信息来源:rootshell
文章作者:rootshell
一:事件背景
XXXXXXXXXXXXXX所属网站
www.xxxxxxxx.net和mail.xxxxxxxx.net于2001年5月到6月期间网络管理人员发现服务器被装上SNIFFER,怀疑遭到黑客入侵。在此情况下,XX有限公司于2001年6月12日受XXXXXXXXXXXXXX的委托,前往机房现场取证。
二:服务器基本情况以及已获取资料
该
www.xxxxxxxx.net和mail.xxxxxxxx.net服务器操作系统均为Red Hat Linux 6.2的默认安装配置,默认安装开放HTTP,RPC,FTP,DNS等通常被攻击者所利用易于攻击的服务。我方技术员提取了 /var/log目录下的2001年5月13日至 6月12日之间的部分日志记录和经过现场分析后发现被入侵者所放置的部分程序。
三:分析
由于
www.xxxxxxxx.net和mail.xxxxxxxx.net服务器受入侵后的直接现象为被放上SNIFFER,所以可以判断入侵者已经获得root权限,由于系统是默认安装的,默认安装情况下存在Wuftpd 2.6.0,rpc.statd,BIND 8.2.x TSIG等远程获得root权限的缓冲溢出漏洞。于是我公司技术人员对该两台服务器的2001年5月13日至 6月12日的日志文件进行详细的分析和过滤,得出以下结论:
从结合分析日志记录和入侵者所放置的部分程序可知,该攻击者是在5月13日之前已经成功入侵系统,并安放上后门,但由于该服务器并不存在5月13日之前的日志,而且该网络也并没有安装FIREWALL,IDS等安全设备,所以还不能判定该入侵者到底使用了以上的哪一远程漏洞获得root权限,但从分析该入侵者留下的部分程序,可以判断出该入侵者已经安全了后门,并替换了部分管理系统的命令进行隐藏入侵者所运行的程序(如:SNIFFER),所留下的程序的分析如下:
www.xxxxxxxx.net服务器所留下的程序
/dev/.arctic/back是一监听1337的后门程序,只要在服务器运行之后,入侵者连接上该服务器的1337端口,输入密码信息,就可以再次进入系统.
/dev/.arctic/penguin是一监听1030的SSH后门程序,只要在服务器配置好SSH后,入侵者可通过SSH客户端程序,再次进入系统
/dev/.florin目录下存放的是一个监听31337端口的名为psyBNC的IRC软件和配置文件,外国黑客通常用来聊天所用.
mail.xxxxxxxx.net服务器所留下的程序
/dev/.arctic目录下存在的文件和WWW服务器的文件一样
/dev/.florin/znifer是一个LinSniffer 0.03 [BETA]版SNIFFER工具,它被使用来SNIFFER该MAIL服务器的143端口IMAP服务的通信,获得该MAIL服务器的邮箱帐号密码
/dev/.florin/tcp.log是该SNIFFER所捕获的IMAP服务登录通信包,总共里面含有1000多个邮箱帐号密码
/dev/.florin/show是从以上产生的tcp.log文件中提取出帐号和密码,命令格式为:
show –d tcp.log就会排列出所捕获的帐号和密码列表
从结合分析以上入侵者所留下的文件和现场运行命令返回的结果可知,该入侵者至少还替换了系统的/bin/ps,/bin/ls,/bin/netstat等系统管理命令;从中了解了入侵者所留下的后门程序后,再次分析系统的日志,发现入侵者部分后门的启动记录和尝试连接后门记录;
www.xxxxxxxx.net服务器记录如下:
May 16 09:25:06 www penguin[705]: log: Server listening on port 1030.
May 16 09:25:06 www penguin[705]: log: Generating 768 bit RSA key.
May 16 09:25:07 www penguin[705]: log: RSA key generation complete.
May 16 09:43:18 www penguin[690]: log: Server listening on port 1030.
May 16 09:43:18 www penguin[690]: log: Generating 768 bit RSA key.
May 16 09:43:19 www penguin[690]: log: RSA key generation complete.
May 16 15:10:13 www penguin[704]: log: Server listening on port 1030.
May 16 15:10:13 www penguin[704]: log: Generating 768 bit RSA key.
May 16 15:10:14 www penguin[704]: log: RSA key generation complete.
May 19 14:59:59 www penguin[2054]: log: Connection from 194.102.235.145 port 3398
May 19 15:00:27 www penguin[2054]: log: Password authentication for root failed.
May 19 15:00:27 www penguin[2054]: log: Closing connection to 194.102.235.145
May 19 15:10:14 www penguin[704]: log: Generating new 768 bit RSA key.
May 19 15:10:14 www penguin[704]: log: RSA key generation complete.
May 23 16:43:16 www penguin[3005]: log: Server listening on port 1030.
May 23 16:43:16 www penguin[3005]: log: Generating 768 bit RSA key.
May 23 16:43:16 www penguin[3005]: log: RSA key generation complete.
May 26 12:47:15 www penguin[24203]: log: Password authentication for root failed.
May 26 12:47:15 www penguin[24203]: log: Closing connection to 194.102.235.60
May 26 13:22:20 www penguin[24203]: fatal: Read error from remote host: Connection reset by peer
May 26 13:43:16 www penguin[3005]: log: Generating new 768 bit RSA key.
May 26 13:43:16 www penguin[3005]: log: RSA key generation complete.
Jun 1 14:49:21 www penguin[1770]: log: Connection from 194.102.235.55 port 2467
Jun 1 14:49:31 www penguin[1770]: log: Password authentication for root failed.
Jun 1 14:49:31 www penguin[1770]: log: Closing connection to 194.102.235.55
Jun 1 15:43:16 www penguin[3005]: log: Generating new 768 bit RSA key.
Jun 1 15:43:16 www penguin[3005]: log: RSA key generation complete.
Jun 10 15:02:37 www penguin[11881]: log: Connection from 194.102.235.145 port 1069
Jun 10 15:02:57 www penguin[11882]: log: Connection from 194.102.235.145 port 1070
Jun 10 15:02:59 www penguin[11881]: fatal: Did not receive ident string.
Jun 10 15:03:37 www penguin[11882]: log: Password authentication for root failed.
Jun 10 15:03:37 www penguin[11882]: log: Closing connection to 194.102.235.145
Jun 10 15:43:16 www penguin[3005]: log: Generating new 768 bit RSA key.
Jun 10 15:43:17 www penguin[3005]: log: RSA key generation complete.
mail.xxxxxxxx.net服务器记录如下:
May 16 09:41:22 mail penguin[650]: log: Server listening on port 1030.
May 16 09:41:22 mail penguin[650]: log: Generating 768 bit RSA key.
May 16 09:41:22 mail penguin[652]: error: bind: Address already in use
May 16 09:41:22 mail penguin[652]: fatal: Bind to port 1030 failed: Transport endpoint is not connected.
May 16 09:41:22 mail penguin[650]: log: RSA key generation complete.
May 16 15:11:08 mail penguin[651]: log: Server listening on port 1030.
May 16 15:11:08 mail penguin[649]: log: Server listening on port 1030.
May 16 15:11:08 mail penguin[651]: log: Generating 768 bit RSA key.
May 16 15:11:08 mail penguin[649]: log: Generating 768 bit RSA key.
May 16 15:11:09 mail penguin[651]: log: RSA key generation complete.
May 16 15:11:09 mail penguin[649]: log: RSA key generation complete.
May 17 17:58:39 mail penguin[571]: log: Server listening on port 1030.
May 17 17:58:39 mail penguin[573]: log: Server listening on port 1030.
May 17 17:58:39 mail penguin[571]: log: Generating 768 bit RSA key.
May 17 17:58:39 mail penguin[573]: log: Generating 768 bit RSA key.
May 17 17:58:39 mail penguin[571]: log: RSA key generation complete.
May 17 17:58:39 mail penguin[573]: log: RSA key generation complete.
May 18 09:06:25 mail penguin[555]: log: Server listening on port 1030.
May 18 09:06:25 mail penguin[557]: log: Server listening on port 1030.
May 18 09:06:25 mail penguin[555]: log: Generating 768 bit RSA key.
May 18 09:06:25 mail penguin[557]: log: Generating 768 bit RSA key.
May 18 09:06:25 mail penguin[557]: log: RSA key generation complete.
May 18 09:06:25 mail penguin[555]: log: RSA key generation complete.
May 18 09:25:15 mail penguin[555]: log: Server listening on port 1030.
May 18 09:25:15 mail penguin[553]: log: Server listening on port 1030.
May 18 09:25:15 mail penguin[555]: log: Generating 768 bit RSA key.
May 18 09:25:15 mail penguin[553]: log: Generating 768 bit RSA key.
May 18 09:25:15 mail penguin[553]: log: RSA key generation complete.
May 18 09:25:15 mail penguin[555]: log: RSA key generation complete.
May 19 15:09:37 mail penguin[4867]: log: Connection from 194.102.235.145 port 3399
May 19 15:09:49 mail penguin[4867]: log: Password authentication for root failed.
