`
0769
  • 浏览: 83696 次
  • 性别: Icon_minigender_1
  • 来自: 东莞
社区版块
存档分类
最新评论

linux检测后门

阅读更多
linux检测后门
  
linux检测后门(转)2007-05-04 21:05作者:baoz
日期:2006-11-18
http://baoz.net
http://xsec.org
1妹儿:perlish(*)gmail.com or fatb@zzu.edu.cn (有时gmail收不到信或者会被当垃圾邮件过滤掉)
欢迎转载任何人任何时候转载到任何地方,请保留上面的信息。
CHNAGES:
2006-12-10 应网友需求,增加清理后门的详细操作。
昨天答应了给wzt找几个linux肉鸡测试程序的,打开http://www.milw0rm.com/webapps.php ,找了个include漏洞的程序试了一下,很快就得到一个webshell,没什么好说的,redhat9的机器,然后localroot了一下。
插句话,本文中的ip地址和主机名都被替换了,请不要对号入座,本文手法仅供参考,在正规的入侵检测操作中,我们还是需要注意很多流程和细节上的问题。另外本文对一些基本概念或者程序之类的不做解释,如果有不明白的地方,请教google。
进了肉鸡,换上我们的ssh后门,具体的方法可以在http://baoz.nethttp://xsec.org 上找到,带视频教程:) 如果看完视频之后还有疑问,可以到http://cnhonker.com/bbs/ 的linux版交流一下。
一进ssh,哦,奇怪,米国人民问候韩国人民?有异样……
Last login: Fri Nov 17 08:21:14 2006 from ac9e2da9.ipt.aol.com
好奇,扫一下。
[fatb@baoz ~]$ nmap -P0 ac9e2da9.ipt.aol.com -O
进了机器第一个事就是看看是不是vmware,是的话赶紧跑路了,别掉到人家的破罐子里去了,呵呵
来,看看:
##检查是不是vmware的机器
[root@victim root]# ifconfig -a | grep -i -e "00-05-69" -e "00-0C-29" -e "00-50-56"; dmesg | grep -i vmware
如果没输出的话,还好。。。。就算是个honeypot,好歹也是投资了点设备的honeypot。继续看看他投资了什么设备:
[root@victim root]# cat /proc/cpuinfo | grep name;cat /proc/meminfo | grep MemTotal
model name       : Intel(R) Xeon(TM) CPU 2.80GHz
model name       : Intel(R) Xeon(TM) CPU 2.80GHz
model name       : Intel(R) Xeon(TM) CPU 2.80GHz
model name       : Intel(R) Xeon(TM) CPU 2.80GHz
MemTotal:       1030228 kB
还可以的机器,虽然4CPU却只有1G的内存,有点怪,但是还是勉强了,跑个密码什么的也行。
关于anti-honeynet,下面有两个文章不错,不过都是针对vmware或者User Mode Linux的了,如果人家用真实机器,那还得靠人品啊,呵呵。
http://xsec.org/index.php?module=archives&act=view&type=3&id=5
http://xsec.org/index.php?module=archives&act=view&type=3&id=6
关于honeynet和anti-honeynet的讨论,可以来这里聊聊
http://cnhonker.com/bbs/thread.php?fid=15&type=1

废话少说,接下来第二个事就是看看有没道友在上面,有的话就不好意思了,得请出去:)
一般我都会先打几个命令看看,因为有些rootkit他改的不好,或者是因为版本的问题,反正不管什么原因,有一些被替换了的程序的一些参数会没有的。
[root@victim root]# ls -alh
ls: invalid option -- h
Try `ls --help' for more information.
呵呵,ls被替换了。在看看netstat
[root@victim root]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address            Foreign Address          State        PID/Program name  
tcp         0       0 0.0.0.0:80 0.0.0.0:*   LISTEN       1702/httpd         
tcp         0       0 0.0.0.0:22 0.0.0.0:*   LISTEN       1516/sshd          
tcp         0       0 127.0.0.1:25             0.0.0.0:*   LISTEN       1540/ 
tcp         0     300 123.123.123.123:22          10.20.30.40:2245       ESTABLISHED 6097/sshd:         
tcp         0       0 123.123.123.123:22          10.20.30.40:2247       ESTABLISHED 6815/sshd: 
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags        Type        State          I-Node PID/Program name     Path
unix   2       [ ACC ]      STREAM      LISTENING      121430 6815/sshd:           /tmp/ssh-vfJj6815/agent.6815
unix   2       [ ACC ]      STREAM      LISTENING      116904 6097/sshd:           /tmp/ssh-weHq6097/agent.6097
unix   6       [ ]          DGRAM        1560    1476/syslogd         /dev/log
unix   2       [ ]          DGRAM        1771    1570/crond         
unix   2       [ ]          DGRAM        1728    1549/ 
unix   2       [ ]          DGRAM        1714    1540/ 
unix   2       [ ]          DGRAM        1568    1480/klogd
看起来貌似还算正常。
不管3721,直接搞两个检查rootkit的东西回来看看,chkrootkit和rkhunter。
先爽一下chkrootkit:
注意,我们现在是在根本不可信的环境下检查的,可能有朋友会问“为什么要在不可信的环境里检查啊”,原因是这样的,因为我们先在一个不可信的环境里检查,得出一份结果,然后再在稍微可信的环境里检查,再得到一份结果,这样我们前后对比,大致就可以知道这位道友是否有使用LKM或者更高级的rootkit了。
检查完之后,我们发现下面有趣的信息:
[root@victim chkrootkit-0.47]# ./chkrootkit
Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Romanian rootkit...   /usr/include/file.h /usr/include/proc.h
Checking `bindshell'... not infected
Checking `lkm'... You have      2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
我们再找rkhunter爽一下:
rkhunter的输出信息比较人性化也比较多,--quite选项输出又有点问题,我就rip比较有用的信息出来,日志在/var/log/rkhunter.log。
[root@victim chkrootkit-0.47]# /usr/local/bin/rkhunter -c --createlogfile
Rootkit 'SHV4'...    [ Warning! ]
Rootkit 'SHV5'...    [ Warning! ]
Rootkit 'Suckit Rootkit'...    [ Warning! ] -->还有这个高级货啊,偷偷的汗了一下。
* Filesystem checks
   Checking /dev for suspicious files...    [ Warning! (unusual files found) ]
Unusual files:
/dev/srd0:         ASCII text   --> /dev下有ascii文件……
---------------------------- Scan results ----------------------------
MD5
MD5 compared: 51
Incorrect MD5 checksums: 6
File scan
Scanned files: 342
Possible infected files: 3
Possible rootkits: SHV4 SHV5 Suckit Rootkit
Application scan
Vulnerable applications: 4
Scanning took 751 seconds
Scan results written to logfile (/var/log/rkhunter.log)
-----------------------------------------------------------------------
扫完了,来个总结,这个比chkrootkit人性化多了。
我们可以看到,这两个程序报告的有低级的rookkit,比如t0rn,SHV5,还有高级的rootkit:suckit。先看在眼里,别太在意,因为rkhunter和chkrootkit这样的程序都只能检测一些默认安装的rootkit,也不排除把这个rootkit报成那个rootkit的可能。

折腾了一下,心里大概有个数了,回过头来想想,他必定不只替换了一个ls的,找个静态工具包回来,并且修改一下PATH变量,优先使用我们的静态程序。
[root@victim root]# export PATH=/root/.../static/:$PATH
ok,我们现在再看看ls
[root@victim /]# ls -alh /tmp/mc-root/
total 8.0K
drwx------     2 root      root          4.0K Nov   8 19:36 .
drwxrwxrwt     9 root      root          4.0K Nov 18 10:47 ..
现在我们的程序暂时还是相对比较信得过的。
继续做上面两组检测。
我们把得到的结果和刚才的相比,chkrootkit对elf的检测没有报警了,隐藏进程也没有了,我们大致可以判断道友隐藏的手段比较低级,但是想起那个suckit的报警。。。。心里不敢大意。还不知道有没模块什么的。
为了更清楚一点,我们分析一下/var/log/rkhunter.log这个日志文件看看。看了日志,我们就会清楚为什么rkhunter的两次的检测报告试一样的了,因为他是用md5来校验的,他有一个数据库,而chkrootkit是检测输出信息。
[11:20:04] /bin/ls Hash NOT valid (My MD5: 0a07cf554c1a74ad974416f60916b78d, expected: dbc1a18b2e447e0e0f7c139b1cc79454)
我们把SHV和suckit相关的信息弄出来看看
[11:20:53] *** Start scan SHV4 ***
[11:20:53]    - File /lib/lidps1.so... WARNING! Exists.
[11:21:12] *** Start scan SHV5 ***
[11:21:12]    - File /etc/sh.conf... WARNING! Exists.
[11:21:12]    - File /dev/srd0... WARNING! Exists.
[11:21:12]    - Directory /usr/lib/libsh... WARNING! Exists.
[11:21:15] *** Start scan Suckit Rootkit ***
[11:21:15]    - File /usr/share/locale/sk/.sk12/sk... WARNING! Exists.
[11:21:15]    - Directory /usr/share/locale/sk/.sk12... WARNING! Exists.
看到这里,基本上就知其所以然了。我们继续一个一个的看
[root@victim root]# file /lib/lidps1.so
/lib/lidps1.so: ASCII text
[root@victim root]# cat /lib/lidps1.so
ttyload
shsniff
shp
shsb
hide
ttymon
scanner
看到这里,我忍不住ps和netstat了一下,发现了这两个东西
root       1584   0.0   0.0   1852    68 ?         S     Nov17    0:00 /sbin/ttyload -q
root       1586   0.0   0.0   1500   168 ?         S     Nov17    0:26 ttymon tymon
[root@victim root]# netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address            Foreign Address          State        PID/Program name  
tcp         0       0 0.0.0.0:31338            0.0.0.0:*                LISTEN       1584/ttyload       
tcp         0       0 0.0.0.0:80               0.0.0.0:*                LISTEN       1702/httpd         
tcp         0       0 0.0.0.0:22               0.0.0.0:*                LISTEN       1516/sshd          
tcp         0       0 127.0.0.1:25             0.0.0.0:*                LISTEN       1540/                              
raw         0       0 0.0.0.0:1                0.0.0.0:*                7            1586/ttymon        
raw      1312       0 0.0.0.0:1                0.0.0.0:*                7            1586/ttymon
我们注意一下pid为1584和1586的两个进程,它们一个开了31338端口,一个起了raw socket,估计两个都是后门,一个bindport的,一个是sniffer的后门,接着我们lsof看看,呵呵,都现形了吧。
[root@victim root]# lsof -n -p 1584
COMMAND   PID USER    FD    TYPE DEVICE     SIZE      NODE NAME
3        1584 root   cwd     DIR     8,3     4096         2 /
3        1584 root   rtd     DIR     8,3     4096         2 /
3        1584 root   txt     REG     8,3   652620    212994 /tmp/sh-DJYK3MJABRP (deleted) -->这个是upx压缩后的特征之一。
3        1584 root   mem     REG     8,3   103044 12828674 /lib/ld-2.3.2.so
3        1584 root   mem     REG     8,3    91604 12828689 /lib/libnsl-2.3.2.so
3        1584 root   mem     REG     8,3    23668 12828683 /lib/libcrypt-2.3.2.so
3        1584 root   mem     REG     8,3    12696 12828711 /lib/libutil-2.3.2.so
3        1584 root   mem     REG     8,3 1531064 13991938 /lib/tls/libc-2.3.2.so
3        1584 root     0u    CHR     1,3             67051 /dev/null
