Сбор информации о машине под UNIX.

В этой статье будут описаны некоторые методы определения системы и сбор информации о ней на машине, к которой имеется доступ, и не важно какой (даже если его нету).

1. UNAME.

Во всех без исключения системах UNIX, есть программа uname, цель ее - вывод имени ОС. Находится она в /usr/bin, /bin взависимости от системы. uname -a, покажет вам самую полную информацию (имя cистемы, версия ядра, имя машины, архитектуру, и т.д.).

Да, это если мы можем исполнять комманды, но даже если вы не имеете такой возможности, а только есть права на просмотр файлов, то смотрим этот бинарник! В нем будет вшиты имена системы. Таким образом можно предположить, что система явно не SunOS если там встречается "...$OpenBSD..". Не знаю, использовал ли этот метод кто-нибудь, кроме меня, но он надежный. Сисадмину: берите uname из другой системы и запускайте его в эмуляции другой системы. Например, я недавно на одном из серверов не смог определить ОС fingerprint'ом, нашел багу в скрипте и посмотрел /bin/uname, там и увидел имя и версию системы.

2. Конфигурационные и лог-файлы в /etc и /var/log.

Опять же, если вы не имеете доступа к исполнению комманд, то можно узнать многое о системе. Итак: Правда, часто сисадмины бывают не столь глупы чтобы не вписать в файл ложную информацию.
/etc/hosts - содержит базу локальных хостов, если не получится иметь секс с этой машиной, но нужен доступ к ее сердцу, то он лежит через другую машину в этой сети =).
/etc/motd - файл "Message Of The Day", часто сисадмины кладут туда имя машины и ОС.
/etc/passwd - позволит узнать вам, если не логины:пароли, то логины точно (на пассах shadow, скорей всего, но можно по логину перебрать).
/etc/inetd.conf - отсюда узнаем какие inetd/xinetd сервисы запущены.
/etc/fstab - статическая информация о замонтированных на машину файловых системах.
/etc/issue - выдается при доступе с локального терминала, дает имя ОС, версии и имя машины
/etc/issue.net - тоже, но при использовании telnetd
/etc/redhat-release - показывает версию дистрибутива линукса, если дистрибутив основан на linux redhat (Mandrake, RedHat, BlackCat, etc.)

Далее у нас /var/log:
/var/log/messages - лог-файл системной консоли, очень надо сказать полезно.
/var/log/authlog - попытки входа в систему.
/var/log/adduser - добавленные пользователи.

Существует еще много лог-файлов, но некоторые из них не несут никакой нужной нам информационной нагрузки, либо разрешены для просмотра только руту.

3. Комманды.

Есть также парочка комманд, с помощью которых можно собрать кое-какие сведения о машине, вот некоторые из них:
sysctl -a - статистика ядра для BSD систем, ну очень много полезной информации
hostname - без аргументов выводит выводит имя машины
domainname - имя домена
uname - упоминался выше
machine - архитектура процессора
netstat - сетевая статистика
w - пользователи зарегистрированные системы на данный момент

4. Дисассемблирование системных утилит.

Именно так, как можно использовать?

Системные вызовы, в некоторых системах некоторые из них различны!

Это, скорей всего для опытных системщиков или отчаившихся людей, так что, разберитесь в системных вызовах различных систем, ndisasm или gdb в руки, и вперед!

5. Камни или Сисадмину.

Администратор-профессионал наверняка перекомпилит некоторые утилиты на свой лад.

Можно также использовать такую вещь как lkm. Для тех кто не знает: Loadable Kernel Module (lkm) - это модули ядра, загружаемые как часть ядра, можно перехватывать и подменять системные вызовы, писать свои устройства, виртуальные файловые системы (vfs) и другое.

6. Удаленные средства (fingerprint).

О да, о этом можно писать много, но я не буду этого делать А просто опишу методы сканнирования и защиту от всем известной утилиты nmap. Как известно на определенные запросы nmap (или подобной ей queso), система (а точнее ядро) посылает свои параметры из tcp стека (такие как tos, ttl,tot_len).

Отсюда что ?

А то, что с помощью lkm, можно подменить посылаемые ответы. И nmap, и queso будут вместо вашей мощной станции на OpenBSD определять старый хилый Win95=), вот здорово!

Уже давно реализована утилита по этой теме FingerPrintFucker (меняет некоторые значения TCP стека ОС) от www.pkcrew.org, правда только в версиях под linux и freebsd, но что мешает вам портировать под другую ОС? =) ...Благо это ПО свободное...