○一个文件被一个进程打开被删除了(比如:一个日志文件)
○一个非常奇怪的进程名字
○一个进程被一个不存在的用户初始化或者被一个没有权限的用户初始化
第九步:可以进程的当前连接
我用pcat工具拷贝整个被进程所分配的内存.
(remote)#nc -l -p port > proc_id_compromised
(compromised)#/mnt/cdrom/pcat proc_id | /mnt/cdrom/nc (remote) port
(remote)#md5 proc_ip_compromised > proc_ip_compromised.md5
其实,我可以只拷贝进程的特定数据.更多的信息请看下一节.
第十步:非安全系统的有用信息
下一步就是我们来收集大量非安全系统的有用信息.
这些信息需要适当的描述并且准备一个系统文件的拷贝.紧记,所有的结果都必须发送到远程主机上.在表2中我已经列举了所有必须在非安全系统是运行的命令.
Table 3: Useful information about the compromised host
Command
Description
/mnt/cdrom/cat /proc/version
Version of the operating system
/mnt/cdrom/cat /proc/sys/kernel/name
Host name
/mnt/cdrom/cat /proc/sys/kernel/domainame
Domain name
/mnt/cdrom/cat /proc/cpuinfo
Information about hardware
/mnt/cdrom/cat /proc/swaps
All swap partitions
mnt/cdrom/cat /proc/partitions
All local file systems
/mnt/cdrom/cat /proc/self/mounts
Mounted file systems
mnt/cdrom/cat /proc/uptime
Uptime
第十一步:当前时间
最后一步是关于当前时间信息的收集.
(remote)#nc -l -p port > end_time
(compromised)# /mnt/cdrom/date | /mnt/cdrom/nc (remote) port
现在我们到了可以关闭系统非安全系统的时候了.请注意,不要用任何shutdown或init命令来关闭系统.而要采取直接拔掉电缆或UPS电源的方法强行关闭.
2.4 文件系统镜象
在关闭非安全系统前我们是应该建立整个文件系统拷贝核交换分区的拷贝的,但我们并没有这么做.我建议在关闭系统之后在完成这件事.这样我们可以确保非安全系统的内存不在被修改.再需要提及的是,交换分区的内容在我们的获取进程进行时依然会被修改或被重写.
下一步是将可启动设备挂接到系统上并从中运行操作系统.我们可以使用Linux的默认设置不加载本地文件系统.现在我们可以从这一点上拷贝整个本地分区或整个硬盘.
2.5 基础数据分析
现在让我们再考虑一下在第八步中进程,在那里我们使用了lsof工具.让我们对此情况再深入地分析一下并考虑两个例子:
例1:一个被删除的程序开辟了进程
在这种情况下,被已经初始化了进程的Linux文件仍然在内存中被分配空间.为了恢复文件我们必须知道由程序建立的进程的ID.在/proc/目录下可以找到这个可执行文件.这是个被删除文件副本.我们将它发送到远程主机上.
当我们恢复了文件我们可以从得到一些信息.有两个操作可选:反汇编进行静态分析,或者在可控制的环境下运行这个未知文件进行动态分析.
例2.被活动的进程打开的文件被删除了(如日志文件)
lsof返回的部分结果如下:
smbd 3137 root rtd DIR 8,1 4096 2 /
smbd 3137 root txt REG 8,1 672527 92030 /usr/bin/smbd -D
smbd 3137 root mem REG 8,1 485171 44656 /lib/ld-2.2.4.so
...
smbd 3137 root 16u IPv4 976 TCP *:https (LISTEN)
smbd 3137 root 17u IPv4 977 TCP *:http (LISTEN)
...
smbd 3137 root 20w REG 8,1 253 46934 /var/log/httpd/access_log (deleted)
...
为了恢复此文件还要从/proc/3137目录下列出软驱子目录(文件描述符)的内容
(remote)# nc -l -p port > ls_from_proc_3137
(compromised)# /mnt/cdrom/ls -la /proc/3137/fd/ | /mnt/cdrom/nc (remote) port
(remote)# more ls_from_proc_3137
上一页 [1] [2] [3] [4] [5] 下一页 [MySql]联机的Linux的系统分析(第一部分)(第一版)
|