3        1584 root     1u    CHR     1,3             67051 /dev/null
3        1584 root     2u    CHR     1,3             67051 /dev/null
3        1584 root     3u   IPv4    1798               TCP *:31338 (LISTEN)
[root@victim root]# lsof -n -p 1586
COMMAND   PID USER    FD    TYPE DEVICE     SIZE      NODE NAME
ttymon   1586 root   cwd     DIR     8,3     4096         2 /
ttymon   1586 root   rtd     DIR     8,3     4096         2 /
ttymon   1586 root   txt     REG     8,3    93476 43663399 /sbin/ttymon
ttymon   1586 root   mem     REG     8,3   103044 12828674 /lib/ld-2.3.2.so
ttymon   1586 root   mem     REG     8,3    52472 12828695 /lib/libnss_files-2.3.2.so
ttymon   1586 root   mem     REG     8,3 1531064 13991938 /lib/tls/libc-2.3.2.so
ttymon   1586 root     3u    raw                     1799 00000000:0001->00000000:0000 st=07
验证一下那两个后门:
[root@victim root]# nc localhost 31338
SSH-1.5-2.0.13
明显,这个ssh后门,估计是读那个/etc/sh.conf作为密码的。raw socket那个我暂时想不到咱们验证,因为一来不知道他抓的什么包,icmp or tcp,二来也不知道他抓的包的特征。霸王硬上弓吧。先执行一下。
[root@victim root]# /sbin/ttymon
[root@victim root]# /sbin/ttymon --help
[root@victim root]# /sbin/ttymon -h
这么不听话?strings你。我这里略去一些没用的信息
[root@victim root]# strings /sbin/ttymon
Usage: %s <dst> <src> <size> <number>
Ports are set to send and receive on port 179
dst:     Destination Address
src:     Source Address
size:    Size of packet which should be no larger than 1024 should allow for xtra header info thru routes
num:     packets
Could not resolve %s nut
ICMP
jess
tc: unknown host
3.3.3.3
mservers
lamersucks
skillz
ttymon
./0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
通过他的关键字找找,不难发现ttymon应该是一个修改过的ddos程序,是一个打路由器的东西,看来这位兄弟心挺大的。
Dameonic.c is a theoretical router based denial of service attack that exploits a weakness within the Border Gateway Protocol (BGP). If a malicious user sends spoofed malformed packets to a neighboring router, the peer will ignore it and possibly kill the session entirely. Written on a Ultra 5 running Linux Zoot, this has been compiled on Linux, OpenBSD, Solaris without problems.
程序在
http://packetstormsecurity.org/0008-exploits/daemonic.c
出于对这位道友野心的好奇,我下了这个程序回来编译一下
[fatb@baoz ~]$ ./a
Daemonic -   BGP Killer [Theories in DoS] www.AntiOffline.com/TID/
Usage: ./a <radd> <sradd> <bgsize> <number>
Ports are set to send and receive on port 179
radd:    Address of router running BGP [victim]
sradd:   Source address of neighbor router running BGP [attacker]
bgsize: Size of packet which should be no larger than 1024 should allow for xtra header info thru routes
num:     pulverizations per second
对比两个地方,一个是直接执行程序返回的信息,前者是不显示任何信息,后者显示帮助,第二个就是strings的输出,明显前者输出内容多,我猜测后面部分包含控制密码。还有更重要的是,这个ttymon起了raw socket听包,这个raw socket必定是用来接收控制者指令,并执行相应的ddos操作的一个通道,后面的事情大家自己想象吧,呵呵。
[root@victim root]# file /etc/sh.conf
/etc/sh.conf: ASCII text
[root@victim root]# cat /etc/sh.conf
6465d1b20c0c4cd408e34e68e630bc7a   -
这个应该是md5之后的ssh密码了。
下面的是t0rnV8里的东西了,12点多了,还没吃饭,没什么心情去跟这个低级的rootkit了,也不想知道下面的内容是什么,估计是encode之后的ssh密码吧,我猜的。
[root@victim root]# file /dev/srd0
/dev/srd0: ASCII text
[root@victim root]# cat /dev/srd0
j+JNfnYdtqa7trq6gh+4ixPhLDBbLT6Ku5uVVJ/mxxzobTlPUCEeEzdxglyNos4IvejtbRNdAMxP/d7NhBeFseisPX5oloDE5z1e2ZjQtsM
S0uF0BrCRaiyuNhbD+TxyiCkfPxeS6/f3KYGvy0+9uf96HZCHbJRHzwU0BoEWZW66Kw9fmiWgMTnPV7ZmNC2ww
