扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一篇网友的亲身经历,从中我们或许能学习一些东西,希望对大家有所帮助。昨天答应了给wzt找几个linux肉鸡测试程序的,打开http://www.milw0rm.com/webapps.php,找了个include漏洞的程序试了一下,很快就得到一个webshell,没什么好说的,redhat9的机器,然后localroot了一下。
插句话,本文中的ip地址和主机名都被替换了,请不要对号入座,本文手法仅供参考,在正规的入侵检测操作中,我们还是需要注意很多流程和细节上的问题。
进了肉鸡,换上我们的ssh后门,具体的方法可以在http://baoz.net或http://xsec.org上找到,带视频教程如果看完视频之后还有疑问,可以到http://cnhonker.com/bbs/的linux版交流一下。
一进ssh,哦,有异样……
Lastlogin:FriNov1708:21:142006fromac9e2da9.ipt.aol.com
好奇,扫一下。
引用:
[fatb@baoz~]$nmap-P0ac9e2da9.ipt.aol.com-O
进了机器第一个事就是看看是不是vmware,是的话赶紧跑路了,别掉到人家的破罐子里去了,呵呵
来,看看:
##检查是不是vmware的机器
引用:
[root@victimroot]#ifconfig-a|grep-i-e"00-05-69"-e"00-0C-29"-e"00-50-56";dmesg|grep-ivmware
如果没输出的话,还好。。。。就算是个honeypot,好歹也是投资了点设备的honeypot。继续看看他投资了什么设备:
引用:
[root@victimroot]#cat/proc/cpuinfo|grepname;cat/proc/meminfo|grepMemTotal
modelname:Intel(R)Xeon(TM)CPU2.80GHz
modelname:Intel(R)Xeon(TM)CPU2.80GHz
modelname:Intel(R)Xeon(TM)CPU2.80GHz
modelname:Intel(R)Xeon(TM)CPU2.80GHz
MemTotal:1030228kB
还可以的机器,虽然4CPU却只有1G的内存,有点怪,但是还是勉强了,跑个密码什么的也行。
关于anti-honeynet,下面有两个文章不错,不过都是针对vmware或者UserModeLinux的了,如果人家用真实机器,那还得靠人品啊,呵呵。
http://xsec.org/index.php?module=arc...ew&type=3&id=5
http://xsec.org/index.php?module=arc...ew&type=3&id=6
关于honeynet和anti-honeynet的讨论,可以来这里聊聊
http://cnhonker.com/bbs/thread.php?fid=15&type=1
废话少说,接下来第二个事就是看看有没道友在上面,有的话就不好意思了,得请出去
一般我都会先打几个命令看看,因为有些rootkit他改的不好,或者是因为版本的问题,反正不管什么原因,有一些被替换了的程序的一些参数会没有的。
引用:
[root@victimroot]#ls-alh
ls:invalidoption--h
Try`ls--help'formoreinformation.
呵呵,ls被替换了。在看看netstat
引用:
[root@victimroot]#netstat-anp
ActiveInternetconnections(serversandestablished)
ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname
tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd
tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd
tcp00127.0.0.1:250.0.0.0:*LISTEN1540/
tcp0300123.123.123.123:2210.20.30.40:2245ESTABLISHED6097/sshd:
tcp00123.123.123.123:2210.20.30.40:2247ESTABLISHED6815/sshd:
ActiveUNIXdomainsockets(serversandestablished)
ProtoRefCntFlagsTypeStateI-NodePID/ProgramnamePath
unix2[ACC]STREAMLISTENING1214306815/sshd:/tmp/ssh-vfJj6815/agent.6815
unix2[ACC]STREAMLISTENING1169046097/sshd:/tmp/ssh-weHq6097/agent.6097
unix6[]DGRAM15601476/syslogd/dev/log
unix2[]DGRAM17711570/crond
unix2[]DGRAM17281549/
unix2[]DGRAM17141540/
unix2[]DGRAM15681480/klogd
看起来貌似还算正常。
不管3721,直接搞两个检查rootkit的东西回来看看,chkrootkit和rkhunter。
先爽一下chkrootkit:注意,我们现在是在根本不可信的环境下检查的,可能有朋友会问“为什么要在不可信的环境里检查啊”,原因是这样的,因为我们先在一个不可信的环境里检查,得出一份结果,然后再在稍微可信的环境里检查,再得到一份结果,这样我们前后对比,大致就可以知道这位道友是否有使用LKM或者更高级的rootkit了。
检查完之后,我们发现下面有趣的信息:
引用:
