這一天早上,接到 ISP 的電話,他通知我說,我的主機遭入侵,植入假 pay pal 信用卡釣魚網站,一開始我還以為他是詐騙集團,看了 MRTG 之後才發現,這幾天主機上面的人數流量大增,我還以為是 blog 上的網友...
開始追查,挖靠!!主機裡真的被放進了一個新網站,還真是著時的嚇了一跳,先拷貝一份起來(先求自保),在把 Apache 關掉,先研究一下這個假網站,不過還真做的一模一樣,大概過沒多久,我的信箱就多了一封信,原來是那個人已經發現網站被移除了,寫信過來罵我,FxxK U,接下來 root 的密碼就被改掉了,可見他不是經由 Apache 進來的,當下手摸著鍵盤,盯著螢幕發呆,可見我有點手足無措.....
呆了大概五分鐘之後,先想辦法把 root 權限奪回來吧!這時候 root 不管設什麼密碼都沒用了,雖然沒用不過還是有一些後續的事情要處理,沒有 root 辦不了事,打開 webmin 哈哈,沒想到還來這一招吧,先拿下 root ,安裝 chkrootkit ,抓到木馬!!
重點訊息如下:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
靠!! /sbin/init ,真夠狠,把他刪了就不能開機嘍,跑到大陸的駭客網站看一下到底是什麼手法,搜尋一下 Suckit rootkit 就找到了,還真是公開阿,原來這是一套核心溢位的的攻擊手法,2.4.18以下的都適用,而且還會在你的電腦裡放置"嗅探器",難怪我輸入什麼密碼都沒用,最強的是,你在 PS 裡完全看不到它在運行的程序,這裡有詳細方法(http://www.phrack.org/show.php?p=58&a=7),有興趣自己研究,而有使用 debian 的朋友,如果你還在用 2.4 的核心,建議你趕快升級一下吧!!不然的話被盯上可就不好了,因為 debian 官網也曾經被這種程式攻擊成功過(http://moto.debian.org.tw/viewtopic.php?t=2446)
主機關閉了幾天重灌,現在核心也已經更新完畢,加了兩道防火牆,等待下一次的挑戰吧!!(苦笑)
Suckit rootkit 進化核心 2.6
http://blog.linux.org.tw/~timhsu/archives/2005_03.html
