drwxr-xr-x 2 root root 4.0K Feb 19 2003 utils
[root@victim root]# ls /usr/lib/libsh/.backup/
dir find ifconfig ls lsof md5sum netstat ps pstree slocate top
下面就是大名鼎鼎的sk了,看到sk,首先关注的就是他的prefix,启动方式和版本。。。。废话。。。呵呵
[root@victim root]# ls -alh /usr/share/locale/sk/
total 40K
drwxr-xr-x 5 root root 4.0K Sep 7 02:02 .
drwxr-xr-x 110 root root 4.0K Nov 8 2005 ..
-rw-r--r-- 1 root root 6 May 9 2000 charset
-rw-r--r-- 1 root root 1.3K Nov 18 2002 entry.desktop
drwxr-xr-x 2 root root 16K Nov 8 2005 LC_MESSAGES
drwxr-xr-x 2 root root 4.0K Nov 8 2005 LC_TIME
drwxr-xr-x 2 root root 4.0K Sep 7 02:02 .sk12
sk没启动,因为.sk12都显示出来了,.sniffer文档里也没记录到什么密码,但我对这个sk12还是充满好奇心,sftp托到我本地机器玩玩。
[fatb@baoz ~]$ strings sk | grep -i fuck
[fatb@baoz ~]$ file sk
sk: ELF invalid class invalid byte order (SYSV)
[fatb@baoz ~]$ ./sk
Password:
Go away with that, poor boy!
[fatb@baoz ~]$ ls -al sk sk2rc2/sk
-rwxr-xr-x 1 fatb perlish 30799 Nov 11 18:04 sk
-rwxr--r-- 1 fatb perlish 30279 Nov 17 06:06 sk2rc2/sk
从上面看来,这个不是sk12,应该是sk2,否则应该有fuck字样并且没有密码的,并且他用ef加密了。和公开的sk2rc2对比一下,发现他比rc2文档要大一点。。。。YY中,呵呵,我猜他应该是更新的版本的。1点多了。。。还没吃饭,快饿晕了,先吃饭去,回来继续……
更有一个能够说明这个sk12是sk2,我查找了/etc下的文档,没找到他启动的地方,/sbin/init也没改。到是在/etc/inittab里发现了ttymon的启动方式:
[root@victim root]# grep ttyload /etc/inittab
#0:2345:once:/usr/sbin/ttyload
[root@victim root]# cat /usr/sbin/ttyload
/sbin/ttyload -q >/dev/null 2>&1
/sbin/ttymon >/dev/null 2>&1
花开两朵,各表一支,话说刚才我们确定了这个一定是sk2,在一段时间的挣扎之后,决定还是回头在《linux后门掠影》里再仔细介绍他。
整理一下思路,我们已找到了他们替换的elf程式了,下面说说修复的办法,一般情况下,假如没有十分的把握,linux被黑了最好重装,因为我们永远不敢说自己绝对比入侵者高明。由于是肉鸡,我们就还原一下文档好了。
这个朋友比较好,在/usr/lib/libsh/.backup目录里保存了没被修改的程式的备份,同时也是告诉我们他至少替换了这些文档。
[root@victim root]# ls -al
total 608
drwxr-xr-x 2 root root 4096 Nov 7 00:58 .
drwxr-xr-x 6 root root 4096 Nov 7 00:59 ..
-rwx------ 1 root root 67668 Nov 7 00:58 dir
-rwx------ 1 root root 51028 Nov 7 00:58 find
-rwxr-xr-x 1 root root 67668 Nov 7 00:58 ls
-rwx------ 1 root root 95640 Nov 7 00:58 lsof
-rwx------ 1 root root 29024 Nov 7 00:58 md5sum
-rwx------ 1 root root 85240 Nov 7 00:58 netstat
-rwx------ 1 root root 69772 Nov 7 00:58 ps
-rwx------ 1 root root 14048 Nov 7 00:58 pstree
-rwx------ 1 root root 26368 Nov 7 00:58 slocate
-rwx------ 1 root root 54004 Nov 7 00:58 top
接着我尝试cp -f dir `which dir`,但报告操作不允许,显然他用chattr做了手脚。
[root@victim root]# cp -f dir `which dir`
cp: cannot remove `/usr/bin/dir': Operation not permitted
我们索性看看y的到底动了多少文档。
[root@victim root]# lsattr /bin /sbin /usr/bin /usr/sbin /etc| grep -e -ia
s---ia------- /bin/netstat
s---ia------- /bin/ls
s---ia------- /bin/ps
s---ia------- /sbin/ifconfig
s---ia------- /sbin/ttyload
s---ia------- /sbin/ttymon
s---ia------- /usr/bin/pstree
s---ia------- /usr/bin/find
s---ia------- /usr/bin/dir
s---ia------- /usr/bin/md5sum
s---ia------- /usr/bin/top
s---ia------- /usr/bin/updatedb
s---ia------- /usr/bin/locate
s---ia------- /usr/bin/slocate
s---ia------- /usr/sbin/lsof
s---ia------- /usr/sbin/ttyload
s---ia------- /etc/sh.conf
呵呵,发现ifconfig也被弄了,但是他就是隐藏一些无伤大雅的东西,不管那么多了,其他的直接弄掉
[root@victim root]# chattr -ais /bin/netstat
[root@victim root]# chattr -ais /bin/ls
[root@victim root]# chattr -ais /bin/ps
[root@victim root]# chattr -ais /sbin/ifconfig
[root@victim root]# chattr -ais /sbin/ttyload
[root@victim root]# chattr -ais /sbin/ttymon
[root@victim root]# chattr -ais /usr/bin/pstree
[root@victim root]# chattr -ais /usr/bin/find
[root@victim root]# chattr -ais /usr/bin/dir
[root@victim root]# chattr -ais /usr/bin/md5sum
[root@victim root]# chattr -ais /usr/bin/top
[root@victim root]# chattr -ais /usr/bin/updatedb
[root@victim root]# chattr -ais /usr/bin/locate
[root@victim root]# chattr -ais /usr/bin/slocate
[root@victim root]# chattr -ais /usr/sbin/lsof
[root@victim root]# chattr -ais /usr/sbin/ttyload
[root@victim root]# chattr -ais /etc/sh.conf
现在我们把.backup目录里的文档给还原回去。
[root@victim root]# mv -f netstat /bin/netstat
[root@victim root]# mv -f ls /bin/ls
[root@victim root]# mv -f ps /bin/ps
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