我们再找rkhunter爽一下:[root@vctimchkrootkit-0.47]#/usr/local/bin/rkhunter-c--createlogfile Rootkit'SHV4'...[Warning!] Rootkit'SHV5'...[Warning!] Rootkit'SuckitRootkit'...[Warning!]-->还有这个高级货啊,偷偷的汗了一下。 *Filesystemchecks Checking/devforsuspiciousfiles...[Warning!(unusualfilesfound)] Unusualfiles: /dev/srd0:ASCIItext-->/dev下有ascii文件…… --------MD5 MD5cmpared:51 IncorrectMD5checksums:6 Filescan Scannedfile:342 Possibleinfectedfiles:3 Possiblerootkits:SHV4SHV5SuckitRootkit Applicationscan Vulnerableapplications:4 Scanningtook751seconds Scanresultswrittentologfile(/var/log/rkhunter.log) |
[root@victimroot]#exportPATH=/root/.../static/:$PATH |
[root@victim/]#ls-alh/tmp/mc-root/ total8.0K drwx------2rootroot4.0KNov819:36. drwxrwxrwt9rootroot4.0KNov1810:47.. |
[11:20:04]/bin/lsHashNOTvalid |
[11:20:53]***StartscanSHV4*** [11:20:53]-File/lib/lidps1.so...WARNING!Exists. [11:21:12]***StartscanSHV5*** [11:21:12]-File/etc/sh.conf...WARNING!Exists. [11:21:12]-File/dev/srd0...WARNING!Exists. [11:21:12]-Directory/usr/lib/libsh...WARNING!Exists. [11:21:15]***StartscanSuckitRootkit*** [11:21:15]-File/usr/share/locale/sk/.sk12/sk...WARNING!Exists. [11:21:15]-Directory/usr/share/locale/sk/.sk12...WARNING!Exists. |
[root@victimroot]#file/lib/lidps1.so /lib/lidps1.so:ASCIItext [root@victimroot]#cat/lib/lidps1.so ttyload shsniff shp shsb hide ttymon scanner |
root15840.00.0185268?SNov170:00/sbin/ttyload-q root15860.00.01500168?SNov170:26ttymontymon [root@victimroot]#netstat-anp ActiveInternetconnections(serversandestablished) ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname tcp000.0.0.0:313380.0.0.0:*LISTEN1584/ttyload tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd tcp00127.0.0.1:250.0.0.0:*LISTEN1540/ raw000.0.0.0:10.0.0.0:*71586/ttymon raw131200.0.0.0:10.0.0.0:*71586/ttymon |
[root@victimroot]#lsof-n-p1584 COMMANDPIDUSERFDTYPEDEVICESIZENODENAME 31584rootcwdDIR8,340962/ 31584rootrtdDIR8,340962/ 31584roottxtREG8,3652620212994/tmp/sh-DJYK3MJABRP(deleted)-->这个是upx压缩后的特征之一。 31584rootmemREG8,310304412828674/lib/ld-2.3.2.so 31584rootmemREG8,39160412828689/lib/libnsl-2.3.2.so 31584rootmemREG8,32366812828683/lib/libcrypt-2.3.2.so 31584rootmemREG8,31269612828711/lib/libutil-2.3.2.so 31584rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so 31584root0uCHR1,367051/dev/null 31584root1uCHR1,367051/dev/null 31584root2uCHR1,367051/dev/null 31584root3uIPv41798TCP*:31338(LISTEN) [root@victimroot]#lsof-n-p1586 COMMANDPIDUSERFDTYPEDEVICESIZENODENAME ttymon1586rootcwdDIR8,340962/ ttymon1586rootrtdDIR8,340962/ ttymon1586roottxtREG8,39347643663399/sbin/ttymon ttymon1586rootmemREG8,310304412828674/lib/ld-2.3.2.so ttymon1586rootmemREG8,35247212828695/lib/libnss_files-2.3.2.so ttymon1586rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so ttymon1586root3uraw179900000000:0001->00000000:0000st=07 |
[root@victimroot]#nclocalhost31338 SSH-1.5-2.0.13 |
[root@victimroot]#/sbin/ttymon [root@victimroot]#/sbin/ttymon--help [root@victimroot]#/sbin/ttymon-h |
