UNIX系统应急响应工具上(初级)

		当前位置：主页>Linux 应用>文章内容

UNIX系统应急响应工具上(初级)

来源：www.unix5.com 作者：riechelr_hl 发布时间：2007-05-21

$ strings apache | grep -i john /usr/share/john/password.lst /etc/john.ini ~/john.pot /etc/john.ini john John the Ripper Version 1.6 Copyright (c) 1996-98 by Solar Designer /etc/john.ini /etc/john.ini /etc/john.ini

　　用 strace -fp 'pgrep apache'（Deb3.0, RH8.0）， truss -fp 'pgrep apache'(Sol9)，或者 ktrace -dip (OBSD 3.2)，来察看apache进程到底在做什么。

# strace -fp `pgrep apache` --- SIGALRM (Alarm clock) --- sigreturn() = ? (mask now []) --- SIGALRM (Alarm clock) --- sigreturn() = ? (mask now []) --- SIGALRM (Alarm clock) --- sigreturn() = ? (mask now []) _llseek(4, 65536, [65536], SEEK_SET) = 0 read(4, "\2YUz\0\2Z\0241\0\2ZA1dkmnr\0\2ZDa\0\2ZElnrd"..., 4096) = 4096 read(4, "\2\5Ma\0\2\5Te\0\2\6\n(\0\2\6>%\0\2\10\n&\0\2\10\0210\0"..., 4096) = 4096 read(4, "IPVm\0\2(%L\0\2((H\0\2(/CMRBNTUWcr\0\2(5"..., 4096) = 4096 read(4, "fgq\0\2BCh26o\0\2BDaikmoy\0\2BEanreltc"..., 4096) = 4096 read(4, "ag\0\2N\23l\0\2N\25j\0\2N\0269\0\2N\30f\0\2N!ds\0\2N)"..., 4096) = 4096 read(4, "\0\2_9LRMTes\0\2_:6Z\0\2_>&%\0\2_?)Cw\0\2_"..., 4096) = 4096 read(4, "%Antv\0\2%Cr\0\2%Dd\0\2%Gg\0\2%Ke\0\2%Lls\0"..., 4096) = 4096 read(4, "rtlpbdgiuv\0\2GBeam\0\2GDuy\0\2GEnert\0"..., 4096) = 4096 read(4, "We6hilw\0\2RYasdpcgilmno\0\2S\0205c\0\2S\21"..., 4096) = 4096 read(4, "68jDxMEBTIRNLAGSKCPOqVHFUZWJ$%#^"..., 4096) = 4096 read(4, "\0022In\0\0022Ke\0\0022LiEe\0\0022Ma\0\0022NEe\0\0022P"..., 4096) = 4096 read(4, "I5y\0\2I6e\0\2I7ae\0\2IAnmrs9t67dhlpuz"..., 4096) = 4096 read(4, "Eprylsenbu9ak013ft!Lcox\0\2SFi9aey"..., 4096) = 4096 read(4, "o149dlytwMbckr0u\0\2_Xixae01537926"..., 4096) = 4096 read(4, "2\0\2-!NCLS\0\2-%RS\0\2-)ETDNS\0\2--M\0\2-"..., 4096) = 4096 read(4, "!*bfgk\0\2GJu\0\2GLeiayYs\0\2GMaAoegu\0"..., 4096) = 4096 read(4, "Utsdbgmpy\0\2PWa\0\2PXy\0\2PY1!27sy.05"..., 4096) = 4096 read(4, "w!9bAjp5clgkr068EFSYf$.?CJKLW]n\0"..., 4096) = 4096 --- SIGALRM (Alarm clock) --- sigreturn() = ? (mask now [])

　　用 grep -n 在John the Ripper的源代码中找到在 crk_password_loop()函数中有一个叫 sig_timer_emu_tick()的函数，它在timer_emu_max到达之后产生 SIGALRM。这就是 strace 显示的SIGALRM。通过 lsof -p 'pgrep apache'来检查哪个文件同读的文件描述符fd 4在读取数据，以及fd 4相关联的叫all.chr的文件。察看 john.ini 文件，找到所引用的 all.chr 文件。
　　所有迹象表明，这的确是一个密码破解工具， John the Ripper。因此，无论是你还是其他的任何管理员安装了这个工具，它运行起来的时候，就会好像web 服务器被入侵了。

Conclusion

　　在下一篇文章中，我们会继续进行研究在Webserver使用文件系统工具的时候到底发生了什么事情。记住，面对任何威胁最好的准备是做好预防。当入侵真正发生的时候，你要做很多工作去了解你的系统，设置策略，和实施应急响应的技术，你的优势越明显，那么控制和根除威胁就更能实现。

(责任编辑：宋红伟)

共3页: 上一页 [1] [2] 3 下一页

如果您对本文有任何疑问或者建议，请到论坛讨论区发表您的意见: >> 论坛入口

[

收藏] [

推荐] [

评论(0条)] [返回顶部] [打印本页] [关闭窗口]

热点文章

·Linux系统调用列表(详解)
·MBR如果被覆盖了怎麽办?
·Linux系统下用户和用户组所有权
·Linux操作系统下配置IPTables方
·linux应用技巧集囊(新手遍)
·Linux操作系统配置基础祥解：GRU
·Linux循序渐进进程管理及作业控
·Linux操作系统Gaim玩转QQ与MSN--
·Linux内存映射技术
·UNIX系统操作入门篇
·linux系统管理--从头开始对ubunt
·Linux操作系统的动态函式库详细

本站信息源至:互联网络,均为学习,交流所用,如有版权问题,请联系我们.
站长QQ:397422079 E_mail:riechelr_hl@unix5.com
转载本站内容请注明原作者名.谢谢!