网络安全 频道

一次惊心动魄的linux肉鸡入侵检测经历(2)

我们再找rkhunter爽一下:

rkhunter的输出信息比较人性化也比较多,--quite选项输出又有点问题,我就rip比较有用的信息出来,日志在/var/log/rkhunter.log。

引用: [root@vctimchkrootkit-0.47]#/usr/local/bin/rkhunter-c--createlogfile
Rootkit''SHV4''...[Warning!]
Rootkit''SHV5''...[Warning!]
Rootkit''SuckitRootkit''...[Warning!]-->还有这个高级货啊,偷偷的汗了一下。
*Filesystemchecks
Checking/devforsuspiciousfiles...[Warning!(unusualfilesfound)]
Unusualfiles:
/dev/srd0:ASCIItext-->/dev下有ascii文件……
--------MD5
MD5cmpared:51
IncorrectMD5checksums:6
Filescan
Scannedfile:342
Possibleinfectedfiles:3
Possiblerootkits:SHV4SHV5SuckitRootkit
Applicationscan
Vulnerableapplications:4
Scanningtook751seconds
Scanresultswrittentologfile(/var/log/rkhunter.log)
 
扫完了,来个总结,这个比chkrootkit人性化多了。我们可以看到,这两个程序报告的有低级的rookkit,比如t0rn,SHV5,还有高级的rootkit:suckit。先看在眼里,别太在意,因为rkhunter和chkrootkit这样的程序都只能检测一些默认安装的rootkit,也不排除把这个rootkit报成那个rootkit的可能。

折腾了一下,心里大概有个数了,回过头来想想,他必定不只替换了一个ls的,找个静态工具包回来,并且修改一下PATH变量,优先使用我们的静态程序。

引用: [root@victimroot]#exportPATH=/root/.../static/:$PATH
 
ok,我们现在再看看ls

引用: [root@victim/]#ls-alh/tmp/mc-root/
total8.0K
drwx------2rootroot4.0KNov819:36.
drwxrwxrwt9rootroot4.0KNov1810:47..
 
现在我们的程序暂时还是相对比较信得过的。

继续做上面两组检测。

我们把得到的结果和刚才的相比,chkrootkit对elf的检测没有报警了,隐藏进程也没有了,我们大致可以判断道友隐藏的手段比较低级,但是想起那个suckit的报警。。。。心里不敢大意。还不知道有没模块什么的。

为了更清楚一点,我们分析一下/var/log/rkhunter.log这个日志文件看看。看了日志,我们就会清楚为什么rkhunter的两次的检测报告试一样的了,因为他是用md5来校验的,他有一个数据库,而chkrootkit是检测输出信息。 [11:20:04]/bin/lsHashNOTvalid(MyMD5:0a07cf554c1a74ad974416f60916b78d,expected:dbc1a18b2e447e0e0f7c139b1cc79454)
 
我们把SHV和suckit相关的信息弄出来看看

引用: [11:20:53]***StartscanSHV4***
[11:20:53]-File/lib/lidps1.so...WARNING!Exists.
[11:21:12]***StartscanSHV5***
[11:21:12]-File/etc/sh.conf...WARNING!Exists.
[11:21:12]-File/dev/srd0...WARNING!Exists.
[11:21:12]-Directory/usr/lib/libsh...WARNING!Exists.
[11:21:15]***StartscanSuckitRootkit***
[11:21:15]-File/usr/share/locale/sk/.sk12/sk...WARNING!Exists.
[11:21:15]-Directory/usr/share/locale/sk/.sk12...WARNING!Exists.
 
看到这里,基本上就知其所以然了。我们继续一个一个的看

引用: [root@victimroot]#file/lib/lidps1.so
/lib/lidps1.so:ASCIItext
[root@victimroot]#cat/lib/lidps1.so
ttyload
shsniff
shp
shsb
hide
ttymon
scanner
0
相关文章