[推荐]一次linux肉鸡入侵检测还有一个可以说明这个sk12是sk2,我查找了/etc下的文件,没找到他启动的地方,/sbin/init也没改。到是在/etc/inittab里发现了ttymon的启动方式:
[root@victim root]# grep ttyload /etc/inittab
#0:2345:once:/usr/sbin/ttyload
[root@victim root]# cat /usr/sbin/ttyload
/sbin/ttyload -q >/dev/null 2>&1
/sbin/ttymon >/dev/null 2>&1
花开两朵,各表一支,话说刚才我们确定了这个一定是sk2,在一段时间的挣扎之后,决定还是回头在《linux后门掠影》里再仔细介绍他。
整理一下思路,我们已经找到了他们替换的elf程序了,下面说说修复的办法,一般情况下,如果没有十分的把握,linux被黑了最好重装,因为我们永远不敢说自己绝对比入侵者高明。由于是肉鸡,我们就还原一下文件好了。
这个朋友比较好,在/usr/lib/libsh/.backup目录里保存了没被修改的程序的备份,同时也是告诉我们他至少替换了这些文件。
[root@victim root]# ls -al
total 608
drwxr-xr-x 2 root root 4096 Nov 7 00:58 .
drwxr-xr-x 6 root root 4096 Nov 7 00:59 ..
-rwx------ 1 root root 67668 Nov 7 00:58 dir
-rwx------ 1 root root 51028 Nov 7 00:58 find
-rwxr-xr-x 1 root root 67668 Nov 7 00:58 ls
-rwx------ 1 root root 95640 Nov 7 00:58 lsof
-rwx------ 1 root root 29024 Nov 7 00:58 md5sum
-rwx------ 1 root root 85240 Nov 7 00:58 netstat
-rwx------ 1 root root 69772 Nov 7 00:58 ps
-rwx------ 1 root root 14048 Nov 7 00:58 pstree
-rwx------ 1 root root 26368 Nov 7 00:58 slocate
-rwx------ 1 root root 54004 Nov 7 00:58 top
接着我尝试cp -f dir `which dir`,但报告操作不允许,显然他用chattr做了手脚。
[root@victim root]# cp -f dir `which dir`
cp: cannot remove `/usr/bin/dir': Operation not permitted
我们索性看看y的到底动了多少文件。
[root@victim root]# lsattr /bin /sbin /usr/bin /usr/sbin /etc| grep -e -ia
s---ia------- /bin/netstat
s---ia------- /bin/ls
s---ia------- /bin/ps
s---ia------- /sbin/ifconfig
s---ia------- /sbin/ttyload
s---ia------- /sbin/ttymon
s---ia------- /usr/bin/pstree
s---ia------- /usr/bin/find
s---ia------- /usr/bin/dir
s---ia------- /usr/bin/md5sum
s---ia------- /usr/bin/top
s---ia------- /usr/bin/updatedb
s---ia------- /usr/bin/locate
s---ia------- /usr/bin/slocate
s---ia------- /usr/sbin/lsof
s---ia------- /usr/sbin/ttyload
s---ia------- /etc/sh.conf
呵呵,发现ifconfig也被弄了,不过他就是隐藏一些无伤大雅的东西,不管那么多了,其他的直接弄掉
[root@victim root]# chattr -ais /bin/netstat
[root@victim root]# chattr -ais /bin/ls
[root@victim root]# chattr -ais /bin/ps
[root@victim root]# chattr -ais /sbin/ifconfig
[root@victim root]# chattr -ais /sbin/ttyload
[root@victim root]# chattr -ais /sbin/ttymon
[root@victim root]# chattr -ais /usr/bin/pstree
[root@victim root]# chattr -ais /usr/bin/find
[root@victim root]# chattr -ais /usr/bin/dir
[root@victim root]# chattr -ais /usr/bin/md5sum
[root@victim root]# chattr -ais /usr/bin/top
[root@victim root]# chattr -ais /usr/bin/updatedb
[root@victim root]# chattr -ais /usr/bin/locate
[root@victim root]# chattr -ais /usr/bin/slocate
[root@victim root]# chattr -ais /usr/sbin/lsof
[root@victim root]# chattr -ais /usr/sbin/ttyload
[root@victim root]# chattr -ais /etc/sh.conf
现在我们把.backup目录里的文件给还原回去。
[root@victim root]# mv -f netstat /bin/netstat
[root@victim root]# mv -f ls /bin/ls
[root@victim root]# mv -f ps /bin/ps
[root@victim root]# mv -f pstree /usr/bin/pstree
[root@victim root]# mv -f find /usr/bin/find
[root@victim root]# mv -f dir /usr/bin/dir
[root@victim root]# mv -f md5sum /usr/bin/md5sum
[root@victim root]# mv -f top /usr/bin/top
[root@victim root]# mv -f slocate /usr/bin/slocate
[root@victim root]# mv -f lsof /usr/sbin/lsof
顺便把他的文件删除,免得被管理员发现了。
[root@victim root]# rm -f /sbin/ttyload
[root@victim root]# rm -f /sbin/ttymon
[root@victim root]# rm -f /usr/sbin/ttyload
[root@victim root]# rm -f /etc/sh.conf
去掉启动的东西,擦掉日志中关于ac9e2da9.ipt.aol.com的记录,shadow抓回来跑跑,reboot,交给wzt测试代码去了,呵呵。
如果有什么疑问,可以到http://cnhonker.com/bbs/ 的linux版交流
本文不断更新中,欲获得最新版本,请关注http://baoz.net或http://xsec.org的更新信息。
说在最后:
上面说到的方法只是一些最基本的方法,并且rkhunter,chkrootkit这样的程序都是只能检测默认安装的rootkit,修改过的rootkit或者没公开的rootkit,它们是基本找不到的。怎么办?自动化查找不行了,就只有靠我们手动分析了,这个就是体现安全管理员水平高低的时候了。
| asp.dll解析成system提升权限 | 04-06 | |
| webshell+serv-u获取系统最高权限 | 04-06 | |
| 一次完全利用社会工程学的域名劫 | 03-28 | |
| 利用DNS欺骗在局域网中挂马 | 03-21 | |
| 渗透某资源网站笔记 | 03-20 | |
| 渗透同学学校网络 | 03-20 | |
| 针对虚拟主机提升权限的实现 | 03-20 | |
| 利用QQ文件共享漏洞入侵 Windows | 03-20 | |
| 冠龙科技企业网站管理系统V8.0 安 | 02-07 | |
| 入侵与反入侵案例 | 01-27 | |
| ARP监听渗透内网的方法 | 01-27 | |
| 入侵联通网站的过程! | 01-22 | |
您现在的位置: