鸟哥的
Linux
与
ADSL
私房菜
检测红色警戒文档
最近更新日期:2001/09/17
针对当前很凶狠的
CodeRed(红色警戒病虫)在
RedHat 下的检测方法:
前言:
这只病虫对于
Linux 并不会有危害,但是对于微软的窗口(尤其是
windows2000 服务器)则攻击得很凶,虽然有消息指出可能是大陆方面的杰作,但是已经造成这么大的问题了,我们应该好好来防制一下罗!
入侵方向与分析原理:
其实这只病虫主要是针对微软在
WWW server 的漏洞进行破坏的行为,我们知道
WWW Server 的
port (可想成是通信通道)是
80 (请参考
WWW
Server 那一篇文章吧),而红色警戒就是藉由
80 port 来注册服务器的
WWW 服务,然后再进行破坏行为。那由于
Linux 的主机若有开放
port 80 作为
WWW 服务器的话,就会有登录档呀!那如果红色警戒这只病虫尝试来注册你的
Linux 系统时,由于他是经由
port 80,所以就会在你的网页服务器的登录档中留下记录,通常如果你是照鸟哥的方法来编译的你的
WWW Apache Server 时,则你的
WWW 网页登录档应该是在
/usr/local/apache/logs/access_log 这个文件,这个文件的内容有点象这样:
|
61.224.44.98
- - [17/Sep/2001:15:43:28 +0800] "GET
/~vbird/linux_live/index.php HTTP/1.0" 200 893
211.74.244.91 - - [17/Sep/2001:15:43:28 +0800] "GET /~vbird/linux_live/index.php HTTP/1.1" 200 905 211.74.210.189 - - [17/Sep/2001:15:43:29 +0800] "GET /~vbird/linux_live/index.php HTTP/1.1" 200 905 140.116.44.172 - - [17/Sep/2001:15:43:33 +0800] "GET /~vbird/linux_live/index.php HTTP/1.1" 200 977 61.217.51.146 - - [17/Sep/2001:15:43:53 +0800] "GET /favicon.ico HTTP/1.1" 404 294 140.116.227.80 - - [17/Sep/2001:15:43:56 +0800] "GET /default.ida?XXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090 %u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u 531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 282 211.74.244.91 - - [17/Sep/2001:15:43:59 +0800] "GET /~vbird/linux_live/index.php HTTP/1.1" 200 827 |
象上面这个例子中,第一行中,61.224.44.98 指的是使用你 WWW 服务器的主机名称,后面接的是注册的日期,然后 GET 后面接的是 WWW 服务器传送的文件,而在黄色的部分则是当 CodeRed 尝试注册你的 WWW 服务器时,由于系统不是 Windows2000 所以会显示的错误信息!因此,我们只要分析登录档(access_log)就可以知道哪一个 IP 已经中毒了!(就是看前面的 IP 罗)
病虫的危害性质:
在已经公布的数据中,
Code Red 的危害程度与性质你可以到下面的网页中查询道:
实例:
Designed by VBird
during 2001-2004. Aerosol Lab.