一次惊心动魄的linux肉鸡入侵检测经历(1)

中国IT动力,最新最全的IT技术教程

最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像

当前位置：> 操作系统 > Linux > LinuxUnix安全

一次惊心动魄的linux肉鸡入侵检测经历(1)

作者:佚名时间:2007-08-25 21:38 出处:中国IT实验室责编:月夜寒箫

摘要：一次惊心动魄的linux肉鸡入侵检测经历(1)

这是一篇网友的亲身经历，从中我们或许能学习一些东西，希望对大家有所帮助。昨天答应了给wzt找几个linux肉鸡测试程序的，打开http://www.milw0rm.com/webapps.php，找了个include漏洞的程序试了一下，很快就得到一个webshell，没什么好说的，redhat9的机器，然后localroot了一下。

插句话，本文中的ip地址和主机名都被替换了，请不要对号入座，本文手法仅供参考，在正规的入侵检测操作中，我们还是需要注意很多流程和细节上的问题。

进了肉鸡，换上我们的ssh后门，具体的方法可以在http://baoz.net或http://xsec.org上找到，带视频教程如果看完视频之后还有疑问，可以到http://cnhonker.com/bbs/的linux版交流一下。

一进ssh，哦,有异样……

Lastlogin:FriNov1708:21:142006fromac9e2da9.ipt.aol.com

好奇，扫一下。

引用:

[fatb@baoz~]$nmap-P0ac9e2da9.ipt.aol.com-O

进了机器第一个事就是看看是不是vmware，是的话赶紧跑路了，别掉到人家的破罐子里去了，呵呵

来，看看：

##检查是不是vmware的机器

引用:

[root@victimroot]#ifconfig-a|grep-i-e"00-05-69"-e"00-0C-29"-e"00-50-56";dmesg|grep-ivmware

如果没输出的话，还好。。。。就算是个honeypot，好歹也是投资了点设备的honeypot。继续看看他投资了什么设备：

引用:

[root@victimroot]#cat/proc/cpuinfo|grepname;cat/proc/meminfo|grepMemTotal
            modelname:Intel(R)Xeon(TM)CPU2.80GHz
            modelname:Intel(R)Xeon(TM)CPU2.80GHz
            modelname:Intel(R)Xeon(TM)CPU2.80GHz
            modelname:Intel(R)Xeon(TM)CPU2.80GHz
            MemTotal:1030228kB

还可以的机器，虽然4CPU却只有1G的内存，有点怪，但是还是勉强了，跑个密码什么的也行。

关于anti-honeynet，下面有两个文章不错，不过都是针对vmware或者UserModeLinux的了，如果人家用真实机器，那还得靠人品啊，呵呵。

http://xsec.org/index.php?module=arc...ew&type=3&id=5

http://xsec.org/index.php?module=arc...ew&type=3&id=6

关于honeynet和anti-honeynet的讨论，可以来这里聊聊

http://cnhonker.com/bbs/thread.php?fid=15&type=1

废话少说，接下来第二个事就是看看有没道友在上面，有的话就不好意思了，得请出去

一般我都会先打几个命令看看，因为有些rootkit他改的不好，或者是因为版本的问题，反正不管什么原因，有一些被替换了的程序的一些参数会没有的。

引用:

[root@victimroot]#ls-alh
            ls:invalidoption--h
            Try`ls--help'formoreinformation.

呵呵，ls被替换了。在看看netstat

引用:

[root@victimroot]#netstat-anp
            ActiveInternetconnections(serversandestablished)
            ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname
            tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd
            tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd
            tcp00127.0.0.1:250.0.0.0:*LISTEN1540/
            tcp0300123.123.123.123:2210.20.30.40:2245ESTABLISHED6097/sshd:
            tcp00123.123.123.123:2210.20.30.40:2247ESTABLISHED6815/sshd:
            ActiveUNIXdomainsockets(serversandestablished)
            ProtoRefCntFlagsTypeStateI-NodePID/ProgramnamePath
            unix2[ACC]STREAMLISTENING1214306815/sshd:/tmp/ssh-vfJj6815/agent.6815
            unix2[ACC]STREAMLISTENING1169046097/sshd:/tmp/ssh-weHq6097/agent.6097
            unix6[]DGRAM15601476/syslogd/dev/log
            unix2[]DGRAM17711570/crond
            unix2[]DGRAM17281549/
            unix2[]DGRAM17141540/
            unix2[]DGRAM15681480/klogd

看起来貌似还算正常。

不管3721，直接搞两个检查rootkit的东西回来看看，chkrootkit和rkhunter。

先爽一下chkrootkit：注意，我们现在是在根本不可信的环境下检查的，可能有朋友会问“为什么要在不可信的环境里检查啊”，原因是这样的，因为我们先在一个不可信的环境里检查，得出一份结果，然后再在稍微可信的环境里检查，再得到一份结果，这样我们前后对比，大致就可以知道这位道友是否有使用LKM或者更高级的rootkit了。

检查完之后，我们发现下面有趣的信息：

引用:

[root@victimchkrootkit-0.47]#./chkrootkit
            Checking`ifconfig'...INFECTED
            Checking`pstree'...INFECTED
            Searchingfort0rn'sv8defaults...Possiblet0rnv8\(orvariation\)rootkitinstalled
            SearchingforShowtee...Warning:PossibleShowteeRootkitinstalled
            SearchingforRomanianrootkit.../usr/include/file.h/usr/include/proc.h
            Checking`bindshell'...notinfected
            Checking`lkm'...Youhave2processhiddenforpscommand
            chkproc:Warning:PossibleLKMTrojaninstalled

关闭本页