至顶网›网络频道 ›一次惊心动魄的linux肉鸡入侵检测经历

一次惊心动魄的linux肉鸡入侵检测经历

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

这是一篇网友的亲身经历，从中我们或许能学习一些东西，希望对大家有所帮助。

作者：51cto 2007年10月12日

关键字：

下面就是大名鼎鼎的sk了，看到sk，首先关注的就是他的prefix，启动方式和版本。。。。废话。。。呵呵

引用:

[root@victimroot]#ls-alh/usr/share/locale/sk/
total40K
drwxr-xr-x5rootroot4.0KSep702:02.
drwxr-xr-x110rootroot4.0KNov82005..
-rw-r--r--1rootroot6May92000charset
-rw-r--r--1rootroot1.3KNov182002entry.desktop
drwxr-xr-x2rootroot16KNov82005LC_MESSAGES
drwxr-xr-x2rootroot4.0KNov82005LC_TIME
drwxr-xr-x2rootroot4.0KSep702:02.sk12

sk没启动，因为.sk12都显示出来了，.sniffer文件里也没记录到什么密码，但我对这个sk12还是充满好奇心，sftp托到我本地机器玩玩。

引用:

[fatb@baoz~]$stringssk|grep-ifuck
[fatb@baoz~]$filesk
sk:ELFinvalidclassinvalidbyteorder(SYSV)
[fatb@baoz~]$./sk
Password:
Goawaywiththat,poorboy!
[fatb@baoz~]$ls-alsksk2rc2/sk
-rwxr-xr-x1fatbperlish30799Nov1118:04sk
-rwxr--r--1fatbperlish30279Nov1706:06sk2rc2/sk

从上面看来，这个不是sk12，应该是sk2，否则应该有fuck字样并且没有密码的，并且他用ef加密了。和公开的sk2rc2对比一下，发现他比rc2文件要大一点。。。。YY中，呵呵，我猜他应该是更新的版本的。1点多了。。。还没吃饭，快饿晕了，先吃饭去，回来继续……

还有一个可以说明这个sk12是sk2，我查找了/etc下的文件，没找到他启动的地方，/sbin/init也没改。到是在/etc/inittab里发现了ttymon的启动方式:

引用:

[root@victimroot]#grepttyload/etc/inittab
#0:2345nce:/usr/sbin/ttyload
[root@victimroot]#cat/usr/sbin/ttyload
/sbin/ttyload-q>/dev/null2>&1
/sbin/ttymon>/dev/null2>&1

花开两朵，各表一支，话说刚才我们确定了这个一定是sk2，在一段时间的挣扎之后，决定还是回头在《linux后门掠影》里再仔细介绍他。

整理一下思路，我们已经找到了他们替换的elf程序了，现在替换回去就是了，具体步骤就不写下来了，无非就是cp一下。

引用:

[root@victimroot]#ls/usr/lib/libsh/.backup/
dirifconfiglsofnetstatpstreetop
findlsmd5sumpsslocate

去掉启动的东西，擦掉日志中关于ac9e2da9.ipt.aol.com的记录，shadow抓回来跑跑，reboot，交给wzt测试代码去了，呵呵。

如果有什么疑问，可以到http://cnhonker.com/bbs/的linux版交流

本文不断更新中，欲获得最新版本，请关注http://baoz.net或http://xsec.org的更新信息。

说在最后：上面说到的方法只是一些最基本的方法，并且rkhunter,chkrootkit这样的程序都是只能检测默认安装的rootkit，修改过的rootkit或者没公开的rootkit，它们是基本找不到的。怎么办？自动化查找不行了，就只有靠我们手动分析了，这个就是体现安全管理员水平高低的时候了。

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

一次惊心动魄的linux肉鸡入侵检测经历

业界热点: