分布式拒绝服务攻击工具mstream(4)
2006-07-04 20:30:34 来源:WEB开发网通过搜索原始设备(raw disk)找到了rpc.wall的源代码。入侵者很好地删除了原来的源代码,不仅释放了inode,也清除了内容本身。但是在编译过程中没有使用gcc -pipe,预编译代码被写入一个临时文件,最终传递给编译器。尽管这个临时文件由编译器删除了,但这种删除未能清除内容本身,通过读取原始设备可以还原出来。
分析这个源代码后,发现它能进行"stream"、"mstream"攻击。mstream攻击显然是多个IP同时进行stream攻击。我们相信这将导致比先前所见更大范围的DDoS攻击。还原出来的源代码附在报告尾部。
此刻我们意识到这是相当重要的证据,于是用dd将整个文件系统复制出来,通过网络传输到笔记本电脑上。然后可以只读mount这个文件继续检查 在/bin/下发现名为flukek.tgz的rootkit。它替换了cron、in.timed、inetd、login、named、passwd、rshd、syslogd、tcpd等等。下列文件自系统安装以来被增加到/bin、/sbin、/usr/bin以及/usr/sbin中。似乎没有文件被增加到/usr/libexec或/usr/local中。列出的时间是inode change times,/usr/bin/old似乎是以前的login-rw-r--r-- 1 root wheel 2387704 Dec 18 16:37 bin/flukek.tgz
-r-sr-xr-x 1 root daemon 12656 Apr 13 23:39 bin/login
-rw-r--r-- 1 root wheel 1401 Apr 24 12:11 usr/bin/...
-rwsr-xr-x 1 root wheel 20164 Mar 31 14:50 usr/bin/old
-rwxr-xr-x 1 root wheel 33610 Apr 13 23:37 usr/bin/rpc.wall
-rwxr-xr-x 1 root wheel 32727 Apr 5 21:56 usr/bin/xfs
-r-xr-xr-x 1 root daemon 20164 Mar 31 14:50 usr/bin/xstat
-rwxr-xr-x 1 root wheel 111500 Mar 31 20:09 usr/sbin/dnskeygen
-rwxr-xr-x 1 root wheel 266712 Mar 31 20:09 usr/sbin/irpd
-rwxr-xr-x 1 root wheel 528612 Mar 31 20:09 usr/sbin/named
-rwxr-xr-x 1 root wheel 7166 Mar 31 20:09 usr/sbin/named-bootconf
-rwxr-xr-x 1 root wheel 285076 Mar 31 20:09 usr/sbin/named-xfer
-rwxr-xr-x 1 root wheel 37056 Mar 31 20:09 usr/sbin/ndc
- ››分布式计算多机部署与配置
- ››分布式单词发音抓取机器人
- ››服务层
- ››分布式网络爬虫关键技术分析与实现一网络爬虫相关...
- ››拒绝凑合看 时下流行观影方式面面观
- ››服务器群集:Windows 2000 和 Windows Server 200...
- ››服务器维护经验谈 图解DHCP故障排除
- ››分布式 DBA: 创建和使用分区表
- ››分布式 Key-Value 存储系统:Cassandra 入门
- ››分布式 DBA: Cursor Stability Isolation Level 的...
- ››拒绝91告别白苹果 iPhone软件安装教程
- ››服务器虚拟化后需要完成的八大关键任务
更多精彩
赞助商链接