linux下木马程序病原体的制作和运行
1.木馬的制作:
首先我們可以在/usr/bin/目錄下創(chuàng)建一個源程序muma,輸入 你所需要指定的代碼,這里為了做實驗就隨便寫了個,你也可以換上一些挖礦程序,ddos攻擊代碼,為了知道木馬是否運行,我們可以加入一條指令echo 'date' >> /tmp/date.txt,這樣如果木馬程序運行,我們就可以在tmp/date.txt下看到內(nèi)容date。sleep 1 是指這段代碼多長時間執(zhí)行一次,這里就是1秒。
在之后為了讓程序運行,要對這個程序賦予執(zhí)行權(quán)限,chmod + X !$,輸入muma 直接運行,可以通過ps -aux | grep muma 查看,kill -9 可以殺掉這個進程。當然我們要將木馬后臺運行,輸入 muma & ,這里為了方便我將那一條語句 “echo 麗麗是個傻狍子”注釋了。
2.如何讓木馬運行,常用的是兩種計劃任務(wù)和開機啟動進程
- 普通計劃任務(wù)
crontab -e 默認以root創(chuàng)建一個任務(wù),可以輸入以下內(nèi)容 1 2 * * *? /usr/bin/muma & 指定每天2點1分執(zhí)行任務(wù),不過管理員使用crontab -l 就發(fā)現(xiàn)了,
我們可以使用 crontab -u 用戶 -e 指定一個用戶來創(chuàng)建一個計劃任務(wù),這些用戶有很多在/etc/passwd文件中可以炸看到,管理員不肯能用crontab -u bin -l 從頭到尾來查詢吧
在Linux下所有用戶計劃任務(wù)是在/var/spool/cron,從這里可以調(diào)取計劃任務(wù)用戶信息,從而查詢到黑客所使用的計劃用戶
- 高級計劃任務(wù)
我們可以輸入vim/etc/cron,查看相關(guān)系統(tǒng)級別的定時任務(wù)命令,find /etc/cron*這是可以查看把木馬追加到系統(tǒng)級別的腳本,可以自己添加一個腳本,也可以在原有的腳本中寫,例如vim /et/cron.daily/tmwatch,在里面輸入/usr/bin/muma &
Linux下有那么多cron文件管理員怎么排查呢?
find /etc/cron* -type f-exec md5sum {} \; > /tmp/date.txt???????????????????????? find /etc/cron* -type f-exec md5sum {} \; > /tmp/date1.txt
md5sum可以校驗文件的完整性,一些殺毒軟件的快速殺毒用的也是這個原理,比較目錄中文件md5值是否發(fā)生變化進行判斷,找出不一樣的文件
用命令diff /tmp/date.txt ?? /tmp/date1.txt
我更改了/etc/cron.daily/tmwatch 里面的內(nèi)容,所以md5值發(fā)生了變化
3.開機啟動進程
- /etc/rc.local 是開機啟動腳本,可以在里面輸入/bin/muma & ,當然黑客可能會忽悠你,比如說在文件中添加許多空行,再添加木馬程序,然后將光標移動到開頭;
管理員也可以輸入 grep -v ^$ /etc/rs.local 查看文件中除空格以以外所有的文字
- 我們也可將木馬放到服務(wù)器腳本中,利用開機服務(wù)器腳本來加載木馬程序
vim /etc/nfs ,在nfs服務(wù)中添加/usr/bin/muma &,就這樣每次開機隨著nfs服務(wù)的啟動,木馬程序也跟著啟動
- 自己寫一個開機啟動腳本
這里的chkconfig :12345 是為了防止管理員登入單用戶模式查找到木馬,chmod +x /etc/init.d/muma賦予權(quán)限,啟動/etc/init.d/muma restart,chkconfig --addmuma增加木馬可以開機啟動
總結(jié)
以上是生活随笔為你收集整理的linux下木马程序病原体的制作和运行的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: uva424Integer Inquir
- 下一篇: MySQL之B+树详解