打印本文 打印本文 关闭窗口 关闭窗口
Linux_Lion病毒分析
作者:武汉SEO闵涛  文章来源:敏韬网  点击数2070  更新时间:2009/4/22 20:45:10  文章录入:mintao  责任编辑:mintao
/sbin/ifconfig
/usr/bin/du
/bin/netstat
/usr/bin/top
/bin/ls
/usr/bin/find
注意:William Sterns写了一个软件lionfind-0.1.tar.gz检查系统是否被狮子v1.0感染

lionv2.0
BIND exploit改变的内容:
/dev/.lib/ 目录及其内容
/etc/inetd.conf 文件中加入 ''''1008 stream tcp nowait root /bin/sh sh''''
/.bash_history 被删除
/var/log/messages 被截断
/var/log/maillog 被截断

蠕虫脚本改变的文件:
/etc/rc.d/rc.sysinit 文件中加入 ''''/dev/.lib/lib/scan/star.sh'''' (wrong directory buddy)
/etc/hosts.deny i被删除(an empty placeholder file is present by default)

lionv3.0
/dev/.lib/ 目录及其内容
/etc/inetd.conf 文件中加入 ''''10008 stream tcp nowait root /bin/sh sh''''
/.bash_history 被删除
/var/log/messages 被截断
/var/log/maillog被删除
所有的index.html文件被''''Powered by H.U.C(c0011i0n).-----1i0n Crew''''覆盖

蠕虫脚本改变的文件:
/sbin/asp被加入到系统 (lite webserver to allow download of worm to next system)
/tmp/ramen.tgz文件(Lion worm author used the asp62 binary from the Ramen worm)
/etc/inetd.conf 文件中加入 ''''asp stream tcp nowait root /sbin/asp''''
/etc/rc.d/rc.sysinit 文件中加入 ''''/dev/.lib/star.sh''''
/etc/hosts.deny 被删除(用一个空的文件取代)
所有的index.html 文件被"lion crew" 反日信息取代


下面这些端口是狮子蠕虫的后门,而其1.0版的后门特别多。
lion v1.0
telnetd程序在23/TCP端口监听,使用cnhonker作为密码登录,来自t0rn rootkit。
/bin/sh绑定到1008/TCP端口,来自BIND8攻击程序。
/bin/sh绑定到2555/TCP端口,来自t0rn rootkit,由in.fingerd程序的特洛伊木马版本激活。
/bin/sh绑定到33567/TCP端口,来自t0rn。
sshd在33568/TCP端口监听,使用cnhonker作为密码登录,来自t0rn rootkit。
/bin/sh绑定到60008/TCP端口,来自t0rn。

lion v2.0
/bin/sh绑定到1008端口,来自BIND8攻击程序。

lion v3.0
/bin/sh绑定到1008端口,来自BIND8攻击程序。
/sbin/asp绑定到27374/TCP端口,一个轻量级的WEB服务器,用来下载蠕虫。


检测
使用下面的snort arachNIDS规则能够检测蠕虫的感染。

pscan使用如下规则启动snort的端口扫描插件:
preprocessor portscan: $INTERNAL 3 5 /var/log/snort/portscan

BIND infoleak权限使用如下规则集来检测:
alert UDP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS482/named-exploit-infoleak-lsd"; content: "|AB
CD 09 80 00 00 00 01 00 00 00 00 00 00 01 00 01 20 20 20 20 02 61|"; reference:arachnids,482;)

BIND8 TSIG缓冲区溢出使用下面arachNIDS规则检测:
alert UDP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS489/named-exploit-tsig-lsd"; content: "|3F
909090 EB3B 31DB 5F 83EF7C 8D7710 897704 8D4F20|"; reference:arachnids,489;)

向外发的邮件也可以检测。然而,加入邮件检测对于IDS的性能得不偿失。而且,在不出发上面规则的情况下蠕虫无法发出邮件。

也是一个简单利用漏洞利用的病毒,通过大量的SHELL脚本支持达到攻击自动化,没用到深入的系统调用,母版,个人觉得写的不好,没新异,哈

上一页  [1] [2] 

打印本文 打印本文 关闭窗口 关闭窗口