中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 操作系统 > Linux > LinuxUnix安全
一次惊心动魄的linux肉鸡入侵检测经历(2)
作者:佚名 时间:2007-08-25 21:38 出处:中国IT实验室 责编:月夜寒箫
              摘要:一次惊心动魄的linux肉鸡入侵检测经历(2)
我们再找rkhunter爽一下:

rkhunter的输出信息比较人性化也比较多,--quite选项输出又有点问题,我就rip比较有用的信息出来,日志在/var/log/rkhunter.log。

引用: 
[root@vctimchkrootkit-0.47]#/usr/local/bin/rkhunter-c--createlogfile
            Rootkit'SHV4'...[Warning!]
            Rootkit'SHV5'...[Warning!]
            Rootkit'SuckitRootkit'...[Warning!]-->还有这个高级货啊,偷偷的汗了一下。
            *Filesystemchecks
            Checking/devforsuspiciousfiles...[Warning!(unusualfilesfound)]
            Unusualfiles:
            /dev/srd0:ASCIItext-->/dev下有ascii文件……
            --------MD5
            MD5cmpared:51
            IncorrectMD5checksums:6
            Filescan
            Scannedfile:342
            Possibleinfectedfiles:3
            Possiblerootkits:SHV4SHV5SuckitRootkit
            Applicationscan
            Vulnerableapplications:4
            Scanningtook751seconds
            Scanresultswrittentologfile(/var/log/rkhunter.log)
扫完了,来个总结,这个比chkrootkit人性化多了。我们可以看到,这两个程序报告的有低级的rookkit,比如t0rn,SHV5,还有高级的rootkit:suckit。先看在眼里,别太在意,因为rkhunter和chkrootkit这样的程序都只能检测一些默认安装的rootkit,也不排除把这个rootkit报成那个rootkit的可能。

折腾了一下,心里大概有个数了,回过头来想想,他必定不只替换了一个ls的,找个静态工具包回来,并且修改一下PATH变量,优先使用我们的静态程序。

引用: 
[root@victimroot]#exportPATH=/root/.../static/:$PATH
ok,我们现在再看看ls

引用: 
[root@victim/]#ls-alh/tmp/mc-root/
            total8.0K
            drwx------2rootroot4.0KNov819:36.
            drwxrwxrwt9rootroot4.0KNov1810:47..
现在我们的程序暂时还是相对比较信得过的。

继续做上面两组检测。

我们把得到的结果和刚才的相比,chkrootkit对elf的检测没有报警了,隐藏进程也没有了,我们大致可以判断道友隐藏的手段比较低级,但是想起那个suckit的报警。。。。心里不敢大意。还不知道有没模块什么的。

为了更清楚一点,我们分析一下/var/log/rkhunter.log这个日志文件看看。看了日志,我们就会清楚为什么rkhunter的两次的检测报告试一样的了,因为他是用md5来校验的,他有一个数据库,而chkrootkit是检测输出信息。 
[11:20:04]/bin/lsHashNOTvalid

            

            (MyMD5:0a07cf554c1a74ad974416f60916b78d,expected:dbc1a18b2e447e0e0f7c139b1cc79454)
我们把SHV和suckit相关的信息弄出来看看

引用: 
[11:20:53]***StartscanSHV4***
            [11:20:53]-File/lib/lidps1.so...WARNING!Exists.
            [11:21:12]***StartscanSHV5***
            [11:21:12]-File/etc/sh.conf...WARNING!Exists.
            [11:21:12]-File/dev/srd0...WARNING!Exists.
            [11:21:12]-Directory/usr/lib/libsh...WARNING!Exists.
            [11:21:15]***StartscanSuckitRootkit***
            [11:21:15]-File/usr/share/locale/sk/.sk12/sk...WARNING!Exists.
            [11:21:15]-Directory/usr/share/locale/sk/.sk12...WARNING!Exists.
看到这里,基本上就知其所以然了。我们继续一个一个的看

引用: 
[root@victimroot]#file/lib/lidps1.so
            /lib/lidps1.so:ASCIItext
            [root@victimroot]#cat/lib/lidps1.so
            ttyload
            shsniff
            shp
            shsb
            hide
            ttymon
            scanner
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有