May 19 15:09:49 mail penguin[4867]: log: Closing connection to 194.102.235.145
May 19 15:10:37 mail kernel: znifer uses obsolete (PF_INET,SOCK_PACKET)
May 19 15:10:37 mail kernel: device eth0 entered promiscuous mode
May 19 15:25:15 mail penguin[553]: log: Generating new 768 bit RSA key.
May 19 15:25:15 mail penguin[553]: log: RSA key generation complete.
May 25 13:10:57 mail penguin[556]: log: Server listening on port 1030.
May 25 13:10:57 mail penguin[554]: log: Server listening on port 1030.
May 25 13:10:57 mail penguin[554]: log: Generating 768 bit RSA key.
May 25 13:10:57 mail penguin[556]: log: Generating 768 bit RSA key.
May 25 13:10:57 mail penguin[556]: log: RSA key generation complete.
May 25 13:10:57 mail penguin[554]: log: RSA key generation complete.
May 26 13:09:08 mail penguin[556]: log: Server listening on port 1030.
May 26 13:09:08 mail penguin[554]: log: Server listening on port 1030.
May 26 13:09:08 mail penguin[556]: log: Generating 768 bit RSA key.
May 26 13:09:08 mail penguin[554]: log: Generating 768 bit RSA key.
May 26 13:09:08 mail penguin[556]: log: RSA key generation complete.
May 26 13:09:08 mail penguin[554]: log: RSA key generation complete.
从以上记录我们清楚的看到,该penguin后门与znifer的SNIFFER都已经被入侵者成功的放置,而且还有尝试连接的记录,怀疑是入侵者进行尝试连接后门监听程序,时间和IP分别为:
194.102.235.145(Gate.BoxYneT.Org) 2001-05-19,14:59:59 来自罗马尼亚
194.102.235.145(Gate.BoxYneT.Org) 2001-05-19,15:09:37 来自罗马尼亚
194.102.235.60(st11.euronet.repka.ro) 2001-05-26,12:47:15 来自罗马尼亚
194.102.235.55(st6.euronet.repka.ro) 2001-06-01,14:49:21 来自罗马尼亚
194.102.235.145(Gate.BoxYneT.Org) 2001-06-10,15:02:37 来自罗马尼亚
在分析以上记录日志时,还发现以下可疑日志信息:
May 14 14:27:59 www named[4818]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 15 17:48:49 www named[23358]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 16 09:25:04 www named[519]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 16 09:43:16 www named[504]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 16 15:10:11 www named[518]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 22 09:45:22 www named[18024]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 22 17:26:57 www named[24708]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 23 16:43:14 www named[2819]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
May 26 13:31:51 www named[26450]: starting. named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 ^
Iroot@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named
Jun 10 15:51:56 www named[19316]: starting (/etc/named.conf). named Powered_by_Raylight_Systems Sun Jun 10 15:50:23 HKT 2001 ^Iroot@
www.xxxxxxxx.net:/dev/.floryn/src/bin/named
Jun 11 14:50:32 www named[24311]: starting (/etc/named.conf). named Powered_by_Raylight_Systems Sun Jun 10 15:50:23 HKT 2001 ^Iroot@
www.xxxxxxxx.net:/dev/.floryn/src/bin/named
只要细心观察以上记录,你会发现2001年6月10日15:51:56该次启动DNS服务后,该版本信息已经与上次启动的版本信息不再相同,而且该启动的守护进程程序是在/dev/.floryn/src/bin/named该文件安装过来的,这表明该DNS服务守护进程程序已经被入侵者所修改.
四:结论
结合分析了两台服务器的日志,入侵者所安放的文件和相关的信息,关于XXXXXXXXXXXXXX的入侵事件,最后锁定重点对象IP为:
194.102.235.145(Gate.BoxYneT.Org) 2001-05-19,14:59:59 来自罗马尼亚
194.102.235.145(Gate.BoxYneT.Org) 2001-05-19,15:09:37 来自罗马尼亚
194.102.235.60(st11.euronet.repka.ro) 2001-05-26,12:47:15 来自罗马尼亚
194.102.235.55(st6.euronet.repka.ro) 2001-06-01,14:49:21 来自罗马尼亚
194.102.235.145(Gate.BoxYneT.Org) 2001-06-10,15:02:37 来自罗马尼亚
在这次入侵事件,由于入侵者安放了许多难于查找的后门和程序,建议网络管理员重新安装Linux下的部分工具包,甚至重新安装整个系统,做好整个网络的安全性。
XXXXXXXX
