廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 5398 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
pigpig5442
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
文章表情[UNIX] Unix 後門程式檢查 ......
A. [概述]

(1) 入侵者會在你的 Unix 機器上借由 /etc/inittab 或是 /etc/rc.d/rc.sysinit
執行以下的程式

# X11R6 Control Daemon
xc::once:/sbin/xc -q

或是

# X11R6 Control Daemon
# /sbin/xc -q 1>/dev/null 2>/dev/null

(2) 其實它是一支 ssh 的 daemon 程式 (常駐在 60000 或是 55559 或是這中間的 TCP
Port) , 入侵者透過產生的 public key 來讓他從端遠使用 root 的身分來登入你的機
器 , 然後它就可以做他想做的事 .....

(3) 推測可能是透過 SSH 服務裡面的 OpenSSL 的 Buffer Overflow 來入侵的 , 躲在
Firewall 或是 IP-Sharing 後面的目前都沒有事



B. [病情]

(1) ls -al /sbin/xc => 這支程式存在
(2) ls -al /dev/fdg => 這個目錄存在
(3) vi /etc/inittab 或是 vi /etc/rc.d/rc.sysinit => 最後面有以上的內容



C . [清除]

(1) 修改 /etc/inittab 或是 /etc/rc.d/rc.sysinit 清除以上的內容
(2) 砍掉 /sbin/xc
(3) 砍掉 /dev/fdg 目錄
(4) 殺掉 /sbin/xc 這個 Process => "killall -9 xc"
(5) 重新執行 sshd => "/etc/init.d/sshd restart"
(6) 最後執行 "nmap localhost -p1-65535" 來掃描看看使否還有其他不正常的 Port
(如 port : 60000)


[ 此文章被andyz在2005-05-18 20:03重新編輯 ]



獻花 x0 回到頂端 [樓 主] From:台灣數位聯合 | Posted:2005-03-21 02:37 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.057074 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言