中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 操作系统 > Linux > LinuxUnix安全
一次惊心动魄的linux肉鸡入侵检测经历(5)
作者:佚名 时间:2007-08-25 21:39 出处:中国IT实验室 责编:月夜寒箫
              摘要:一次惊心动魄的linux肉鸡入侵检测经历(5)
下面就是大名鼎鼎的sk了,看到sk,首先关注的就是他的prefix,启动方式和版本。。。。废话。。。呵呵

引用: 
[root@victimroot]#ls-alh/usr/share/locale/sk/
            total40K
            drwxr-xr-x5rootroot4.0KSep702:02.
            drwxr-xr-x110rootroot4.0KNov82005..
            -rw-r--r--1rootroot6May92000charset
            -rw-r--r--1rootroot1.3KNov182002entry.desktop
            drwxr-xr-x2rootroot16KNov82005LC_MESSAGES
            drwxr-xr-x2rootroot4.0KNov82005LC_TIME
            drwxr-xr-x2rootroot4.0KSep702:02.sk12
sk没启动,因为.sk12都显示出来了,.sniffer文件里也没记录到什么密码,但我对这个sk12还是充满好奇心,sftp托到我本地机器玩玩。

引用: 
[fatb@baoz~]$stringssk|grep-ifuck
            [fatb@baoz~]$filesk
            sk:ELFinvalidclassinvalidbyteorder(SYSV)
            [fatb@baoz~]$./sk
            Password:
            Goawaywiththat,poorboy!
            [fatb@baoz~]$ls-alsksk2rc2/sk
            -rwxr-xr-x1fatbperlish30799Nov1118:04sk
            -rwxr--r--1fatbperlish30279Nov1706:06sk2rc2/sk
从上面看来,这个不是sk12,应该是sk2,否则应该有fuck字样并且没有密码的,并且他用ef加密了。和公开的sk2rc2对比一下,发现他比rc2文件要大一点。。。。YY中,呵呵,我猜他应该是更新的版本的。1点多了。。。还没吃饭,快饿晕了,先吃饭去,回来继续……

还有一个可以说明这个sk12是sk2,我查找了/etc下的文件,没找到他启动的地方,/sbin/init也没改。到是在/etc/inittab里发现了ttymon的启动方式:

引用: 
[root@victimroot]#grepttyload/etc/inittab
            #0:2345nce:/usr/sbin/ttyload
            [root@victimroot]#cat/usr/sbin/ttyload
            /sbin/ttyload-q>/dev/null2>&1
            /sbin/ttymon>/dev/null2>&1
花开两朵,各表一支,话说刚才我们确定了这个一定是sk2,在一段时间的挣扎之后,决定还是回头在《linux后门掠影》里再仔细介绍他。

整理一下思路,我们已经找到了他们替换的elf程序了,现在替换回去就是了,具体步骤就不写下来了,无非就是cp一下。

引用: 
[root@victimroot]#ls/usr/lib/libsh/.backup/
            dirifconfiglsofnetstatpstreetop
            findlsmd5sumpsslocate
去掉启动的东西,擦掉日志中关于ac9e2da9.ipt.aol.com的记录,shadow抓回来跑跑,reboot,交给wzt测试代码去了,呵呵。

如果有什么疑问,可以到http://cnhonker.com/bbs/的linux版交流

本文不断更新中,欲获得最新版本,请关注http://baoz.nethttp://xsec.org的更新信息。

说在最后:上面说到的方法只是一些最基本的方法,并且rkhunter,chkrootkit这样的程序都是只能检测默认安装的rootkit,修改过的rootkit或者没公开的rootkit,它们是基本找不到的。怎么办?自动化查找不行了,就只有靠我们手动分析了,这个就是体现安全管理员水平高低的时候了。
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有