[摘要]mail decode@ngcc.com 在该例中, 本地的uuencode程序生成一个编码流, 文件名为"/export/home/zy/.rhosts ", 内容为一个&q... mail decode@ngcc.com 在该例中, 本地的uuencode程序生成一个编码流, 文件名为"/export/home/zy/.rhosts ", 内容为一个"+", 并作为电子邮件发给ngcc.com上的decode别名。 ngcc.com收到该邮件后, 把这个编码流重定向到解码程序uudecode, uudecode则恢复文件内容, 并试图把它存为/export/home/zy/.rhosts。 如果daemon对/export/home/zy/目录有写权限, 则上述命令执行成功。 于是/export/home/zy/.rhosts中就出现一个"+", 这正是攻击者需要的。 为安全计, 应该禁用/etc/aliases中的"decode"别名。 7 审核文件和目录权限规则 (1)FTP的根目录 FTP的根目录不同于主机系统的根目录, 所以FTP下看到的/etc/passwd和系统的/etc/passwd不是一个文件, 但有些不称职的系统管理员在创建FTP目录结构时会把系统的/etc/passwd文件直接拷贝过来, 这就会给黑客以可乘之机。 FTP的根目录是在系统的/etc/passwd文件中指定的, 也就是用匿名FTP登录到主机后的起始目录。 例如:事先编写forward_sucker_file shell脚本, 内容为: sun% cat forward_sucker_file " |