日期:2006-11-18
http://baoz.net
http://xsec.org
1妹儿:perlish(*)gmail.com or fatb@zzu.edu.cn (有时gmail收不到信或会被当垃圾邮件过滤掉)
欢迎转载任何人任何时候转载到任何地方,请保留上面的信息。
CHNAGES:
2006-12-10 应网友需求,增加清理后门的周详操作。
昨天答应了给wzt找几个linux肉鸡测试程式的,打开http://www.milw0rm.com/webapps.php ,找了个include漏洞的程式试了一下,很快就得到一个webshell,没什么好说的,redhat9的机器,然后localroot了一下。
插句话,本文中的ip地址和主机名都被替换了,请不要对号入座,本文手法仅供参考,在正规的入侵检测操作中,我们还是需要注意很多流程和细节上的问题。另外本文对一些基本概念或程式之类的不做解释,假如有不明白的地方,请教google。
进了肉鸡,换上我们的ssh后门,具体的方法能够在http://baoz.net 或http://xsec.org 上找到,带视频教程:) 假如看完视频之后更有疑问,能够到http://cnhonker.com/bbs/ 的linux版交流一下。
一进ssh,哦,奇怪,米国人民问候韩国人民?有异样……
Last login: Fri Nov 17 08:21:14 2006 from ac9e2da9.ipt.aol.com
好奇,扫一下。
[fatb@baoz ~]$ nmap -P0 ac9e2da9.ipt.aol.com -O
进了机器第一个事就是看看是不是vmware,是的话赶紧跑路了,别掉到人家的破罐子里去了,呵呵
来,看看:
##检查是不是vmware的机器
[root@victim root]# ifconfig -a | grep -i -e "00-05-69" -e "00-0C-29" -e "00-50-56"; dmesg | grep -i vmware
假如没输出的话,还好。。。。就算是个honeypot,好歹也是投资了点设备的honeypot。继续看看他投资了什么设备:
[root@victim root]# cat /proc/cpuinfo | grep name;cat /proc/meminfo | grep MemTotal
model name : Intel(R) Xeon(TM) CPU 2.80GHz
model name : Intel(R) Xeon(TM) CPU 2.80GHz
model name : Intel(R) Xeon(TM) CPU 2.80GHz
model name : Intel(R) Xeon(TM) CPU 2.80GHz
MemTotal: 1030228 kB
还能够的机器,虽然4CPU却只有1G的内存,有点怪,但是还是勉强了,跑个密码什么的也行。
关于anti-honeynet,下面有两个文章不错,但是都是针对vmware或User Mode Linux的了,假如人家用真实机器,那还得靠人品啊,呵呵。
http://xsec.org/index.php?module=archives&act=view&type=3&id=5
http://xsec.org/index.php?module=archives&act=view&type=3&id=6
关于honeynet和anti-honeynet的讨论,能够来这里聊聊
http://cnhonker.com/bbs/thread.php?fid=15&type=1
废话少说,接下来第二个事就是看看有没道友在上面,有的话就不好意思了,得请出去:)
一般我都会先打几个命令看看,因为有些rootkit他改的不好,或是因为版本的问题,反正不管什么原因,有一些被替换了的程式的一些参数会没有的。
[root@victim root]# ls -alh
ls: invalid option -- h
Try `ls --help' for more information.
呵呵,ls被替换了。在看看netstat
[root@victim root]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1702/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1516/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1540/
tcp 0 300 123.123.123.123:22 10.20.30.40:2245 ESTABLISHED 6097/sshd:
tcp 0 0 123.123.123.123:22 10.20.30.40:2247 ESTABLISHED 6815/sshd:
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 121430 6815/sshd: /tmp/ssh-vfJj6815/agent.6815
unix 2 [ ACC ] STREAM LISTENING 116904 6097/sshd: /tmp/ssh-weHq6097/agent.6097
unix 6 [ ] DGRAM 1560 1476/syslogd /dev/log
unix 2 [ ] DGRAM 1771 1570/crond
unix 2 [ ] DGRAM 1728 1549/
unix 2 [ ] DGRAM 1714 1540/
unix 2 [ ] DGRAM 1568 1480/klogd
看起来貌似还算正常。
不管3721,直接搞两个检查rootkit的东西回来看看,chkrootkit和rkhunter。
先爽一下chkrootkit:
注意,我们现在是在根本不可信的环境下检查的,可能有朋友会问“为什么要在不可信的环境里检查啊”,原因是这样的,因为我们先在一个不可信的环境里检查,得出一份结果,然后再在稍微可信的环境里检查,再得到一份结果,这样我们前后对比,大致就能够知道这位道友是否有使用LKM或更高级的rootkit了。
检查完之后,我们发现下面有趣的信息:
[root@victim chkrootkit-0.47]# ./chkrootkit
Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Searching for t0rn's v8 defaults... Possible t0rn v8 /(or variation/) rootkit installed
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h
Checking `bindshell'... not infected
Checking `lkm'... You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
我们再找rkhunter爽一下:
rkhunter的输出信息比较人性化也比较多,--quite选项输出又有点问题,我就rip比较有用的信息出来,日志在/var/log/rkhunter.log。
[root@victim chkrootkit-0.47]# /usr/local/bin/rkhunter -c --createlogfile
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
