分布式拒绝服务攻击工具mstream(4)

核心提示： 通过搜索原始设备(raw disk)找到了rpc.wall的源代码，入侵者很好地删除了原来的源代码，分布式拒绝服务攻击工具mstream(4)(2)，不仅释放了inode，也清除了内容本身，下列文件自系统安装以来被增加到/bin、/sbin、/usr/bin以及/usr/sbin中，似乎没

通过搜索原始设备(raw disk)找到了rpc.wall的源代码。入侵者很好地删除了原来的源代码，不仅释放了inode，也清除了内容本身。但是在编译过程中没有使用gcc -pipe，预编译代码被写入一个临时文件，最终传递给编译器。尽管这个临时文件由编译器删除了，但这种删除未能清除内容本身，通过读取原始设备可以还原出来。

分析这个源代码后，发现它能进行"stream"、"mstream"攻击。mstream攻击显然是多个IP同时进行stream攻击。我们相信这将导致比先前所见更大范围的DDoS攻击。还原出来的源代码附在报告尾部。
此刻我们意识到这是相当重要的证据，于是用dd将整个文件系统复制出来，通过网络传输到笔记本电脑上。然后可以只读mount这个文件继续检查 在/bin/下发现名为flukek.tgz的rootkit。它替换了cron、in.timed、inetd、login、named、passwd、rshd、syslogd、tcpd等等。下列文件自系统安装以来被增加到/bin、/sbin、/usr/bin以及/usr/sbin中。似乎没有文件被增加到/usr/libexec或/usr/local中。列出的时间是inode change times，/usr/bin/old似乎是以前的login
-rw-r--r-- 1 root wheel 2387704 Dec 18 16:37 bin/flukek.tgz
-r-sr-xr-x 1 root daemon 12656 Apr 13 23:39 bin/login
-rw-r--r-- 1 root wheel 1401 Apr 24 12:11 usr/bin/...
-rwsr-xr-x 1 root wheel 20164 Mar 31 14:50 usr/bin/old
-rwxr-xr-x 1 root wheel 33610 Apr 13 23:37 usr/bin/rpc.wall
-rwxr-xr-x 1 root wheel 32727 Apr 5 21:56 usr/bin/xfs
-r-xr-xr-x 1 root daemon 20164 Mar 31 14:50 usr/bin/xstat
-rwxr-xr-x 1 root wheel 111500 Mar 31 20:09 usr/sbin/dnskeygen
-rwxr-xr-x 1 root wheel 266712 Mar 31 20:09 usr/sbin/irpd
-rwxr-xr-x 1 root wheel 528612 Mar 31 20:09 usr/sbin/named
-rwxr-xr-x 1 root wheel 7166 Mar 31 20:09 usr/sbin/named-bootconf
-rwxr-xr-x 1 root wheel 285076 Mar 31 20:09 usr/sbin/named-xfer
-rwxr-xr-x 1 root wheel 37056 Mar 31 20:09 usr/sbin/ndc