linux下木马程序病原体的制作和运行
1.木馬的制作:
首先我們可以在/usr/bin/目錄下創建一個源程序muma,輸入 你所需要指定的代碼,這里為了做實驗就隨便寫了個,你也可以換上一些挖礦程序,ddos攻擊代碼,為了知道木馬是否運行,我們可以加入一條指令echo 'date' >> /tmp/date.txt,這樣如果木馬程序運行,我們就可以在tmp/date.txt下看到內容date。sleep 1 是指這段代碼多長時間執行一次,這里就是1秒。
在之后為了讓程序運行,要對這個程序賦予執行權限,chmod + X !$,輸入muma 直接運行,可以通過ps -aux | grep muma 查看,kill -9 可以殺掉這個進程。當然我們要將木馬后臺運行,輸入 muma & ,這里為了方便我將那一條語句 “echo 麗麗是個傻狍子”注釋了。
2.如何讓木馬運行,常用的是兩種計劃任務和開機啟動進程
- 普通計劃任務
crontab -e 默認以root創建一個任務,可以輸入以下內容 1 2 * * *? /usr/bin/muma & 指定每天2點1分執行任務,不過管理員使用crontab -l 就發現了,
我們可以使用 crontab -u 用戶 -e 指定一個用戶來創建一個計劃任務,這些用戶有很多在/etc/passwd文件中可以炸看到,管理員不肯能用crontab -u bin -l 從頭到尾來查詢吧
在Linux下所有用戶計劃任務是在/var/spool/cron,從這里可以調取計劃任務用戶信息,從而查詢到黑客所使用的計劃用戶
- 高級計劃任務
我們可以輸入vim/etc/cron,查看相關系統級別的定時任務命令,find /etc/cron*這是可以查看把木馬追加到系統級別的腳本,可以自己添加一個腳本,也可以在原有的腳本中寫,例如vim /et/cron.daily/tmwatch,在里面輸入/usr/bin/muma &
Linux下有那么多cron文件管理員怎么排查呢?
find /etc/cron* -type f-exec md5sum {} \; > /tmp/date.txt???????????????????????? find /etc/cron* -type f-exec md5sum {} \; > /tmp/date1.txt
md5sum可以校驗文件的完整性,一些殺毒軟件的快速殺毒用的也是這個原理,比較目錄中文件md5值是否發生變化進行判斷,找出不一樣的文件
用命令diff /tmp/date.txt ?? /tmp/date1.txt
我更改了/etc/cron.daily/tmwatch 里面的內容,所以md5值發生了變化
3.開機啟動進程
- /etc/rc.local 是開機啟動腳本,可以在里面輸入/bin/muma & ,當然黑客可能會忽悠你,比如說在文件中添加許多空行,再添加木馬程序,然后將光標移動到開頭;
管理員也可以輸入 grep -v ^$ /etc/rs.local 查看文件中除空格以以外所有的文字
- 我們也可將木馬放到服務器腳本中,利用開機服務器腳本來加載木馬程序
vim /etc/nfs ,在nfs服務中添加/usr/bin/muma &,就這樣每次開機隨著nfs服務的啟動,木馬程序也跟著啟動
- 自己寫一個開機啟動腳本
這里的chkconfig :12345 是為了防止管理員登入單用戶模式查找到木馬,chmod +x /etc/init.d/muma賦予權限,啟動/etc/init.d/muma restart,chkconfig --addmuma增加木馬可以開機啟動
總結
以上是生活随笔為你收集整理的linux下木马程序病原体的制作和运行的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: uva424Integer Inquir
- 下一篇: MySQL之B+树详解