一次惊心动魄的linux肉鸡入侵检测经历(3)
作者:佚名
编辑:李莲
2007-08-14 15:21
评论
分享
看到这里,我忍不住ps和netstat了一下,发现了这两个东西
引用: root15840.00.0185268?SNov170:00/sbin/ttyload-q
root15860.00.01500168?SNov170:26ttymontymon
[root@victimroot]#netstat-anp
ActiveInternetconnections(serversandestablished)
ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname
tcp000.0.0.0:313380.0.0.0:*LISTEN1584/ttyload
tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd
tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd
tcp00127.0.0.1:250.0.0.0:*LISTEN1540/
raw000.0.0.0:10.0.0.0:*71586/ttymon
raw131200.0.0.0:10.0.0.0:*71586/ttymon
我们注意一下pid为1584和1586的两个进程,它们一个开了31338端口,一个起了rawsocket,估计两个都是后门,一个bindport的,一个是sniffer的后门,接着我们lsof看看,呵呵,都现形了吧。
引用: [root@victimroot]#lsof-n-p1584
COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
31584rootcwdDIR8,340962/
31584rootrtdDIR8,340962/
31584roottxtREG8,3652620212994/tmp/sh-DJYK3MJABRP(deleted)-->这个是upx压缩后的特征之一。
31584rootmemREG8,310304412828674/lib/ld-2.3.2.so
31584rootmemREG8,39160412828689/lib/libnsl-2.3.2.so
31584rootmemREG8,32366812828683/lib/libcrypt-2.3.2.so
31584rootmemREG8,31269612828711/lib/libutil-2.3.2.so
31584rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so
31584root0uCHR1,367051/dev/null
31584root1uCHR1,367051/dev/null
31584root2uCHR1,367051/dev/null
31584root3uIPv41798TCP*:31338(LISTEN)
[root@victimroot]#lsof-n-p1586
COMMANDPIDUSERFDTYPEDEVICESIZENODENAME
ttymon1586rootcwdDIR8,340962/
ttymon1586rootrtdDIR8,340962/
ttymon1586roottxtREG8,39347643663399/sbin/ttymon
ttymon1586rootmemREG8,310304412828674/lib/ld-2.3.2.so
ttymon1586rootmemREG8,35247212828695/lib/libnss_files-2.3.2.so
ttymon1586rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so
ttymon1586root3uraw179900000000:0001->00000000:0000st=07
验证一下那两个后门: [root@victimroot]#nclocalhost31338
SSH-1.5-2.0.13
明显,这个ssh后门,估计是读那个/etc/sh.conf作为密码的。rawsocket那个我暂时想不到咱们验证,因为一来不知道他抓的什么包,icmportcp,二来也不知道他抓的包的特征。霸王硬上弓吧。先执行一下。
0