這是一篇網(wǎng)友的親身經(jīng)歷,從中我們或許能學(xué)習(xí)一些東西,希望對(duì)大家有所幫助。昨天答應(yīng)了給wzt找?guī)讉€(gè)linux肉雞測(cè)試程序的,打開http://www.milw0rm.com/webapps.php,找了個(gè)include漏洞的程序試了一下,很快就得到一個(gè)webshell,沒什么好說的,redhat9的機(jī)器,然后localroot了一下。
插句話,本文中的ip地址和主機(jī)名都被替換了,請(qǐng)不要對(duì)號(hào)入座,本文手法僅供參考,在正規(guī)的入侵檢測(cè)操作中,我們還是需要注意很多流程和細(xì)節(jié)上的問題。
進(jìn)了肉雞,換上我們的ssh后門,具體的方法可以在http://baoz.net或http://xsec.org上找到,帶視頻教程如果看完視頻之后還有疑問,可以到http://cnhonker.com/bbs/的linux版交流一下。
一進(jìn)ssh,哦,有異樣……
Lastlogin:FriNov1708:21:142006fromac9e2da9.ipt.aol.com |
引用:
[fatb@baoz~]$nmap-P0ac9e2da9.ipt.aol.com-O |
來,看看:
##檢查是不是vmware的機(jī)器
引用:
[root@victimroot]#ifconfig-a|grep-i-e"00-05-69"-e"00-0C-29"-e"00-50-56";dmesg|grep-ivmware |
引用:
[root@victimroot]#cat/proc/cpuinfo|grepname;cat/proc/meminfo|grepMemTotal modelname:Intel(R)Xeon(TM)CPU2.80GHz modelname:Intel(R)Xeon(TM)CPU2.80GHz modelname:Intel(R)Xeon(TM)CPU2.80GHz modelname:Intel(R)Xeon(TM)CPU2.80GHz MemTotal:1030228kB |
關(guān)于anti-honeynet,下面有兩個(gè)文章不錯(cuò),不過都是針對(duì)vmware或者UserModeLinux的了,如果人家用真實(shí)機(jī)器,那還得靠人品啊,呵呵。
http://xsec.org/index.php?module=arc...ew&type=3&id=5
http://xsec.org/index.php?module=arc...ew&type=3&id=6
關(guān)于honeynet和anti-honeynet的討論,可以來這里聊聊
http://cnhonker.com/bbs/thread.php?fid=15&type=1
廢話少說,接下來第二個(gè)事就是看看有沒道友在上面,有的話就不好意思了,得請(qǐng)出去
一般我都會(huì)先打幾個(gè)命令看看,因?yàn)橛行﹔ootkit他改的不好,或者是因?yàn)榘姹镜膯栴},反正不管什么原因,有一些被替換了的程序的一些參數(shù)會(huì)沒有的。
引用:
[root@victimroot]#ls-alh ls:invalidoption--h Try`ls--help'formoreinformation. |
引用:
[root@victimroot]#netstat-anp ActiveInternetconnections(serversandestablished) ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd tcp00127.0.0.1:250.0.0.0:*LISTEN1540/ tcp0300123.123.123.123:2210.20.30.40:2245ESTABLISHED6097/sshd: tcp00123.123.123.123:2210.20.30.40:2247ESTABLISHED6815/sshd: ActiveUNIXdomainsockets(serversandestablished) ProtoRefCntFlagsTypeStateI-NodePID/ProgramnamePath unix2[ACC]STREAMLISTENING1214306815/sshd:/tmp/ssh-vfJj6815/agent.6815 unix2[ACC]STREAMLISTENING1169046097/sshd:/tmp/ssh-weHq6097/agent.6097 unix6[]DGRAM15601476/syslogd/dev/log unix2[]DGRAM17711570/crond unix2[]DGRAM17281549/ unix2[]DGRAM17141540/ unix2[]DGRAM15681480/klogd |
不管3721,直接搞兩個(gè)檢查rootkit的東西回來看看,chkrootkit和rkhunter。
先爽一下chkrootkit:注意,我們現(xiàn)在是在根本不可信的環(huán)境下檢查的,可能有朋友會(huì)問“為什么要在不可信的環(huán)境里檢查啊”,原因是這樣的,因?yàn)槲覀兿仍谝粋€(gè)不可信的環(huán)境里檢查,得出一份結(jié)果,然后再在稍微可信的環(huán)境里檢查,再得到一份結(jié)果,這樣我們前后對(duì)比,大致就可以知道這位道友是否有使用LKM或者更高級(jí)的rootkit了。
檢查完之后,我們發(fā)現(xiàn)下面有趣的信息:
引用:
[root@victimchkrootkit-0.47]#./chkrootkit Checking`ifconfig'...INFECTED Checking`pstree'...INFECTED Searchingfort0rn'sv8defaults...Possiblet0rnv8\(orvariation\)rootkitinstalled SearchingforShowtee...Warning:PossibleShowteeRootkitinstalled SearchingforRomanianrootkit.../usr/include/file.h/usr/include/proc.h Checking`bindshell'...notinfected Checking`lkm'...Youhave2processhiddenforpscommand chkproc:Warning:PossibleLKMTrojaninstalled |
| 共5頁: 1 [2] [3] [4] [5] 下一頁 | ||
|
