科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道一次惊心动魄的linux肉鸡入侵检测经历

一次惊心动魄的linux肉鸡入侵检测经历

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一篇网友的亲身经历,从中我们或许能学习一些东西,希望对大家有所帮助。

作者:51cto 2007年10月12日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共5页)

下面就是大名鼎鼎的sk了,看到sk,首先关注的就是他的prefix,启动方式和版本。。。。废话。。。呵呵

引用:
[root@victimroot]#ls-alh/usr/share/locale/sk/
total40K
drwxr-xr-x5rootroot4.0KSep702:02.
drwxr-xr-x110rootroot4.0KNov82005..
-rw-r--r--1rootroot6May92000charset
-rw-r--r--1rootroot1.3KNov182002entry.desktop
drwxr-xr-x2rootroot16KNov82005LC_MESSAGES
drwxr-xr-x2rootroot4.0KNov82005LC_TIME
drwxr-xr-x2rootroot4.0KSep702:02.sk12
sk没启动,因为.sk12都显示出来了,.sniffer文件里也没记录到什么密码,但我对这个sk12还是充满好奇心,sftp托到我本地机器玩玩。

引用:
[fatb@baoz~]$stringssk|grep-ifuck
[fatb@baoz~]$filesk
sk:ELFinvalidclassinvalidbyteorder(SYSV)
[fatb@baoz~]$./sk
Password:
Goawaywiththat,poorboy!
[fatb@baoz~]$ls-alsksk2rc2/sk
-rwxr-xr-x1fatbperlish30799Nov1118:04sk
-rwxr--r--1fatbperlish30279Nov1706:06sk2rc2/sk
从上面看来,这个不是sk12,应该是sk2,否则应该有fuck字样并且没有密码的,并且他用ef加密了。和公开的sk2rc2对比一下,发现他比rc2文件要大一点。。。。YY中,呵呵,我猜他应该是更新的版本的。1点多了。。。还没吃饭,快饿晕了,先吃饭去,回来继续……

还有一个可以说明这个sk12是sk2,我查找了/etc下的文件,没找到他启动的地方,/sbin/init也没改。到是在/etc/inittab里发现了ttymon的启动方式:

引用:
[root@victimroot]#grepttyload/etc/inittab
#0:2345nce:/usr/sbin/ttyload
[root@victimroot]#cat/usr/sbin/ttyload
/sbin/ttyload-q>/dev/null2>&1
/sbin/ttymon>/dev/null2>&1
花开两朵,各表一支,话说刚才我们确定了这个一定是sk2,在一段时间的挣扎之后,决定还是回头在《linux后门掠影》里再仔细介绍他。

整理一下思路,我们已经找到了他们替换的elf程序了,现在替换回去就是了,具体步骤就不写下来了,无非就是cp一下。

引用:
[root@victimroot]#ls/usr/lib/libsh/.backup/
dirifconfiglsofnetstatpstreetop
findlsmd5sumpsslocate
去掉启动的东西,擦掉日志中关于ac9e2da9.ipt.aol.com的记录,shadow抓回来跑跑,reboot,交给wzt测试代码去了,呵呵。

如果有什么疑问,可以到http://cnhonker.com/bbs/的linux版交流

本文不断更新中,欲获得最新版本,请关注http://baoz.nethttp://xsec.org的更新信息。

说在最后:上面说到的方法只是一些最基本的方法,并且rkhunter,chkrootkit这样的程序都是只能检测默认安装的rootkit,修改过的rootkit或者没公开的rootkit,它们是基本找不到的。怎么办?自动化查找不行了,就只有靠我们手动分析了,这个就是体现安全管理员水平高低的时候了。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章