一次linux肉鸡入侵检测

Rootkit 'SHV4'... [ Warning! ]
Rootkit 'SHV5'... [ Warning! ]
Rootkit 'Suckit Rootkit'... [ Warning! ] -->更有这个高级货啊，偷偷的汗了一下。
* Filesystem checks
Checking /dev for suspicious files... [ Warning! (unusual files found) ]
Unusual files:
/dev/srd0: ASCII text --> /dev下有ascii文档……
---------------------------- Scan results ----------------------------
MD5
MD5 compared: 51
Incorrect MD5 checksums: 6
File scan
Scanned files: 342
Possible infected files: 3
Possible rootkits: SHV4 SHV5 Suckit Rootkit
Application scan
Vulnerable applications: 4
Scanning took 751 seconds
Scan results written to logfile (/var/log/rkhunter.log)
-----------------------------------------------------------------------

扫完了，来个总结，这个比chkrootkit人性化多了。
我们能够看到，这两个程式报告的有低级的rookkit,比如t0rn,SHV5，更有高级的rootkit：suckit。先看在眼里，别太在意，因为rkhunter和chkrootkit这样的程式都只能检测一些默认安装的rootkit，也不排除把这个rootkit报成那个rootkit的可能。


折腾了一下，心里大概有个数了，回过头来想想，他必定不只替换了一个ls的，找个静态工具包回来，并且修改一下PATH变量，优先使用我们的静态程式。

[root@victim root]# export PATH=/root/.../static/:$PATH

ok,我们现在再看看ls

[root@victim /]# ls -alh /tmp/mc-root/
total 8.0K
drwx------ 2 root root 4.0K Nov 8 19:36 .
drwxrwxrwt 9 root root 4.0K Nov 18 10:47 ..

现在我们的程式暂时还是相对比较信得过的。
继续做上面两组检测。
我们把得到的结果和刚才的相比，chkrootkit对elf的检测没有报警了，隐藏进程也没有了，我们大致能够判断道友隐藏的手段比较低级，但是想起那个suckit的报警。。。。心里不敢大意。还不知道有没模块什么的。
为了更清楚一点，我们分析一下/var/log/rkhunter.log这个日志文档看看。看了日志，我们就会清楚为什么rkhunter的两次的检测报告试相同的了，因为他是用md5来校验的，他有一个数据库，而chkrootkit是检测输出信息。
[11:20:04] /bin/ls Hash NOT valid (My MD5: 0a07cf554c1a74ad974416f60916b78d, expected: dbc1a18b2e447e0e0f7c139b1cc79454)

我们把SHV和suckit相关的信息弄出来看看
[11:20:53] *** Start scan SHV4 ***
[11:20:53] - File /lib/lidps1.so... WARNING! Exists.

[11:21:12] *** Start scan SHV5 ***
[11:21:12] - File /etc/sh.conf... WARNING! Exists.
[11:21:12] - File /dev/srd0... WARNING! Exists.
[11:21:12] - Directory /usr/lib/libsh... WARNING! Exists.

[11:21:15] *** Start scan Suckit Rootkit ***
[11:21:15] - File /usr/share/locale/sk/.sk12/sk... WARNING! Exists.
[11:21:15] - Directory /usr/share/locale/sk/.sk12... WARNING! Exists.
看到这里，基本上就知其所以然了。我们继续一个一个的看
[root@victim root]# file /lib/lidps1.so
/lib/lidps1.so: ASCII text
[root@victim root]# cat /lib/lidps1.so
ttyload
shsniff
shp
shsb
hide
ttymon
scanner
看到这里，我忍不住ps和netstat了一下，发现了这两个东西
root 1584 0.0 0.0 1852 68 ? S Nov17 0:00 /sbin/ttyload -q
root 1586 0.0 0.0 1500 168 ? S Nov17 0:26 ttymon tymon
[root@victim root]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:31338 0.0.0.0:* LISTEN 1584/ttyload
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1702/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1516/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1540/
raw 0 0 0.0.0.0:1 0.0.0.0:* 7 1586/ttymon
raw 1312 0 0.0.0.0:1 0.0.0.0:* 7 1586/ttymon

我们注意一下pid为1584和1586的两个进程，他们一个开了31338端口，一个起了raw socket，估计两个都是后门，一个bindport的，一个是sniffer的后门，接着我们lsof看看,呵呵，都现形了吧。
[root@victim root]# lsof -n -p 1584
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
3 1584 root cwd DIR 8,3 4096 2 /
3 1584 root rtd DIR 8,3 4096 2 /
3 1584 root txt REG 8,3 652620 212994 /tmp/sh-DJYK3MJABRP (deleted) -->这个是upx压缩后的特征之一。
3 1584 root mem REG 8,3 103044 12828674 /lib/ld-2.3.2.so
3 1584 root mem REG 8,3 91604 12828689 /lib/libnsl-2.3.2.so
3 1584 root mem REG 8,3 23668 12828683 /lib/libcrypt-2.3.2.so
3 1584 root mem REG 8,3 12696 12828711 /lib/libutil-2.3.2.so
3 1584 root mem REG 8,3 1531064 13991938 /lib/tls/libc-2.3.2.so
3 1584 root 0u CHR 1,3 67051 /dev/null
3 1584 root 1u CHR 1,3 67051 /dev/null
3 1584 root 2u CHR 1,3 67051 /dev/null
3 1584 root 3u IPv4 1798 TCP *:31338 (LISTEN)

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!