grep
portmap ; rm /sbin/por 359 ? 00:00:00 inetd
rm: cannot remove `/sbin/portmap': No such file or directory
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or director
y
我注意到一件有趣的事。我们的黑客通用清扫程序在执行过程中存在错误,因为它试图
要删除那些不存在的文件。我相信我们的黑客朋友一定看到了这些错误并且关心这件事
情,因为她接着试图手工删除这些同样的文件,虽然这些文件并不存在。
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or director
y
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apollo /]# exit
exit
[twin@apollo /]$ exit
logout
好了,我们的黑客朋友已经安装了后门:bj.c。这个后门可以让将TERM设置成VT9111的
用户越权访问系统。一旦她完成了这些过程后,她就退出了系统。
回来安装Trinoo 当我的系统被攻陷之后,我让它离线(断开网络),然后检查了数
据(使用Tripwire)。然后,我注意到在一个礼拜后又出现大量的连接试图登录系统,
显然那个黑客试图回来,象其他被攻陷的系统一样,她也许会使用这个系统进行更加邪
恶的攻击。所以,我决定让这个被攻陷的系统重新连入网络,我想看看这个黑客想回来
做什么?果然不出我所料,两个礼拜后,她又回来了。再一次的,我们使用snort捕获到
她所有的键盘输入。
关键词:知道你的敌人:一次入侵过程的公开区分 《转》