DrWCrrUVHlVO0ETRpEzDLr4+eRoYKQ4cF1IYuZIuKJvpL8u0zFWEQVd4aHHRV8MZ6Kw9fmiWgMTnPV7ZmNC2ww
m8Y0WvJzHApXJkPWqGlLXkQEgP7I+Z00g5rfl4JVTHHVS3ccyoWJvoHxARS2Az4+6Kw9fmiWgMTnPV7ZmNC2ww
Nx2BGzQcgwNk5wkHvIbDS+akciYGKpBOpkfbml2dEhlnylbaCJUtkIZtodypSCex6Kw9fmiWgMTnPV7ZmNC2ww
7Tuu8KGtjaBucg6CylE0jLx5gHLMf67ZIFShF/vnuKNoRfJqqJhR5/4k+4vDqwlW6Kw9fmiWgMTnPV7ZmNC2ww
aeC6nDWmqSBSLAn74IG+scDyaeQhcyttGosc5AHjaJjsS7dk2xyaySZVyBz4xsJLvejtbRNdAMxP/d7NhBeFseisPX5oloDE5z1e2ZjQtsM
Z1Adpyun9XhDlWlkphlGxvqi7D+VzU2gaIcSV3F5SvtUfb9WXOCPgW4fLKozFRr18GdivriXhV99Urg+qyUS5OisPX5oloDE5z1e2ZjQtsM
XnGWwt8gbkh3WioGunOBNlnN29dPwkm4N1UqS3mZ7V5C2DSuxCWu5vgapmla+YFx6Kw9fmiWgMTnPV7ZmNC2ww
+KrS/TlnD5nr0P/iOvN/aN+jWY2xtLoIpAN70/2NlvfnnApDPhNqf9Y82i7BX/UHVWRY+R8hmtWPTN9aYJrjduisPX5oloDE5z1e2ZjQtsM
继续看,这个就是他的老巢了,SHV5的默认目录,里面来来去去就那些东西,.backup里的是原来的elf程序,回头我们把这些东西cp回去就完事了。
[root@victim root]# ls -alh /usr/lib/libsh
total 104K
drwxr-xr-x     6 root      root          4.0K Nov 17 16:45 .
drwxr-xr-x   133 root      root           68K Nov 18 10:13 ..
drwxr-xr-x     2 root      root          4.0K Nov   8 19:33 .backup
-rwxr-xr-x     1 122       114           2.4K Jan 30   2006 .bashrc
-rwxr-xr-x     1 122       114           1.8K Feb 19   2003 hide
drwxr-xr-x     2 root      root          4.0K Nov   8 19:33 .owned
-rwxr-xr-x     1 122       114           1.3K Feb 19   2003 shsb
drwxr-xr-x     2 root      root          4.0K Nov   8 19:33 .sniff
drwxr-xr-x     2 root      root          4.0K Feb 19   2003 utils
[root@victim root]# ls /usr/lib/libsh/.backup/    
dir   find   ifconfig   ls   lsof   md5sum   netstat   ps   pstree   slocate   top
下面就是大名鼎鼎的sk了,看到sk,首先关注的就是他的prefix,启动方式和版本。。。。废话。。。呵呵
[root@victim root]# ls -alh /usr/share/locale/sk/
total 40K
drwxr-xr-x     5 root      root          4.0K Sep   7 02:02 .
drwxr-xr-x   110 root      root          4.0K Nov   8   2005 ..
-rw-r--r--     1 root      root             6 May   9   2000 charset
-rw-r--r--     1 root      root          1.3K Nov 18   2002 entry.desktop
drwxr-xr-x     2 root      root           16K Nov   8   2005 LC_MESSAGES
drwxr-xr-x     2 root      root          4.0K Nov   8   2005 LC_TIME
drwxr-xr-x     2 root      root          4.0K Sep   7 02:02 .sk12
sk没启动,因为.sk12都显示出来了,.sniffer文件里也没记录到什么密码,但我对这个sk12还是充满好奇心,sftp托到我本地机器玩玩。
[fatb@baoz ~]$ strings sk | grep -i
[fatb@baoz ~]$ file sk
sk: ELF invalid class invalid byte order (SYSV)
[fatb@baoz ~]$ ./sk
Password:
Go away with that, poor boy!
[fatb@baoz ~]$ ls -al sk sk2rc2/sk
-rwxr-xr-x     1 fatb      perlish         30799 Nov 11 18:04 sk
-rwxr--r--     1 fatb      perlish         30279 Nov 17 06:06 sk2rc2/sk
从上面看来,这个不是sk12,应该是sk2,否则应该有字样并且没有密码的,并且他用ef加密了。和公开的sk2rc2对比一下,发现他比rc2文件要大一点。。。。YY中,呵呵,我猜他应该是更新的版本的。1点多了。。。还没吃饭,快饿晕了,先吃饭去,回来继续……
还有一个可以说明这个sk12是sk2,我查找了/etc下的文件,没找到他启动的地方,/sbin/init也没改。到是在/etc/inittab里发现了ttymon的启动方式:
[root@victim root]# grep ttyload /etc/inittab
#0:2345:once:/usr/sbin/ttyload
[root@victim root]# cat /usr/sbin/ttyload
/sbin/ttyload -q >/dev/null 2>&1
/sbin/ttymon >/dev/null 2>&1
花开两朵,各表一支,话说刚才我们确定了这个一定是sk2,在一段时间的挣扎之后,决定还是回头在《linux后门掠影》里再仔细介绍他。
整理一下思路,我们已经找到了他们替换的elf程序了,下面说说修复的办法,一般情况下,如果没有十分的把握,linux被黑了最好重装,因为我们永远不敢说自己绝对比入侵者高明。由于是肉鸡,我们就还原一下文件好了。
这个朋友比较好,在/usr/lib/libsh/.backup目录里保存了没被修改的程序的备份,同时也是告诉我们他至少替换了这些文件。
[root@victim root]# ls -al
total 608
drwxr-xr-x    2 root      root          4096 Nov   7 00:58 .
