分布式拒绝服务攻击工具mstream(3)

　2006-07-04 20:26:53　来源：WEB开发网　　　

核心提示： 用strings命令观察/bin/ls和/bin/ps，显示rootkit配置文件分别是 /usr/libexec/awk/files.awk和/usr/libexec/awk/ps.awk，分布式拒绝服务攻击工具mstream(3)(5)，另一个配置文件是前面提到的/usr/libex

用strings命令观察/bin/ls和/bin/ps，显示rootkit配置文件分别是 /usr/libexec/awk/files.awk和/usr/libexec/awk/ps.awk。另一个配置文件是前面提到的/usr/libexec/awk/addy.awk。

一个有用的窍门在于标准Linux rootkit编译时(由Makefile决定)保留了调试信息
-------------------------------------------------------------------------- . . . ls.c /home/XXXXX/stuff/lrk4/fileutils-3.13/src/ gcc2_compiled. int:t1=r1;-2147483648;2147483647; char:t2=r2;0;127; . . . --------------------------------------------------------------------------

本机并未使用telnetd支持远程登录，而是SSH。入侵者在/etc/inetd.conf中增加了如下内容
-------------------------------------------------------------------------- . . . #finger stream tcp nowait root /usr/sbin/tcpd in.fingerd #cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx #netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet working stream tcp nowait root /usr/sbin/tcpd in.telnetd . . . --------------------------------------------------------------------------

然后在/etc/services中增加了如下内容
-------------------------------------------------------------------------- working 1120/tcp # Kerberos working daemon --------------------------------------------------------------------------

用lsof可以看到这个侦听端口
-------------------------------------------------------------------------- inetd 353 root 4u IPv4 375 UDP *:talk inetd 353 root 5u IPv4 376 UDP *:ntalk inetd 353 root 6u IPv4 377 TCP *:working (LISTEN) inetd 353 root 8u IPv4 378 TCP *:time (LISTEN) inetd 353 root 10u IPv4 379 UDP *:time inetd 353 root 11u IPv4 380 TCP *:auth (LISTEN) inetd 353 root 12u IPv4 381 TCP *:linuxconf (LISTEN) -------------------------------------------------------------------------