科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道一次惊心动魄的linux肉鸡入侵检测经历

一次惊心动魄的linux肉鸡入侵检测经历

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一篇网友的亲身经历,从中我们或许能学习一些东西,希望对大家有所帮助。

作者:51cto 2007年10月11日

关键字: Linux 检测 入侵 肉鸡

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共5页)

  这是一篇网友的亲身经历,从中我们或许能学习一些东西,希望对大家有所帮助。昨天答应了给wzt找几个linux肉鸡测试程序的,打开http://www.milw0rm.com/webapps.php,找了个include漏洞的程序试了一下,很快就得到一个webshell,没什么好说的,redhat9的机器,然后localroot了一下。

  插句话,本文中的ip地址和主机名都被替换了,请不要对号入座,本文手法仅供参考,在正规的入侵检测操作中,我们还是需要注意很多流程和细节上的问题。

  进了肉鸡,换上我们的ssh后门,具体的方法可以在http://baoz.net或http://xsec.org上找到,带视频教程如果看完视频之后还有疑问,可以到http://cnhonker.com/bbs/的linux版交流一下。

  一进ssh,哦,有异样……

  Lastlogin:FriNov1708:21:142006fromac9e2da9.ipt.aol.com

  

  好奇,扫一下。

  引用:

  [fatb@baoz~]$nmap-P0ac9e2da9.ipt.aol.com-O

  

  进了机器第一个事就是看看是不是vmware,是的话赶紧跑路了,别掉到人家的破罐子里去了,呵呵

  来,看看:

  ##检查是不是vmware的机器

  引用:

  [root@victimroot]#ifconfig-a|grep-i-e"00-05-69"-e"00-0C-29"-e"00-50-56";dmesg|grep-ivmware

  

  如果没输出的话,还好。。。。就算是个honeypot,好歹也是投资了点设备的honeypot。继续看看他投资了什么设备:

  引用:

  [root@victimroot]#cat/proc/cpuinfo|grepname;cat/proc/meminfo|grepMemTotal

  modelname:Intel(R)Xeon(TM)CPU2.80GHz

  modelname:Intel(R)Xeon(TM)CPU2.80GHz

  modelname:Intel(R)Xeon(TM)CPU2.80GHz

  modelname:Intel(R)Xeon(TM)CPU2.80GHz

  MemTotal:1030228kB

  

  还可以的机器,虽然4CPU却只有1G的内存,有点怪,但是还是勉强了,跑个密码什么的也行。

  关于anti-honeynet,下面有两个文章不错,不过都是针对vmware或者UserModeLinux的了,如果人家用真实机器,那还得靠人品啊,呵呵。

  http://xsec.org/index.php?module=arc...ew&type=3&id=5

  http://xsec.org/index.php?module=arc...ew&type=3&id=6

  关于honeynet和anti-honeynet的讨论,可以来这里聊聊

  http://cnhonker.com/bbs/thread.php?fid=15&type=1

  废话少说,接下来第二个事就是看看有没道友在上面,有的话就不好意思了,得请出去

  一般我都会先打几个命令看看,因为有些rootkit他改的不好,或者是因为版本的问题,反正不管什么原因,有一些被替换了的程序的一些参数会没有的。

  引用:

  [root@victimroot]#ls-alh

  ls:invalidoption--h

  Try`ls--help'formoreinformation.

  

  呵呵,ls被替换了。在看看netstat

  引用:

  [root@victimroot]#netstat-anp

  ActiveInternetconnections(serversandestablished)

  ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname

  tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd

  tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd

  tcp00127.0.0.1:250.0.0.0:*LISTEN1540/

  tcp0300123.123.123.123:2210.20.30.40:2245ESTABLISHED6097/sshd:

  tcp00123.123.123.123:2210.20.30.40:2247ESTABLISHED6815/sshd:

  ActiveUNIXdomainsockets(serversandestablished)

  ProtoRefCntFlagsTypeStateI-NodePID/ProgramnamePath

  unix2[ACC]STREAMLISTENING1214306815/sshd:/tmp/ssh-vfJj6815/agent.6815

  unix2[ACC]STREAMLISTENING1169046097/sshd:/tmp/ssh-weHq6097/agent.6097

  unix6[]DGRAM15601476/syslogd/dev/log

  unix2[]DGRAM17711570/crond

  unix2[]DGRAM17281549/

  unix2[]DGRAM17141540/

  unix2[]DGRAM15681480/klogd

  

  看起来貌似还算正常。

  不管3721,直接搞两个检查rootkit的东西回来看看,chkrootkit和rkhunter。

  先爽一下chkrootkit:注意,我们现在是在根本不可信的环境下检查的,可能有朋友会问“为什么要在不可信的环境里检查啊”,原因是这样的,因为我们先在一个不可信的环境里检查,得出一份结果,然后再在稍微可信的环境里检查,再得到一份结果,这样我们前后对比,大致就可以知道这位道友是否有使用LKM或者更高级的rootkit了。

  检查完之后,我们发现下面有趣的信息:

  引用:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章