODEMS记录；

　　lastlog，记录了用户最近的登陆记录和每个用户的最初目的地，有时是最后不成功登陆的记录；

　　loginlog，记录一些不正常的登陆记录；

　　messages，记录输出到系统控制台的记录，另外的信息由syslog来生成；

　　security，记录一些使用UUCP系统企图进入限制范围的事例；

　　sulog，记录使用su命令的记录；

　　utmp，记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化；

　　utmpx，UTMP的扩展；

　　wtmp，记录用户登录和退出事件；

　　syslog，最重要的日志文件，使用syslogd守护程序来获得。

　　日志信息：

　　/dev/log，一个UNIX域套接字，接受在本地机器上运行的进程所产生的消息；

　　/dev/klog，一个从UNIX内核接受消息的设备；

　　514端口，一个INTERNET套接字，接受其他机器通过UDP产生的syslog消息；

　　Uucp，记录的UUCP的信息，可以被本地UUCP活动更新，也可有远程站点发起的动作修改，信息包括发出和接受的呼叫，发出的请求，发送者，发送时间和发送主机；

　　lpd-errs，处理打印机故障信息的日志；

　　ftp日志，执行带-l选项的ftpd能够获得记录功能；

　　httpd日志，HTTPD服务器在日志中记录每一个WEB访问记录；

　　history日志，这个文件保存了用户最近输入命令的记录；

　　vold.log，记录使用外接媒介时遇到的错误记录。
　　

　　以上介绍了一下入侵服务器的主要步骤，读者现在应该对它有一些基础的认识了。需要再次强调的是如果读者对UNIX系统缺乏了解的话那是绝对不可能掌握它的。