当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > Rootkit分析(1)

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 Rootkit分析(1)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 49 ::
收藏到网摘: n/a

简介

t0rn是一个lrn风格的Linux特洛伊木马,作者j0hnny7 / zho-d0h。2001年4月左右引起世界关注的狮子蠕虫的第一版就使用了这个rootkit。本文将对这个rootkit进行分析,以及如何对其进行检测。

t0rn采用二进制方式进行散发,因此攻击者可以非常容易地将其安装到Linux系统中,只要执行./t0rn就可以了。在其二进制发布包中除了一组系统应用程序的特洛伊版本外,还包括一个日志清理程序t0rnsb,一个嗅探器程序t0rns和一个日志语法分析程序t0rnp。


细节



t0rn的组成

我们首先看一看t0rn的包含的文件,各个文件的属性以及它们的作用:


drwxr-xr-x 4096 .t0rn
drwxr-xr-x 4096 dev
--------以下是特洛伊木马程序------------
-rwxr-xr-x 22460 du
-rwxr-xr-x 57452 find
-rwxr-xr-x 32728 ifconfig
-rwxr-xr-x 6408 in.fingerd
-rwxr-xr-x 3964 login
-rwxr-xr-x 39484 ls
-rwxr-xr-x 53364 netstat
-rwxr-xr-x 31336 ps
-rwxr-xr-x 13184 pstree
-rw-r--r-- 100424 ssh.tgz<--就是.t0rn目录的压缩包。
-rwxr-xr-x 266140 top
-------以上是特洛伊木马程序-----------
-rwxr-xr-x 4568 pg<--对密码进行处理
-rwxr-xr-x 1382 sz<--shell脚本文件,处理特洛伊木马程序的大小。t0rn rootkit使用这个脚本在木马程序中填加0,使其大小等于被替代的系统程序,作者:Tragedy/Dor。
-rwxr-xr-x 7877 t0rn<--shell脚本文件,用于启动t0rn rootkit。
-rwxr-xr-x 7578 t0rnp<--perl脚本文件,作者Jav。用于为LinSniffer的输出进行排序。
-rwxr-xr-x 6948 t0rns<--网络嗅探器程序,可能就是LinSniffer或者其变体,理由在上面。^_^
-rwxr-xr-x 1345 t0rnsb<--shell脚本文件,用于日志清理。原名sauber,作者:socked。
-rw-r--r-- 3095 tornkit-README<--当然是教唆文件了。:)
-rw-r--r-- 197 tornkit-TODO<--将要改进的特征,可是现在还没有看到过新版的t0rn。

./.t0rn:
-rwxr-xr-x 201552 sharsed<--为其提供NIS或者DNS缓存服务的程序,可能就是一个nscd程序。
-rw-r--r-- 488 shdcf2<--默认的sshd配置文件
-rw-r--r-- 524 shhk<--ssh的私钥
-rw-r--r-- 328 shhk.pub<--ssh的公钥
-rw-r--r-- 512 shrs<--保存随机种子(Random Seed)的文件

./dev:
-rw-r--r-- 19 .1addr
-rw-r--r-- 72 .1file
-rw-r--r-- 21 .1logz
-rw-r--r-- 38 .1proc


安装完成之后,还会产生一个保存密码密文的文件/etc/ttyhash。


安装目录

t0rn rootkit安装完成之后,会在系统中建立以下目录:


/usr/src/.puta/<--保存t0rns、t0rnsb和t0rnp等可执行程序以及.1addr、.1file、.1logz、.1proc等文件。
/usr/info/.t0rn/<--保存sshd相关的文件。