分布式拒绝服务攻击工具mstream(3)

核心提示： 从这个输出中可以观察到如下信息2000年4月13号16:02创建/bin/login、运行/bin/chown与此同时，运行gcc/egcs进行编译，分布式拒绝服务攻击工具mstream(3)(4)，创建了/bin/old和/bin/xstat，.h文件的Access times表明被编译

从这个输出中可以观察到如下信息

2000年4月13号16:02创建/bin/login、运行/bin/chown

与此同时，运行gcc/egcs进行编译，创建了/bin/old和/bin/xstat。.h文件的Access times表明被编译的程序使用了socket

接下来/etc/rc.d/rc.local被修改，在最后增加了一行"/usr/bin/rpc.wall"，于是每次重启系统时都会自动启动Agent。ncftp日志文件被修改(先删除，然后符号 链接到/dev/null以阻止ncftp文件传输日志产生)

程序/usr/bin/rpc.wall被修改，C运行时库被访问过，这意味着rpc.wall运行过。

4月15号05:55，似乎有一次针对本机的ADM named远程缓冲区溢出攻击，然后访问 tcpd wrapped service激活in.telnetd。rootkit的配置文件/usr/libexec/awk/addy.awk也被访问过。我们不清楚这是否仅仅碰巧是第三次入侵企图。

6秒后/usr/bin/pico被运行，vt200终端类型。既然被安装了特洛伊木马的login包含"vt200"字符串，可以确认远程root shell后门至少两天前就安装好了。

管理员只删除了/etc/passwd中的"inertia"帐号，并未删除/etc/shadow中的相应内容

--------------------------------------------------------------------------
inertia:iUCNir1cd8pI2:::::::
--------------------------------------------------------------------------

不到1秒就破解出这个口令"hi" 用strings命令观察/bin/login，带有典型的特洛伊木马特征，一个非标准命令(这里 是/usr/bin/xstat)和一个嵌入式终端类型(vt200)用于激活远程root shell
--------------------------------------------------------------------------
. . .
login
/bin/sh
/usr/bin/xstat
TERM
bcshjvmudzwxftejk
vt200
%s=%s
init.c
. . .
--------------------------------------------------------------------------