Linux_Lion病毒分析_MySql_学习笔记★闵涛★计算机学习电脑编程软硬件技巧


	转至繁体中文版	\| 网站首页 \| 图文教程 \| 资源下载 \| 站长博客 \| 图片素材 \| 武汉seo \| 武汉网站优化 \|

Linux_Lion病毒分析

作者：闵涛文章来源：闵涛的学习笔记点击数：1661 更新时间：2009/4/22 20:45:10

/sbin/ifconfig
/usr/bin/du
/bin/netstat
/usr/bin/top
/bin/ls
/usr/bin/find
注意：William Sterns写了一个软件lionfind-0.1.tar.gz检查系统是否被狮子v1.0感染

lionv2.0
BIND exploit改变的内容:
/dev/.lib/ 目录及其内容
/etc/inetd.conf 文件中加入 ''''1008 stream tcp nowait root /bin/sh sh''''
/.bash_history 被删除
/var/log/messages 被截断
/var/log/maillog 被截断

蠕虫脚本改变的文件:
/etc/rc.d/rc.sysinit 文件中加入 ''''/dev/.lib/lib/scan/star.sh'''' (wrong directory buddy)
/etc/hosts.deny i被删除(an empty placeholder file is present by default)

lionv3.0
/dev/.lib/ 目录及其内容
/etc/inetd.conf 文件中加入 ''''10008 stream tcp nowait root /bin/sh sh''''
/.bash_history 被删除
/var/log/messages 被截断
/var/log/maillog被删除
所有的index.html文件被''''Powered by H.U.C(c0011i0n).-----1i0n Crew''''覆盖

蠕虫脚本改变的文件：
/sbin/asp被加入到系统 (lite webserver to allow download of worm to next system)
/tmp/ramen.tgz文件(Lion worm author used the asp62 binary from the Ramen worm)
/etc/inetd.conf 文件中加入 ''''asp stream tcp nowait root /sbin/asp''''
/etc/rc.d/rc.sysinit 文件中加入 ''''/dev/.lib/star.sh''''
/etc/hosts.deny 被删除(用一个空的文件取代)
所有的index.html 文件被"lion crew" 反日信息取代

下面这些端口是狮子蠕虫的后门，而其1.0版的后门特别多。
lion v1.0
telnetd程序在23/TCP端口监听，使用cnhonker作为密码登录，来自t0rn rootkit。
/bin/sh绑定到1008/TCP端口，来自BIND8攻击程序。
/bin/sh绑定到2555/TCP端口，来自t0rn rootkit，由in.fingerd程序的特洛伊木马版本激活。
/bin/sh绑定到33567/TCP端口，来自t0rn。
sshd在33568/TCP端口监听，使用cnhonker作为密码登录，来自t0rn rootkit。
/bin/sh绑定到60008/TCP端口，来自t0rn。

lion v2.0
/bin/sh绑定到1008端口，来自BIND8攻击程序。

lion v3.0
/bin/sh绑定到1008端口，来自BIND8攻击程序。
/sbin/asp绑定到27374/TCP端口，一个轻量级的WEB服务器，用来下载蠕虫。

检测
使用下面的snort arachNIDS规则能够检测蠕虫的感染。

pscan使用如下规则启动snort的端口扫描插件：
preprocessor portscan: $INTERNAL 3 5 /var/log/snort/portscan

BIND infoleak权限使用如下规则集来检测：
alert UDP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS482/named-exploit-infoleak-lsd"; content: "|AB
CD 09 80 00 00 00 01 00 00 00 00 00 00 01 00 01 20 20 20 20 02 61|"; reference:arachnids,482;)

BIND8 TSIG缓冲区溢出使用下面arachNIDS规则检测：
alert UDP $EXTERNAL any -> $INTERNAL 53 (msg: "IDS489/named-exploit-tsig-lsd"; content: "|3F
909090 EB3B 31DB 5F 83EF7C 8D7710 897704 8D4F20|"; reference:arachnids,489;)

向外发的邮件也可以检测。然而，加入邮件检测对于IDS的性能得不偿失。而且，在不出发上面规则的情况下蠕虫无法发出邮件。

也是一个简单利用漏洞利用的病毒，通过大量的SHELL脚本支持达到攻击自动化，没用到深入的系统调用，母版，个人觉得写的不好，没新异，哈

上一页 [1] [2]

没有相关教程

教程录入：mintao 责任编辑：mintao

上一篇教程：利用openvpn+linux快速建立企业VPN

下一篇教程：理解 Linux 配置文件

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

注：本站部分文章源于互联网，版权归原作者所有！如有侵权，请原作者与本站联系，本站将立即删除！本站文章除特别注明外均可转载，但需注明出处！ [MinTao学以致用网]