科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trinity v3拒绝服务的防御

Trinity v3拒绝服务的防御

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Trinity是一个由IRC控制的拒绝服务攻击,根据X-FORCE对其的分析,代理端两

来源:比特网 2009年5月12日

关键字: Linux Trinity 拒绝服务攻击

  • 评论
  • 分享微博
  • 分享邮件

  Trinity是一个由IRC控制的拒绝服务攻击,根据X-FORCE对其的分析,代理端两

  进制安装在LINUX系统上的/usr/lib/idle.so,当idle.so启动的时候,它连接到一

  地下的IRC服务器的6667端口,下面是程序中服务器的列表:

  当Trinity连接的时候,它设置它的nickname为主机名的前6个字符,再加3个随

  机数或者字母,如,一个机器的名字叫machine.example.com被连接和设置它的

  nickname为machinabc,其中的abc就是3个随机数或者字母,如果主机名前6个字

  符中有period(是不是"quot;点"quot;的意思),就会被underscore(下划线)代替。在X-FORCE

  的TRINITY拷贝中,它使用一个特殊的KEY进入#b3eblebr0x频道,一但其处于频道

  中,代理端就等待命令的接受,命令可以发送给单独的Trinity代理端,或者发送

  给频道让所有代理端来处理命令。 其中flood的命令有下面的格式:其中flood命令是表示flood类型,password是

  指定代理端的密码,victim是目标主机的IP地址,time是flood的时间长度,下面是一些flood类型的列表:

  tudp: "quot;udpflood"quot;

  tfrag: "quot;fragmentflood"quot;

  tsyn: "quot;synflood"quot;

  trst: "quot;rstflood"quot;

  trnd: "quot;randomflagsflood"quot;

  tack: "quot;ackflood"quot;

  testab: "quot;establishflood"quot;

  tnull: "quot;nullflood"quot;

  其他可用的命令还有:

  ping:是ping每一个客户端,客户端会响应"quot;(trinity) someone needs a miracle..."quot;

  size:设置flood的信息包大小,如果是0就是随机。

  port:就是要攻击的端口,0表示随机。

  ver?:表示代理端的不版本,根据分析将返回这样的字符串:"quot; trinity v3 by

  self (an idle mind is the devil’s playground)"quot;

  另一个两进制的文件发现在被影响版本的/var/spool/uucp/uucico,这个程序和

  真实的那个uucico不同,真实的版本存在/usr/sbin目录下,或者其他默认位置

  /usr/lib/uucp中,这个是一个简单的后门程序,监听TCP端口33270,当连接

  建立的时候,攻击者可以发送一密码进行连接,并得到SHELL,经过分析,这个

  程序的密码为"quot;!@#"quot;。当uucico程序执行的时候,它会改变起名字为"quot;fsflush"quot;.

  建议:

  扫描所有的33270端口连接,如果这个连接被搜寻到,TELNET到该端口,并使用

  "quot;!@#"quot;密码进行测试,如果开一个ROOT SHELL的话,说明系统被破坏,

  再使用"quot;ps"quot;和"quot;lsof"quot;来鉴别时候由Trinity安装:

  COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

  uucico 6862 root 3u IPv4 11199 TCP *:33270 (LISTEN)

  COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

  uucico 6862 root cwd DIR 8,1 4096 306099 /home/jlarimer

  uucico 6862 root rtd DIR 8,1 4096 2 /

  uucico 6862 root txt REG 8,1 4312 306589 /home/jlarimer/uucico

  uucico 6862 root mem REG 8,1 344890 416837 /lib/ld-2.1.2.so

  uucico 6862 root mem REG 8,1 4118299 416844 /lib/libc-2.1.2.so

  uucico 6862 root 0u CHR 136,2 4 /dev/pts/2

  uucico 6862 root 1u CHR 136,2 4 /dev/pts/2

  uucico 6862 root 2u CHR 136,2 4 /dev/pts/2

  uucico 6862 root 3u IPv4 11199 TCP *:33270 (LISTEN)

  PID TTY STAT TIME COMMAND

  6862 pts/2 S 0:00 fsflush

  由于Trinity v3没有监听任何端口,除了你监视可疑的IRC通信你就比较难发现,

  如果一机器上发现Trinity agent被安装,这机器已经完全被破坏。操作系统就

  必须重新安装和打一些补丁程序。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章