发布日期：2000-09-06
更新日期：2000-09-06

受影响系统：

所有被Trinity v3感染的系统

不受影响系统：

描述：

---

最近一种新的分布式拒绝服务工具被人发现。这种工具的名叫："Trinity v3"。
至少已经有400多台主机报告说发现有"Trinity v3"的agent在上面运行。在Undernet
的一个IRC频道中，已经登录了50多台被入侵的主机，每天还不断由新的主机加入进来
。

Trinity是一种通过IRC进行控制的分布式拒绝服务工具。ISS公司的X-Force小组分析了
其中的一种版本，它的agent被装在Linux系统的/usr/lib/idle.so文件。当idle.so启
动时，它自动联往Undernet IRC服务器的6667端口。下面是二进制文件中包含的IRC
服务器的地址列表：

204.127.145.17
216.24.134.10
208.51.158.10
199.170.91.114
207.173.16.33
207.96.122.250
205.252.46.98
216.225.7.155
205.188.149.3
207.69.200.131
207.114.4.35

当Trinity连接成功后，它设置呢称为受感染主机的主机名前6字符再加3个随机字符。
例如，如果受感染的主机名字为machine.example.com，它的呢称就可能是:
machineabc. 这里abc就是随机的字母或者数字。如果主机名的前6个字母中有".",
就用"_"替代。这个版本的agent使用一个指定的口令登录进IRC频道#b3eblebr0x。
当agent登录进去以后，它就等候接收命令了。命令可以单独发往每个agent,也可以
通过IRC一次发给所有的agent.

Flood攻击的命令格式如下：

<flood> <password> <victim> <time>

flood:     flood攻击类型
password:  agent的口令
victim:    目标主机的ip地址
time:      flood攻击的时间长度（按秒计算）

有效的flood攻击类型为：

tudp: "udpflood"
tfrag: "fragmentflood"
tsyn: "synflood"
trst: "rstflood"
trnd: "randomflagsflood"
tack: "ackflood"
testab: "establishflood"
tnull: "nullflood"

其它提供的命令包括：

ping:         ping每个客户端。客户端会响应："(trinity) someone needs a miracle..."
size <size>:  设置flood攻击的报文大小，0是随机大小
port <port>:  设置攻击的端口，0是随机端口
ver?:         获取agent的版本。

在被感染的主机上也发现了另外一个二进制文件：/var/spool/uucp/uucico
这个文件并不是真正的"uucico",真正的文件在/usr/sbin/或者/usr/lib/uucp下。
这个文件实际上是一个简单的后门程序，它监听TCP 33270端口的连接。当连接建立
之后，攻击者输入一个口令，然后就获得一个root shell.在X-Force分析的二进制
文件中设定的口令是"!@#"。当uucico执行后，它的名字被改成了fsflush.

<*来源：X-Force (xforce@iss.net)*>


建议：

---

检查系统是否有33270端口的连接。如果发现有到这个端口的连接，那么telnet
到这个端口，然后输入"!@#",如果得到一个root shell,那说明这个系统已经被
入侵了。

也可以使用ps和lsof来检查这种后门：

# /usr/sbin/lsof -i TCP:33270
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
uucico  6862 root    3u  IPv4  11199       TCP *:33270 (LISTEN)

# /usr/sbin/lsof -c uucico
COMMAND  PID USER   FD   TYPE DEVICE    SIZE   NODE NAME
uucico  6862 root  cwd    DIR    8,1    4096 306099 /home/jlarimer
uucico  6862 root  rtd    DIR    8,1    4096      2 /
uucico  6862 root  txt    REG    8,1    4312 306589 /home/jlarimer/uucico
uucico  6862 root  mem    REG    8,1  344890 416837 /lib/ld-2.1.2.so
uucico  6862 root  mem    REG    8,1 4118299 416844 /lib/libc-2.1.2.so
uucico  6862 root    0u   CHR  136,2              4 /dev/pts/2
uucico  6862 root    1u   CHR  136,2              4 /dev/pts/2
uucico  6862 root    2u   CHR  136,2              4 /dev/pts/2
uucico  6862 root    3u  IPv4  11199            TCP *:33270 (LISTEN)

# ps 6862
  PID TTY      STAT   TIME COMMAND
6862 pts/2    S      0:00 fsflush


Trinity v3 的agent不监听任何端口，因此很难被发现，除非你检查可以的IRC
传输。如果一个主机已经发现被安装了Trinity agent,说明这个系统已经被入侵了。
应当完全重装，并使用所有最新的安全补丁。


浏览次数：6248
严重程度：0（网友投票）