当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > Rootkit分析(1)

安全防护
如何正确预防网页中的5种“隐形杀手”
cpu散热技巧方法和六大误区
隐患起于灰尘!机箱内部风扇清理有妙招
电源常见故障判断分析与排除
主板常见故障分类及排除方法
绝杀病毒木马的好工具:ESET NOD32
三种方法解决IIS6目录检查漏洞
硬盘坏道故障实例解决
做好防范措施 让你的MP3拒绝病毒的入侵
彻底查杀网页病毒 断绝一切安全隐患
移动安全之手机病毒入侵的解决
中国PC用户个人上网十则网络安全指南
如何使tcp包和udp包穿透网络防火墙
细说iexplore.exe是进程还是病毒
如何用网络入侵检测系统防范黑客攻击
对Autorun.inf类U盘病毒的攻防经验总结
护花使者:远程修复MM的受损系统
绕过主动防御 木马病毒刺穿卡巴斯基
脚本图片类后门病毒的完美使用方法
QQ盗号木马USBINE.SYS暂时解决方法

安全防护 中的 Rootkit分析(1)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 33 ::
收藏到网摘: n/a

简介

t0rn是一个lrn风格的Linux特洛伊木马,作者j0hnny7 / zho-d0h。2001年4月左右引起世界关注的狮子蠕虫的第一版就使用了这个rootkit。本文将对这个rootkit进行分析,以及如何对其进行检测。

t0rn采用二进制方式进行散发,因此攻击者可以非常容易地将其安装到Linux系统中,只要执行./t0rn就可以了。在其二进制发布包中除了一组系统应用程序的特洛伊版本外,还包括一个日志清理程序t0rnsb,一个嗅探器程序t0rns和一个日志语法分析程序t0rnp。


细节



t0rn的组成

我们首先看一看t0rn的包含的文件,各个文件的属性以及它们的作用:


drwxr-xr-x 4096 .t0rn
drwxr-xr-x 4096 dev
--------以下是特洛伊木马程序------------
-rwxr-xr-x 22460 du
-rwxr-xr-x 57452 find
-rwxr-xr-x 32728 ifconfig
-rwxr-xr-x 6408 in.fingerd
-rwxr-xr-x 3964 login
-rwxr-xr-x 39484 ls
-rwxr-xr-x 53364 netstat
-rwxr-xr-x 31336 ps
-rwxr-xr-x 13184 pstree
-rw-r--r-- 100424 ssh.tgz<--就是.t0rn目录的压缩包。
-rwxr-xr-x 266140 top
-------以上是特洛伊木马程序-----------
-rwxr-xr-x 4568 pg<--对密码进行处理
-rwxr-xr-x 1382 sz<--shell脚本文件,处理特洛伊木马程序的大小。t0rn rootkit使用这个脚本在木马程序中填加0,使其大小等于被替代的系统程序,作者:Tragedy/Dor。
-rwxr-xr-x 7877 t0rn<--shell脚本文件,用于启动t0rn rootkit。
-rwxr-xr-x 7578 t0rnp<--perl脚本文件,作者Jav。用于为LinSniffer的输出进行排序。
-rwxr-xr-x 6948 t0rns<--网络嗅探器程序,可能就是LinSniffer或者其变体,理由在上面。^_^
-rwxr-xr-x 1345 t0rnsb<--shell脚本文件,用于日志清理。原名sauber,作者:socked。
-rw-r--r-- 3095 tornkit-README<--当然是教唆文件了。:)
-rw-r--r-- 197 tornkit-TODO<--将要改进的特征,可是现在还没有看到过新版的t0rn。

./.t0rn:
-rwxr-xr-x 201552 sharsed<--为其提供NIS或者DNS缓存服务的程序,可能就是一个nscd程序。
-rw-r--r-- 488 shdcf2<--默认的sshd配置文件
-rw-r--r-- 524 shhk<--ssh的私钥
-rw-r--r-- 328 shhk.pub<--ssh的公钥
-rw-r--r-- 512 shrs<--保存随机种子(Random Seed)的文件

./dev:
-rw-r--r-- 19 .1addr
-rw-r--r-- 72 .1file
-rw-r--r-- 21 .1logz
-rw-r--r-- 38 .1proc


安装完成之后,还会产生一个保存密码密文的文件/etc/ttyhash。


安装目录

t0rn rootkit安装完成之后,会在系统中建立以下目录:


/usr/src/.puta/<--保存t0rns、t0rnsb和t0rnp等可执行程序以及.1addr、.1file、.1logz、.1proc等文件。
/usr/info/.t0rn/<--保存sshd相关的文件。