广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 5409 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
pigpig5442
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x13
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
文章表情[UNIX] Unix 后门程式检查 ......
A. [概述]

(1) 入侵者会在你的 Unix 机器上借由 /etc/inittab 或是 /etc/rc.d/rc.sysinit
执行以下的程式

# X11R6 Control Daemon
xc::once:/sbin/xc -q

或是

# X11R6 Control Daemon
# /sbin/xc -q 1>/dev/null 2>/dev/null

(2) 其实它是一支 ssh 的 daemon 程式 (常驻在 60000 或是 55559 或是这中间的 TCP
Port) , 入侵者透过产生的 public key 来让他从端远使用 root 的身分来登入你的机
器 , 然后它就可以做他想做的事 .....

(3) 推测可能是透过 SSH 服务里面的 OpenSSL 的 Buffer Overflow 来入侵的 , 躲在
Firewall 或是 IP-Sharing 后面的目前都没有事



B. [病情]

(1) ls -al /sbin/xc => 这支程式存在
(2) ls -al /dev/fdg => 这个目录存在
(3) vi /etc/inittab 或是 vi /etc/rc.d/rc.sysinit => 最后面有以上的内容



C . [清除]

(1) 修改 /etc/inittab 或是 /etc/rc.d/rc.sysinit 清除以上的内容
(2) 砍掉 /sbin/xc
(3) 砍掉 /dev/fdg 目录
(4) 杀掉 /sbin/xc 这个 Process => "killall -9 xc"
(5) 重新执行 sshd => "/etc/init.d/sshd restart"
(6) 最后执行 "nmap localhost -p1-65535" 来扫描看看使否还有其他不正常的 Port
(如 port : 60000)


[ 此文章被andyz在2005-05-18 20:03重新编辑 ]



献花 x0 回到顶端 [楼 主] From:台湾数位联合 | Posted:2005-03-21 02:37 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.075498 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言