drwxr-xr-x    6 root      root          4096 Nov   7 00:59 ..
-rwx------    1 root      root         67668 Nov   7 00:58 dir
-rwx------    1 root      root         51028 Nov   7 00:58 find
-rwxr-xr-x    1 root      root         67668 Nov   7 00:58 ls
-rwx------    1 root      root         95640 Nov   7 00:58 lsof
-rwx------    1 root      root         29024 Nov   7 00:58 md5sum
-rwx------    1 root      root         85240 Nov   7 00:58 netstat
-rwx------    1 root      root         69772 Nov   7 00:58 ps
-rwx------    1 root      root         14048 Nov   7 00:58 pstree
-rwx------    1 root      root         26368 Nov   7 00:58 slocate
-rwx------    1 root      root         54004 Nov   7 00:58 top
接着我尝试cp -f dir `which dir`,但报告操作不允许,显然他用chattr做了手脚。
[root@victim root]# cp -f dir `which dir`
cp: cannot remove `/usr/bin/dir': Operation not permitted
我们索性看看y的到底动了多少文件。
[root@victim root]# lsattr /bin /sbin /usr/bin /usr/sbin /etc| grep -e -ia
s---ia------- /bin/netstat
s---ia------- /bin/ls
s---ia------- /bin/ps
s---ia------- /sbin/ifconfig
s---ia------- /sbin/ttyload
s---ia------- /sbin/ttymon
s---ia------- /usr/bin/pstree
s---ia------- /usr/bin/find
s---ia------- /usr/bin/dir
s---ia------- /usr/bin/md5sum
s---ia------- /usr/bin/top
s---ia------- /usr/bin/updatedb
s---ia------- /usr/bin/locate
s---ia------- /usr/bin/slocate
s---ia------- /usr/sbin/lsof
s---ia------- /usr/sbin/ttyload
s---ia------- /etc/sh.conf
呵呵,发现ifconfig也被弄了,不过他就是隐藏一些无伤大雅的东西,不管那么多了,其他的直接弄掉
[root@victim root]# chattr -ais /bin/netstat
[root@victim root]# chattr -ais /bin/ls
[root@victim root]# chattr -ais /bin/ps
[root@victim root]# chattr -ais /sbin/ifconfig
[root@victim root]# chattr -ais /sbin/ttyload
[root@victim root]# chattr -ais /sbin/ttymon
[root@victim root]# chattr -ais /usr/bin/pstree
[root@victim root]# chattr -ais /usr/bin/find
[root@victim root]# chattr -ais /usr/bin/dir
[root@victim root]# chattr -ais /usr/bin/md5sum
[root@victim root]# chattr -ais /usr/bin/top
[root@victim root]# chattr -ais /usr/bin/updatedb
[root@victim root]# chattr -ais /usr/bin/locate
[root@victim root]# chattr -ais /usr/bin/slocate
[root@victim root]# chattr -ais /usr/sbin/lsof
[root@victim root]# chattr -ais /usr/sbin/ttyload
[root@victim root]# chattr -ais /etc/sh.conf
现在我们把.backup目录里的文件给还原回去。
[root@victim root]# mv -f netstat /bin/netstat
[root@victim root]# mv -f ls /bin/ls
[root@victim root]# mv -f ps /bin/ps
[root@victim root]# mv -f pstree /usr/bin/pstree
[root@victim root]# mv -f find /usr/bin/find
[root@victim root]# mv -f dir /usr/bin/dir
[root@victim root]# mv -f md5sum /usr/bin/md5sum
[root@victim root]# mv -f top /usr/bin/top
[root@victim root]# mv -f slocate /usr/bin/slocate
[root@victim root]# mv -f lsof /usr/sbin/lsof
顺便把他的文件删除,免得被管理员发现了。
[root@victim root]# rm -f /sbin/ttyload
[root@victim root]# rm -f /sbin/ttymon
[root@victim root]# rm -f /usr/sbin/ttyload
[root@victim root]# rm -f /etc/sh.conf
去掉启动的东西,擦掉日志中关于ac9e2da9.ipt.aol.com的记录,shadow抓回来跑跑,reboot,交给wzt测试代码去了,呵呵。
如果有什么疑问,可以到http://cnhonker.com/bbs/ 的linux版交流
本文不断更新中,欲获得最新版本,请关注http://baoz.nethttp://xsec.org的更新信息。
说在最后:
上面说到的方法只是一些最基本的方法,并且rkhunter,chkrootkit这样的程序都是只能检测默认安装的rootkit,修改过的rootkit或者没公开的rootkit,它们是基本找不到的。怎么办?自动化查找不行了,就只有靠我们手动分析了,这个就是体现安全管理员水平高低的时候了。
早睡早起身体好,睡觉去咯。
语:提取一些命令~现在自己水平不好,学习中
分享到:
评论

