打印本文 打印本文 关闭窗口 关闭窗口
联机的Linux的系统分析(第二部分)(第一版)
作者:武汉SEO闵涛  文章来源:敏韬网  点击数3225  更新时间:2009/4/22 20:45:22  文章录入:mintao  责任编辑:mintao
○一个文件被一个进程打开被删除了(比如:一个日志文件)

○一个非常奇怪的进程名字

○一个进程被一个不存在的用户初始化或者被一个没有权限的用户初始化

 

第九步:可以进程的当前连接

 

我用pcat工具拷贝整个被进程所分配的内存.

 

(remote)#nc -l -p port > proc_id_compromised

(compromised)#/mnt/cdrom/pcat proc_id | /mnt/cdrom/nc (remote) port

(remote)#md5 proc_ip_compromised > proc_ip_compromised.md5

 

其实,我可以只拷贝进程的特定数据.更多的信息请看下一节.

第十步:非安全系统的有用信息

下一步就是我们来收集大量非安全系统的有用信息.

这些信息需要适当的描述并且准备一个系统文件的拷贝.紧记,所有的结果都必须发送到远程主机上.在表2中我已经列举了所有必须在非安全系统是运行的命令.

 

Table 3: Useful information about the compromised host

Command

Description

/mnt/cdrom/cat /proc/version

Version of the operating system

/mnt/cdrom/cat /proc/sys/kernel/name

Host name

/mnt/cdrom/cat /proc/sys/kernel/domainame

Domain name

/mnt/cdrom/cat /proc/cpuinfo

Information about hardware

/mnt/cdrom/cat /proc/swaps

All swap partitions

mnt/cdrom/cat /proc/partitions

All local file systems

/mnt/cdrom/cat /proc/self/mounts

Mounted file systems

mnt/cdrom/cat /proc/uptime

Uptime

 

 

第十一步:当前时间

 

最后一步是关于当前时间信息的收集.

 

(remote)#nc -l -p port > end_time

(compromised)# /mnt/cdrom/date | /mnt/cdrom/nc (remote) port

 

现在我们到了可以关闭系统非安全系统的时候了.请注意,不要用任何shutdown或init命令来关闭系统.而要采取直接拔掉电缆或UPS电源的方法强行关闭.

 

2.4 文件系统镜象

 

在关闭非安全系统前我们是应该建立整个文件系统拷贝核交换分区的拷贝的,但我们并没有这么做.我建议在关闭系统之后在完成这件事.这样我们可以确保非安全系统的内存不在被修改.再需要提及的是,交换分区的内容在我们的获取进程进行时依然会被修改或被重写.

 

下一步是将可启动设备挂接到系统上并从中运行操作系统.我们可以使用Linux的默认设置不加载本地文件系统.现在我们可以从这一点上拷贝整个本地分区或整个硬盘.

 

2.5 基础数据分析

 

现在让我们再考虑一下在第八步中进程,在那里我们使用了lsof工具.让我们对此情况再深入地分析一下并考虑两个例子:

例1:一个被删除的程序开辟了进程

 

在这种情况下,被已经初始化了进程的Linux文件仍然在内存中被分配空间.为了恢复文件我们必须知道由程序建立的进程的ID.在/proc/目录下可以找到这个可执行文件.这是个被删除文件副本.我们将它发送到远程主机上.

 

当我们恢复了文件我们可以从得到一些信息.有两个操作可选:反汇编进行静态分析,或者在可控制的环境下运行这个未知文件进行动态分析.

 

例2.被活动的进程打开的文件被删除了(如日志文件)

 

lsof返回的部分结果如下:

 

smbd     3137  root  rtd    DIR     8,1     4096         2 /

smbd     3137  root  txt    REG     8,1   672527    92030  /usr/bin/smbd -D

smbd     3137  root  mem  REG     8,1   485171    44656  /lib/ld-2.2.4.so

...

smbd    3137  root   16u  IPv4      976                 TCP *:https (LISTEN)

smbd    3137  root   17u  IPv4      977                 TCP *:http (LISTEN)

...

smbd   3137  root   20w REG       8,1   253      46934 /var/log/httpd/access_log (deleted)

...

 

为了恢复此文件还要从/proc/3137目录下列出软驱子目录(文件描述符)的内容

(remote)# nc -l -p port > ls_from_proc_3137

(compromised)# /mnt/cdrom/ls -la /proc/3137/fd/ | /mnt/cdrom/nc (remote) port

(remote)# more ls_from_proc_3137

 

上一页  [1] [2] [3] [4] [5]  下一页

打印本文 打印本文 关闭窗口 关闭窗口