ブラッディマンデイ8話

/ .trash / Comment[6]
サードアイに接続
#ssh -2vX -i /home/falcon/.ssh/t_id_rsa -p 2222 falcon@third-i-gw

INFO-SYS に接続できない
$ssh -vX falcon@info-sys

疎通確認しても応答帰ってこず、ダウンしている様子
$ping -c 5 info-sys

MAIN-SYS に接続してみる、ログインできるも、文字化け表示。
$ssh -vX falcon@main-sys

プロセス確認、spiderd の存在を確認
$ps -aef | less
2 SPACE KEY
/@spider

rootになる
$sudo su -

spiderd プロセスをKILLする
#kill -KILL 17382

spiderd プロセスが終了したかを確認するが、まだ生きている
#ps -aef |grep spider

spiderd プロセスをKILLする
#kill -KILL 17795

spiderd プロセスが終了したかを確認するが、まだ生きている
#ps -aef |grep spider

spiderd プロセスをKILLする
#pkill -KILL spiderd

spiderd プロセスが終了したかを確認するが、まだ生きている
#ps -aef |grep spider

シャットダウンを試みるも、ダウンできない
#shutdown -h now



ファイルの転送
#scp falcon@falcon:./tool/detectrk.zip ./

ツール解凍
#unzip detectrk.zip

ルートキットの検出
#./detectrk -d -r /
表示がchkrootkitによく似てます



IPアドレスを確認
# ifconfig eth0

デフォルトゲートウェイのIPアドレスを確認
# netstat -r -n

デフォルトゲートウェイに接続できるかを確認
# ping 172.16.100.1

バックドアに接続
nc -vvv 04db.mobi-communications.co.jp 2222

ディレクトリ移動
cd /home/adm/.ssh/." "

ファイル確認
ls

データベース一覧表示
./dbctl -u f --execute="show databases"

データベース「record」内のテーブル閲覧表示
./dbctl -u f --execute="show tables" record

データベース「record」内のカラム名と先頭の内容表示
./dbctl -u f --execute="select * from receive limit 0,1" record

藤丸携帯番号とエリア番号から、通話履歴を検索
./dbctl -u f --execute="select sendid,num from receive where num='0900263859' and area='O98-048'" record

上記コマンドで得られたsendidから、スパイダー番号と位置を辿るための関連情報(eventid,areaid,zoneid,cellid など)を表示
./dbctl -u f --execute="select eventid,num,areaid,zoneid,cellid from send where sendid='00089113342623090809'" record

スパイダーの居場所を特定
関連記事

コメント

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

| | #

No title

メールを送信しました。
ご確認ください。

| URL | sould#-

No title

ああ、そうでしたねwwww

| URL | 数学の問題集#-

答えが手元にあったのでw

| URL | 長倉 怜#dxHBp1FQ

No title

仕事が速いですね!

| URL | 数学の問題集#-

No title

ありがとうございます

| URL | falcon#-

:
:
:
:
:
管理人のみ表示を許可