日本高清视频精品,久久经典综合,国产精品igao视频网网址不卡日韩

這是一篇網友的親身經歷，從中我們或許能學習一些東西，希望對大家有所幫助。昨天答應了給wzt找幾個linux肉雞測試程序的，打開http://www.milw0rm.com/webapps.php，找了個include漏洞的程序試了一下，很快就得到一個webshell，沒什么好說的，redhat9的機器，然后localroot了一下。
插句話，本文中的ip地址和主機名都被替換了，請不要對號入座，本文手法僅供參考，在正規的入侵檢測操作中，我們還是需要注意很多流程和細節上的問題。
進了肉雞，換上我們的ssh后門，具體的方法可以在http://baoz.net或http://xsec.org上找到，帶視頻教程如果看完視頻之后還有疑問，可以到http://cnhonker.com/bbs/的linux版交流一下。
一進ssh，哦,有異樣……

Lastlogin:FriNov1708:21:142006fromac9e2da9.ipt.aol.com

好奇，掃一下。
引用:

[fatb@baoz~]$nmap-P0ac9e2da9.ipt.aol.com-O

進了機器第一個事就是看看是不是vmware，是的話趕緊跑路了，別掉到人家的破罐子里去了，呵呵
來，看看：
##檢查是不是vmware的機器
引用:

[root@victimroot]#ifconfig-a|grep-i-e"00-05-69"-e"00-0C-29"-e"00-50-56";dmesg|grep-ivmware

如果沒輸出的話，還好。。。。就算是個honeypot，好歹也是投資了點設備的honeypot。繼續看看他投資了什么設備：
引用:

[root@victimroot]#cat/proc/cpuinfo|grepname;cat/proc/meminfo|grepMemTotal
modelname:Intel(R)Xeon(TM)CPU2.80GHz
modelname:Intel(R)Xeon(TM)CPU2.80GHz
modelname:Intel(R)Xeon(TM)CPU2.80GHz
modelname:Intel(R)Xeon(TM)CPU2.80GHz
MemTotal:1030228kB

還可以的機器，雖然4CPU卻只有1G的內存，有點怪，但是還是勉強了，跑個密碼什么的也行。
關于anti-honeynet，下面有兩個文章不錯，不過都是針對vmware或者UserModeLinux的了，如果人家用真實機器，那還得靠人品啊，呵呵。
http://xsec.org/index.php?module=arc...ew&type=3&id=5
http://xsec.org/index.php?module=arc...ew&type=3&id=6
關于honeynet和anti-honeynet的討論，可以來這里聊聊
http://cnhonker.com/bbs/thread.php?fid=15&type=1
廢話少說，接下來第二個事就是看看有沒道友在上面，有的話就不好意思了，得請出去
一般我都會先打幾個命令看看，因為有些rootkit他改的不好，或者是因為版本的問題，反正不管什么原因，有一些被替換了的程序的一些參數會沒有的。
引用:

[root@victimroot]#ls-alh
ls:invalidoption--h
Try`ls--help'formoreinformation.

呵呵，ls被替換了。在看看netstat
引用:

[root@victimroot]#netstat-anp
ActiveInternetconnections(serversandestablished)
ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname
tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd
tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd
tcp00127.0.0.1:250.0.0.0:*LISTEN1540/
tcp0300123.123.123.123:2210.20.30.40:2245ESTABLISHED6097/sshd:
tcp00123.123.123.123:2210.20.30.40:2247ESTABLISHED6815/sshd:
ActiveUNIXdomainsockets(serversandestablished)
ProtoRefCntFlagsTypeStateI-NodePID/ProgramnamePath
unix2[ACC]STREAMLISTENING1214306815/sshd:/tmp/ssh-vfJj6815/agent.6815
unix2[ACC]STREAMLISTENING1169046097/sshd:/tmp/ssh-weHq6097/agent.6097
unix6[]DGRAM15601476/syslogd/dev/log
unix2[]DGRAM17711570/crond
unix2[]DGRAM17281549/
unix2[]DGRAM17141540/
unix2[]DGRAM15681480/klogd

看起來貌似還算正常。
不管3721，直接搞兩個檢查rootkit的東西回來看看，chkrootkit和rkhunter。
先爽一下chkrootkit：注意，我們現在是在根本不可信的環境下檢查的，可能有朋友會問“為什么要在不可信的環境里檢查啊”，原因是這樣的，因為我們先在一個不可信的環境里檢查，得出一份結果，然后再在稍微可信的環境里檢查，再得到一份結果，這樣我們前后對比，大致就可以知道這位道友是否有使用LKM或者更高級的rootkit了。
檢查完之后，我們發現下面有趣的信息：
引用:

[root@victimchkrootkit-0.47]#./chkrootkit
Checking`ifconfig'...INFECTED
Checking`pstree'...INFECTED
Searchingfort0rn'sv8defaults...Possiblet0rnv8\(orvariation\)rootkitinstalled
SearchingforShowtee...Warning:PossibleShowteeRootkitinstalled
SearchingforRomanianrootkit.../usr/include/file.h/usr/include/proc.h
Checking`bindshell'...notinfected
Checking`lkm'...Youhave2processhiddenforpscommand
chkproc:Warning:PossibleLKMTrojaninstalled

共5頁: 1 [2] [3] [4] [5] 下一頁

国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

一次驚心動魄的linux肉雞入侵檢測經歷(1)
2007-07-17

延伸閱讀

熱文

国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

一次驚心動魄的linux肉雞入侵檢測經歷(1) 2007-07-17

延伸閱讀

熱文

一次驚心動魄的linux肉雞入侵檢測經歷(1)
2007-07-17