[root@victimroot]#strings/sbin/ttymon Usage:%s |
Dameonic.cisatheoreticalrouterbaseddenialofserviceattackthat |
[fatb@baoz~]$./a Daemonic-BGPKiller[TheoriesinDoS]www.AntiOffline.com/TID/ Usage:./a |
[root@victimroot]#file/etc/sh.conf /etc/sh.conf:ASCIItext [root@victimroot]#cat/etc/sh.conf 6465d1b20c0c4cd408e34e68e630bc7a- |
[root@victimroot]#file/dev/srd0 /dev/srd0:ASCIItext [root@victimroot]#cat/dev/srd0 j+JNfnYdtqa7trq6gh+4ixPhLDBbLT6Ku5uVVJ/mxxzobTlPUCEeEzdxglyNos 4IvejtbRNdAMxP/d7NhBeFseisPX5oloDE5z1e2ZjQtsM S0uF0BrCRaiyuNhbD+TxyiCkfPxeS6/f3KYGvy0+9uf96H ZCHbJRHzwU0BoEWZW66Kw9fmiWgMTnPV7ZmNC2ww DrWCrrUVHlVO0ETRpEzDLr4+eRoYKQ4cF1IYuZIuKJvpL8 u0zFWEQVd4aHHRV8MZ6Kw9fmiWgMTnPV7ZmNC2ww m8Y0WvJzHApXJkPWqGlLXkQEgP7I+Z00g5rfl4JVTHHVS3 ccyoWJvoHxARS2Az4+6Kw9fmiWgMTnPV7ZmNC2ww Nx2BGzQcgwNk5wkHvIbDS+akciYGKpBOpkfbml2dEhlnyl baCJUtkIZtodypSCex6Kw9fmiWgMTnPV7ZmNC2ww 7Tuu8KGtjaBucg6CylE0jLx5gHLMf67ZIFShF/vnuKNoRf JqqJhR5/4k+4vDqwlW6Kw9fmiWgMTnPV7ZmNC2ww aeC6nDWmqSBSLAn74IG+scDyaeQhcyttGosc5AHjaJjsS7 dk2xyaySZVyBz4xsJLvejtbRNdAMxP/d7NhBeFseisPX5o loDE5z1e2ZjQtsM Z1Adpyun9XhDlWlkphlGxvqi7D+VzU2gaIcSV3F5SvtUf b9WXOCPgW4fLKozFRr18GdivriXhV99Urg+qyUS5OisPX 5oloDE5z1e2ZjQtsM XnGWwt8gbkh3WioGunOBNlnN29dPwkm4N1UqS3mZ7V5C2D SuxCWu5vgapmla+YFx6Kw9fmiWgMTnPV7ZmNC2ww +KrS/TlnD5nr0P/iOvN/aN+jWY2xtLoIpAN70/2NlvfnnA pDPhNqf9Y82i7BX/UHVWRY+R8hmtWPTN9aYJrjduisPX5oloDE5z1e2ZjQtsM |
[root@victimroot]#ls-alh/usr/lib/libsh total104K drwxr-xr-x6rootroot4.0KNov1716:45. drwxr-xr-x133rootroot68KNov1810:13.. drwxr-xr-x2rootroot4.0KNov819:33.backup -rwxr-xr-x11221142.4KJan302006.bashrc -rwxr-xr-x11221141.8KFeb192003hide drwxr-xr-x2rootroot4.0KNov819:33.owned -rwxr-xr-x11221141.3KFeb192003shsb drwxr-xr-x2rootroot4.0KNov819:33.sniff drwxr-xr-x2rootroot4.0KFeb192003utils [root@victimroot]#ls/usr/lib/libsh/.backup/ dirfindifconfiglslsofmd5sumnetstatpspstreeslocatetop |
[root@victimroot]#ls-alh/usr/share/locale/sk/ total40K drwxr-xr-x5rootroot4.0KSep702:02. drwxr-xr-x110rootroot4.0KNov82005.. -rw-r--r--1rootroot6May92000charset -rw-r--r--1rootroot1.3KNov182002entry.desktop drwxr-xr-x2rootroot16KNov82005LC_MESSAGES drwxr-xr-x2rootroot4.0KNov82005LC_TIME drwxr-xr-x2rootroot4.0KSep702:02.sk12 |
[fatb@baoz~]$stringssk|grep-ifuck [fatb@baoz~]$filesk sk:ELFinvalidclassinvalidbyteorder(SYSV) [fatb@baoz~]$./sk Password: Goawaywiththat,poorboy! [fatb@baoz~]$ls-alsksk2rc2/sk -rwxr-xr-x1fatbperlish30799Nov1118:04sk -rwxr--r--1fatbperlish30279Nov1706:06sk2rc2/sk |
[root@victimroot]#grepttyload/etc/inittab #0:2345nce:/usr/sbin/ttyload [root@victimroot]#cat/usr/sbin/ttyload /sbin/ttyload-q>/dev/null2>&1 /sbin/ttymon>/dev/null2>&1 |
[root@victimroot]#ls/usr/lib/libsh/.backup/ dirifconfiglsofnetstatpstreetop findlsmd5sumpsslocate |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台