相关推荐

    Linux常见的持久化后门汇总1

    【Linux常见的持久化后门汇总】 在网络安全领域,一旦攻击者成功侵入系统,他们会寻找方法保持对系统的长期访问,这就涉及到了持久化后门。Linux系统因其开源和广泛使用,成为了攻击者的重要目标。本篇文章主要介绍...

    windows及linux服务器后门,及文件检测工具

    用于检测服务器存在的后门及异常问题

    检测Linux下的VFS型内核后门软件.pdf

    【Linux VFS型内核后门软件检测】 在信息技术领域,操作系统安全至关重要,尤其是Linux操作系统,因其开源特性被广泛应用于各种关键系统。然而,这也意味着它成为黑客攻击的目标。其中,VFS(虚拟文件系统)型内核...

    linux后门N种姿势.pdf

    本文将深入探讨Linux后门的类型、功能、Rootkit的特点、检测方法以及如何进行后续处理。 首先,我们需要明确什么是后门。后门是一种恶意代码,被设计为提供对被攻击系统的非法访问权限,通常由攻击者在入侵系统后...

    Linux下查找后门程序 CentOS 查后门程序的shell脚本

    通过上述方法,可以有效地检测Linux系统中的后门程序。虽然这种方法不能覆盖所有类型的后门,但对于常见的Rootkit隐藏技术仍然非常有效。此外,结合其他的安全工具和技术,可以进一步增强系统的安全性。

    想走后门?没门!--常见后门伪装、检测、防范技巧大揭密:Linux/Unix近期相关漏洞.pdf

    为了检测后门,管理员可以使用各种工具和技术,例如使用网络嗅探工具来检测可疑的网络流量,使用系统调用跟踪工具来检测可疑的系统调用,使用文件完整性检查工具来检测文件的完整性。 在防范后门方面,管理员可以...

