中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 操作系统 > Linux > LinuxUnix安全
一次惊心动魄的linux肉鸡入侵检测经历(3)
作者:佚名 时间:2007-08-25 21:38 出处:中国IT实验室 责编:月夜寒箫
              摘要:一次惊心动魄的linux肉鸡入侵检测经历(3)
看到这里,我忍不住ps和netstat了一下,发现了这两个东西

引用: 
root15840.00.0185268?SNov170:00/sbin/ttyload-q
            root15860.00.01500168?SNov170:26ttymontymon
            [root@victimroot]#netstat-anp
            ActiveInternetconnections(serversandestablished)
            ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname
            tcp000.0.0.0:313380.0.0.0:*LISTEN1584/ttyload
            tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd
            tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd
            tcp00127.0.0.1:250.0.0.0:*LISTEN1540/
            raw000.0.0.0:10.0.0.0:*71586/ttymon
            raw131200.0.0.0:10.0.0.0:*71586/ttymon
我们注意一下pid为1584和1586的两个进程,它们一个开了31338端口,一个起了rawsocket,估计两个都是后门,一个bindport的,一个是sniffer的后门,接着我们lsof看看,呵呵,都现形了吧。

引用: 
[root@victimroot]#lsof-n-p1584
            COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
            31584rootcwdDIR8,340962/
            31584rootrtdDIR8,340962/
            31584roottxtREG8,3652620212994/tmp/sh-DJYK3MJABRP(deleted)-->这个是upx压缩后的特征之一。
            31584rootmemREG8,310304412828674/lib/ld-2.3.2.so
            31584rootmemREG8,39160412828689/lib/libnsl-2.3.2.so
            31584rootmemREG8,32366812828683/lib/libcrypt-2.3.2.so
            31584rootmemREG8,31269612828711/lib/libutil-2.3.2.so
            31584rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so
            31584root0uCHR1,367051/dev/null
            31584root1uCHR1,367051/dev/null
            31584root2uCHR1,367051/dev/null
            31584root3uIPv41798TCP*:31338(LISTEN)
            [root@victimroot]#lsof-n-p1586
            COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
            ttymon1586rootcwdDIR8,340962/
            ttymon1586rootrtdDIR8,340962/
            ttymon1586roottxtREG8,39347643663399/sbin/ttymon
            ttymon1586rootmemREG8,310304412828674/lib/ld-2.3.2.so
            ttymon1586rootmemREG8,35247212828695/lib/libnss_files-2.3.2.so
            ttymon1586rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so
            ttymon1586root3uraw179900000000:0001->00000000:0000st=07
验证一下那两个后门: 
[root@victimroot]#nclocalhost31338
            SSH-1.5-2.0.13
明显,这个ssh后门,估计是读那个/etc/sh.conf作为密码的。rawsocket那个我暂时想不到咱们验证,因为一来不知道他抓的什么包,icmportcp,二来也不知道他抓的包的特征。霸王硬上弓吧。先执行一下。
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有