一次linux肉鸡入侵检测过程

 

作者：baoz 
日期：2006-11-18 
http://baoz.net 

 
CHNAGES:

2006-12-10应网友需求，增加清理后门的详细操作。
 
本文中的ip地址和主机名都被替换了，请不要对号入座，本文手法仅供参考，在正规的入侵检测操作中，我们还是需要注意很多流程和细节上的问题。另外本文对一些基本概念或者程序之类的不做解释，如果有不明白的地方，请教google。
 
一进ssh，哦，奇怪，米国人民问候韩国人民？有异样……

Lastlogin:FriNov1708:21:142006fromac9e2da9.ipt.aol.com

好奇，扫一下。

[fatb@baoz~]$nmap-P0ac9e2da9.ipt.aol.com-O
 
进了机器第一个事就是看看是不是vmware，是的话赶紧跑路了，别掉到人家的破罐子里去了，呵呵

来，看看：

##检查是不是vmware的机器

[root@victimroot]#ifconfig-a|grep-i-e"00-05-69"-e"00-0C-29"-e"00-50-56";dmesg|grep-ivmware
如果没输出的话，还好。。。。就算是个honeypot，好歹也是投资了点设备的honeypot。继续看看他投资了什么设备：

[root@victimroot]#cat/proc/cpuinfo|grepname;cat/proc/meminfo|grepMemTotal

modelname:Intel(R)Xeon(TM)CPU2.80GHz

modelname:Intel(R)Xeon(TM)CPU2.80GHz

modelname:Intel(R)Xeon(TM)CPU2.80GHz

modelname:Intel(R)Xeon(TM)CPU2.80GHz

MemTotal:1030228kB


还可以的机器，虽然4CPU却只有1G的内存，有点怪，但是还是勉强了，跑个密码什么的也行。
关于anti-honeynet，下面有两个文章不错，不过都是针对vmware或者UserModeLinux的了，如果人家用真实机器，那还得靠人品啊，呵呵。

http://xsec.org/index.php?module=archives&act=view&type=3&id=5

http://xsec.org/index.php?module=archives&act=view&type=3&id=6

关于honeynet和anti-honeynet的讨论，可以来这里聊聊

http://cnhonker.com/bbs/thread.php?fid=15&type=1


废话少说，接下来第二个事就是看看有没道友在上面，有的话就不好意思了，得请出去:)
一般我都会先打几个命令看看，因为有些rootkit他改的不好，或者是因为版本的问题，反正不管什么原因，有一些被替换了的程序的一些参数会没有的。

[root@victimroot]#ls-alh

ls:invalidoption--h

Try`ls--help'formoreinformation.


呵呵，ls被替换了。在看看netstat

[root@victimroot]#netstat-anp

ActiveInternetconnections(serversandestablished)

ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname
tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd

tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd
tcp00127.0.0.1:250.0.0.0:*LISTEN1540/

tcp0300123.123.123.123:2210.20.30.40:2245ESTABLISHED6097/sshd:

tcp00123.123.123.123:2210.20.30.40:2247ESTABLISHED6815/sshd:

ActiveUNIXdomainsockets(serversandestablished)

ProtoRefCntFlagsTypeStateI-NodePID/ProgramnamePath

unix2[ACC]STREAMLISTENING1214306815/sshd:/tmp/ssh-vfJj6815/agent.6815

unix2[ACC]STREAMLISTENING1169046097/sshd:/tmp/ssh-weHq6097/agent.6097

unix6[]DGRAM15601476/syslogd/dev/log

unix2[]DGRAM17711570/crond

unix2[]DGRAM17281549/

unix2[]DGRAM17141540/

unix2[]DGRAM15681480/klogd


看起来貌似还算正常。
不管3721，直接搞两个检查rootkit的东西回来看看，chkrootkit和rkhunter。

先爽一下chkrootkit：

注意，我们现在是在根本不可信的环境下检查的，可能有朋友会问“为什么要在不可信的环境里检查啊”，原因是这样的，因为我们先在一个不可信的环境里检查，得出一份结果，然后再在稍微可信的环境里检查，再得到一份结果，这样我们前后对比，大致就可以知道这位道友是否有使用LKM或者更高级的rootkit了。


检查完之后，我们发现下面有趣的信息：

[root@victimchkrootkit-0.47]#./chkrootkit

Checking`ifconfig'...INFECTED

Checking`pstree'...INFECTED

Searchingfort0rn'sv8defaults...Possiblet0rnv8\(orvariation\)rootkitinstalled

SearchingforShowtee...Warning:PossibleShowteeRootkitinstalled

SearchingforRomanianrootkit.../usr/include/file.h/usr/include/proc.h

Checking`bindshell'...notinfected

Checking`lkm'...Youhave2processhiddenforpscommand

chkproc:Warning:PossibleLKMTrojaninstalled


我们再找rkhunter爽一下：

rkhunter的输出信息比较人性化也比较多，--quite选项输出又有点问题，我就rip比较有用的信息出来，日志在/var/log/rkhunter.log。

[root@victimchkrootkit-0.47]#/usr/local/bin/rkhunter-c--createlogfile

Rootkit'SHV4'...[Warning!]

Rootkit'SHV5'...[Warning!]

Rootkit'SuckitRootkit'...[Warning!]-->还有这个高级货啊，偷偷的汗了一下。

*Filesystemchecks

Checking/devforsuspiciou单机传奇iles...[Warning!(unusualfile单机传奇ound)]

Unusualfiles:

/dev/srd0:ASCIItext-->/dev下有ascii文件……

----------------------------Scanresults----------------------------

MD5

MD5compared:51

IncorrectMD5checksums:6

Filescan

Scannedfiles:342

Possibleinfectedfiles:3

Possiblerootkits:SHV4SHV5SuckitRootkit
Applicationscan

Vulnerableapplications:4

Scanningtook751seconds

Scanresultswrittentologfile(/var/log/rkhunter.log)

-----------------------------------------------------------------------


扫完了，来个总结，这个比chkrootkit人性化多了。

我们可以看到，这两个程序报告的有低级的rookkit,比如t0rn,SHV5，还有高级的rootkit：suckit。先看在眼里，别太在意，因为rkhunter和chkrootkit这样的程序都只能检测一些默认安装的rootkit，也不排除把这个rootkit报成那个rootkit的可能。


折腾了一下，心里大概有个数了，回过头来想想，他必定不只替换了一个ls的，找个静态工具包回来，并且修改一下PATH变量，优先使用我们的静态程序。
[root@victimroot]#exportPATH=/root/.../static/PATH


ok,我们现在再看看ls
[root@victim/]#ls-alh/tmp/mc-root/

total8.0K

drwx------2rootroot4.0KNov819:36.

drwxrwxrwt9rootroot4.0KNov1810:47..


*