    排查深藏在Linux中的RootKit后门.pdf

    Linux 操作系统 RootKit 后门安全知识点 Linux 操作系统的安全性是一个长期的讨论话题,而 RootKit 后门是 Linux 操作系统中最隐蔽、最危险的后门之一。本文将对 RootKit 后门进行深入分析,探讨其类型、特点、危害...

    linux隐藏php后门.pdf

    Linux隐藏PHP后门 Linux隐藏PHP后门是一种常见的Web安全漏洞,攻击者可以通过在服务器上创建一个隐藏的PHP文件,从而获取服务器的控制权。下面我们来详细解释这个隐藏的PHP后门是如何工作的,以及如何防止这种攻击...

    linux25000去后门完整端

    【标题】"Linux25000去后门完整端" 涉及的主要知识点是Linux系统的安全性,尤其是针对系统后门的检测与清除。在Linux操作系统中,后门通常是指非法用户为了长期控制或监视系统而植入的隐蔽程序。这些后门可能隐藏在...

    Linux安全-Linux 安全检测器的设计与实现

    经过实验验证,基于LKM的Linux安全检测器能够有效记录并阻止LKM后门工具及病毒对系统的攻击和非法访问,极大地提升了Linux操作系统的安全性。这种检测器不仅能够帮助系统管理员及时发现安全漏洞,还能够作为预防措施...

    重返自己的战场——浅谈LINUX下的后门技术.pdf

    《重返自己的战场——浅谈LINUX下的后门技术》 在信息安全领域,后门技术是一种高级的技巧,它涉及到攻防两端的智慧...而对于网络安全专家而言,了解后门技术有助于提高检测和防御能力,保护网络资源免受非法侵入。

    基于LKM的Linux安全检测器的设计与实现.pdf

    描述中提到,论文分析了两种Linux后门工具的实现机制,并提出了保护Linux内核的两种方法:单模块内核方式和带有安全检测的LKM方式。安全检测器的实现方法被详细介绍,实验结果证明了该检测器能有效记录LKM后门工具和...

    Linux后门入侵检测工具,附bash漏洞解决方法

     rootkit是Linux平台下常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对...

    linux安全与后门安装及日志的管理

    【Linux安全与后门安装及日志管理】 在Linux系统中,安全性是至关重要的,尤其在面临潜在的网络攻击时。日志管理是系统安全的关键组成部分,它可以帮助管理员追踪和识别异常活动,防止或者减轻后门的威胁。后门安装...

    Linux木马检测技术分析与系统调用权限验证法.pdf

    根据功能和实现方式,Linux木马可以分为两类:一是通过替换系统程序,使得原本安全的程序变成恶意的后门;二是独立安装木马程序,这些程序通常会在后台运行,监听网络连接,等待黑客的指令。木马的隐蔽性是其关键...

    论文研究-后门植入、隐藏与检测技术研究.pdf

    在对现有后门攻击技术进行研究分析的基础上,深入研究了后门的植入方法和隐藏技术并对相应的检测方法进行了讨论。采用相关技术在Linux平台上实现了一个内核级后门代理程序,通过实验测试,该后门代理程序达到了良好...

    Linux系统调用劫持:技术原理、应用及检测.pdf

    Linux系统调用劫持是一种黑客技术,用于在操作系统内核层面植入后门,以保持对系统的非法访问。这种技术常被用于制作rootkit,rootkit是攻击者用来隐藏其活动和保留管理员权限的工具集合。在Linux环境中,尤其是基于...

    论文研究-基于LKM的Linux安全检测器的设计与实现.pdf

    分析两个Linux 后门工具的实现机制,...给出了基于LKM的Linux 安全检测器的实现方法,实验表明,该安全检测器能有效地记录LKM后门工具以及病毒对系统的攻击和非法访问,能够帮助系统管理员维护Linux操作系统的安全。

Global site tag (gtag.js) - Google Analytics