Trinity v3 分布式拒绝服务攻击工具

/ns/wz/soft/data/20010710011923.htm

Trinity v3 分布式拒绝服务攻击工具


一个新的分布式拒绝服务攻击工具"Trinity v3"出现在网络上，根据报道已经有
400个主机已经运行着Trinity agent，现在不知道有多少不同版本的Trinity流传
在网络上。

Trinity是一个由IRC控制的拒绝服务攻击，根据X-FORCE对其的分析，代理端两
进制安装在LINUX系统上的/usr/lib/idle.so，当idle.so启动的时候，它连接到一
地下的IRC服务器的6667端口，下面是程序中服务器的列表：

204.127.145.17
216.24.134.10
208.51.158.10
199.170.91.114
207.173.16.33
207.96.122.250
205.252.46.98
216.225.7.155
205.188.149.3
207.69.200.131
207.114.4.35

当Trinity连接的时候，它设置它的nickname为主机名的前6个字符，再加3个随
机数或者字母，如，一个机器的名字叫machine.example.com被连接和设置它的
nickname为machinabc,其中的abc就是3个随机数或者字母，如果主机名前6个字
符中有period(是不是"点"的意思)，就会被underscore(下划线)代替。在X-FORCE
的TRINITY拷贝中，它使用一个特殊的KEY进入#b3eblebr0x频道，一但其处于频道
中，代理端就等待命令的接受，命令可以发送给单独的Trinity代理端，或者发送
给频道让所有代理端来处理命令。

其中flood的命令有下面的格式：其中flood命令是表示flood类型，password是
指定代理端的密码，victim是目标主机的IP地址，time是flood的时间长度，下面
是一些flood类型的列表：

tudp: "udpflood"
tfrag: "fragmentflood"
tsyn: "synflood"
trst: "rstflood"
trnd: "randomflagsflood"
tack: "ackflood"
testab: "establishflood"
tnull: "nullflood"

其他可用的命令还有：

ping:是ping每一个客户端，客户端会响应"(trinity) someone needs a miracle..."
size:设置flood的信息包大小，如果是0就是随机。
port:就是要攻击的端口，0表示随机。
ver?:表示代理端的不版本，根据分析将返回这样的字符串：" trinity v3 by
self (an idle mind is the devil's playground)"

另一个两进制的文件发现在被影响版本的/var/spool/uucp/uucico,这个程序和
真实的那个uucico不同，真实的版本存在/usr/sbin目录下，或者其他默认位置
/usr/lib/uucp中，这个是一个简单的后门程序，监听TCP端口33270，当连接
建立的时候，攻击者可以发送一密码进行连接，并得到SHELL，经过分析，这个
程序的密码为"!@#"。当uucico程序执行的时候，它会改变起名字为"fsflush".

建议：

扫描所有的33270端口连接，如果这个连接被搜寻到，TELNET到该端口，并使用
"!@#"密码进行测试，如果开一个ROOT SHELL的话，说明系统被破坏，

再使用"ps"和"lsof"来鉴别时候由Trinity安装：

# /usr/sbin/lsof -i TCP:33270
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
uucico 6862 root 3u IPv4 11199 TCP *:33270 (LISTEN)

# /usr/sbin/lsof -c uucico
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
uucico 6862 root cwd DIR 8,1 4096 306099 /home/jlarimer
uucico 6862 root rtd DIR 8,1 4096 2 /
uucico 6862 root txt REG 8,1 4312 306589 /home/jlarimer/uucico
uucico 6862 root mem REG 8,1 344890 416837 /lib/ld-2.1.2.so
uucico 6862 root mem REG 8,1 4118299 416844 /lib/libc-2.1.2.so
uucico 6862 root 0u CHR 136,2 4 /dev/pts/2
uucico 6862 root 1u CHR 136,2 4 /dev/pts/2
uucico 6862 root 2u CHR 136,2 4 /dev/pts/2
uucico 6862 root 3u IPv4 11199 TCP *:33270 (LISTEN)

# ps 6862
PID TTY STAT TIME COMMAND
6862 pts/2 S 0:00 fsflush

由于Trinity v3没有监听任何端口，除了你监视可疑的IRC通信你就比较难发现，
如果一机器上发现Trinity agent被安装，这机器已经完全被破坏。操作系统就
必须重新安装和打一些补丁程序。