Subject: [Fwd: 請檢視是否被入侵----辦法之一]


> 供您參考.
>
> "H.C.Chuang" wrote:
> >
> > NT server
> > 已發現被植入之後門程式 ==> root.exe
> > 已發現被植入之HTML檔  ==> index.htm   index.asp   default.htm
default.asp
> >
> > 請 search NT server各目錄中 上述檔案 , 並檢查其內容.
>
> --
> -------
> 教育部電算中心
> 李長樹
> TEL: (02)2737-7010 # 297
> FAX: (02)2737-7043
>

> 目前本中心發現部份主機已被植入後門程式, 請各區縣網中心
> 配合將本訊息散佈給連線單位, 並清查主機是否被植入後門程式.
> 目前發現此一模式為:
> 利用某一 UNIX 主機 portscan 所有 IP 的 Web port,
> 發現該主機為 Web Server 後, 嘗試連接 port 111 (sunrpc),
> 再藉由 111 port 開啟其它的程式, 並植入後門,
> 目前發現後門 port 為 13 (date),
> 該入侵者可利用 port 13 開啟其它的 shall, 下次入侵者可透過
> port 13 再進入主機並控制主機, 可再透過此一主機入侵 NT Server,
> 被入侵的主機會被更改部份的檔案, 及可能被植入 portscan 程式,
> 再循環此一模式植入其它主機.
>
> 下列相關防制方法為清大電算中心賴先生提供,
> 本中心補上部份敘述文字及建議後轉述, 若有遺漏請通知本中心:
> 偵測的目標主要為 UNIX 主機.
> 偵測主機是否已淪陷:
> %telnet host.name.edu.tw 13
> Connected to host.name.edu.tw.
> Escape character is '^]'.
> Thu May 17 14:56:40 2001
>
> : Connection closed by foreign host.
> 出現 : 並 waiting , 過一段時間才會 closed connection.
> 此為該主機已被入侵成功, 開啟另一 shall, 並等待輸入密碼
> 後, 可以進入主機, 控制主機.
>
> 一般正常未被入侵的主機 telnet 13  port 回應 date 後即關畢,
> 或不回應. 正常的情況有兩種如下
> % telnet www.edu.tw 13
> Trying 140.111.1.22...
> Connected to www.edu.tw.
> Escape character is '^]'.
> Thu May 17 14:21:40 2001
> Connection closed by foreign host.
> 或
> % telnet www.ntu.edu.tw 13
> Trying 140.112.8.130...
> telnet: Unable to connect to remote host: Connection refused
>
> 如果上述的偵測結果是尚未被入侵, 並不代表您的機器是安全的,
> 請您最好不要開啟 port 111 (sunrpc) ,
> 開啟 NFS 的主機能關閉 nfs 的最好也關閉,並請您檢視 /etc/inetd.conf 檔案,
> 將該主機不提供的 service port 關閉, 最好再加裝 TCP_Wrappers 類似之軟體,
> 加強主機安全.
> 若上述的偵測結果為您的主機已被入侵, 請您檢視 /usr/sbin/rpld 此一檔案的
> size 是否為 24000, 及 /etc/rc2.d/S71rpc 檔案中是否有下列異常字串
>                 echo "starting rpc services:\c"
>                 /usr/bin/mkdir -p /tmp/.rpc_door;/usr/sbin/rpld;
> /usr/bin/chmod
> 1777 /tmp/.rpc_door;/usr/sbin/rpld
>                 /usr/sbin/rpcbind > /dev/console 2>&1
>                 echo " rpcbind\c"
> 該檔案 /etc/rc2.d/S71rpc 正常的為
>         echo "starting rpc services:\c"
>         /usr/bin/mkdir -p -m 1777 /tmp/.rpc_door
>         /usr/sbin/rpcbind >/dev/console 2>&1
>         echo " rpcbind\c"
> 檢視出若 /usr/sbin/rpld 之 size 為 24000 及 /etc/rc2.d/S71rpc
> 中有異常字串, 請將異常字串改回正常, 並將 /usr/sbin/rpld
> 的檔案刪除, 到同樣 OS 版本的機器 copy 回正常的 /usr/sbin/rpld 檔案.
> 若能觀閉 port 111 (sunrpc) 及 NFS 的主機最好都關掉.
> SunOS 2.6 的 Sun 主機還要上 patch 2[1].6_Recommended.tar.Z 此一 patch
> file. 由於檔案的 size 為 48.9 Mb, 本中心今天晚上將會放置於
> cache.moe.edu.tw 上, 請用 ftp 帳號, 密碼無,  ftp 取得該檔.
> 5 月 20 日後本中心將刪除該檔案. 不再提供 download.
> 請區縣網 download 至區縣網 server, 以供連線單位使用.
>
> 若有遺漏請通知本中心, 謝謝.
>
> 本文件僅供學術研究單位及政府機關及相關非營利機構參考用.
>
> --
> -------
> 教育部電算中心
> 李長樹
> TEL: (02)2737-7010 # 297
> FAX: (02)2737-7043
>