grep knark
啥也没有了
最重要的是,我们可以在/proc/knark/目录——当然也是隐藏的——下面找到所有被藏起来的东西的资料。
四、分析
我们可以试着看看:
#cd /proc/knark/
#cat files
HIDDEN FILES
/boot/.pty0
/usr/lib/logem
这两个目录就是被藏起来的了;)
#cat nethides
HIDDEN STRINGS (without the quotes)
"CB0C"
"17"
":0947"
这里是三个netstat的隐藏。
#cat pids
EUID PID COMMAND
0 112 mcd
0 338 dittrich
两个后门,一个bindsh*ll ,一个是伪装成ssh的,进程都被隐藏了。
#cat redirects
REDIRECT FROM REDIRECT TO
/bin/login /usr/lib/logem/login2
可执行程序重定向,这里是把login给重定向了。
现在很清楚了,黑客进来之后,首先是上传上/usr/lib/logem下面的文件,包括几个脚本及刚才分析的内核模块,以及几个后门,如login后门,ssh后门,然后修改了/etc/rc.d/init.d/network文件,加上/usr/lib/libdd.so.1行,以便系统启动时自加载,(/etc/inetd.conf里也被加上了一句echostream tcp nowait root /usr/sbin/echod/usr/sbin/echod,这样入侵者可以远程启动后门及内核模块,这里的echod与libdd.so.1是同样文件),这个程序指向/boot/.pty0/go.sh:
这里面启动了几个irc的cliend端,连到国外的一些server上挂着——我不太理解为啥老外都这样?我连上去whois了一下,结果如下:
Coitze is ~statd@the.ip.of.the_hacked_machine * Ask your girlfriend:>
Coitze on @#radio21pitesti @#mafiotzii
Coitze using McLean.VA.US.Undernet.Org CAIS Internet, US
Coitze End of /WHOIS list.
而go.sh又指向ascunde.sh,这里是这样的:
for proces in `/bin/cat /boot/.pty0/hdm`; do<-------
hdm文件里有ncd、sh、mcd三行,也就是有这些东西是入侵者想隐藏的
P=`/sbin/pidof $proces`
if [ -n "$P" ]; then
killall -31 $proces 1>/dev/hdm 2>/dev/hdm <-------
发出kill-31的信号,调用加载的内核模块隐藏进程fi
摘自:明盾大学
网络安全学院
作者:blan
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:很酷的一篇入侵区分