linux 系统后门检测工具,Linux系统的各种后门和日志工具详细介绍[2]
chfn 提升本地普通用戶權限的程序 運行chfn 在它提示輸入新的用戶名時 如果用戶輸入rookit密碼 他的權限就被提升為root chsh 提升本地用戶權限的程序 運行chsh 在它提示輸入新的shell時 如果用戶輸入rootkit密碼 他的權限就被提升為root passwd 和上面兩個程
chfn 提升本地普通用戶權限的程序運行chfn在它提示輸入新的用戶名時如果用戶輸入rookit密碼他的權限就被提升為root
chsh 提升本地用戶權限的程序運行chsh在它提示輸入新的shell時如果用戶輸入rootkit密碼他的權限就被提升為root
passwd 和上面兩個程序的作用相同在提示你輸入新密碼時如果輸入rookit密碼權限就可以變成root
login 允許使用任何帳戶通過rootkit密碼登錄如果使用root帳戶登錄被拒絕可以嘗試一下rewt當使用后門時這個程序還能夠禁止記錄命令的歷史記錄
inetd 特洛伊inetd程序為攻擊者提供遠程訪問服務
rshd 為攻擊者提供遠程shell服務攻擊者使用rsh l rootkitpassword host command命令就可以啟動一個遠程root shell
sshd 為攻擊者提供ssh服務的后門程序
再就是工具程序所有不屬于以上類型的程序都可以歸如這個類型它們實現一些諸如日志清理報文嗅探以及遠程shell的端口綁定等功能包括
fix 文件屬性偽造程序
linsniffer 報文嗅探器程序
sniffchk 一個簡單的bash shell腳本檢查系統中是否正有一個嗅探器在運行
login 允許使用任何帳戶通過rootkit密碼登錄如果使用root帳戶登錄被拒絕可以嘗試一下rewt當使用后門時這個程序還能夠禁止記錄命令的歷史記錄
z utmp/wtmp/lastlog日志清理工具可以刪除utmp/wtmp/lastlog日志文件中有關某個用戶名的所有條目不過如果用于Linux系統需要手工修改其源代碼設置日志文件的位置
bindshell 在某個端口上綁定shell服務默認端口是為遠程攻擊者提供shell服務
()netcat
這是一個簡單而有用的工具能夠通過使用TCP或UDP協議的網絡連接去讀寫數據它被設計成一個穩定的后門工具能夠直接由其它程序和腳本輕松驅動同時它也是一個功能強大的網絡調試和探測工具能夠建立你需要的幾乎所有類型的網絡連接還有幾個很有意思的內置功能
查找Linux下的蛛絲馬跡日志工具
對于高明的攻擊者來說進入系統后還應了解自己的蛛絲馬跡并清除這些痕跡自然就要了解一些日志工具了
()logcheck
logchek 可以自動地檢查日志文件定期檢查日志文件以發現違反安全規則以及異常的活動它先把正常的日志信息剔除掉把一些有問題的日志保留下來然后把這些信息 email 給系統管理員logcheck 用 logtail 程序記住上次已經讀過的日志文件的位置然后從這個位置開始處理新的日志信息logcheck 主要由下面幾個主要的文件
logchecksh 可執行的腳本文件記錄logcheck檢查那些日志文件等我們可以把它加入crontab中定時運行
logcheckhacking 是logcheck 檢查的模式文件和下面的文件一起按從上到下的順序執行這個文件表明了入侵活動的模式
logcheckviolations 這個文件表示有問題違背常理的活動的模式優先級小于上面的那個模式文件
logcheckviolationsignore 這個文件和上面的logcheckviolations的優先是相對的是我們所不關心的問題的模式文件
logcheckignore 這是檢查的最后一個模式文件如果沒有和前三個模式文件匹配也沒有匹配這個模式文件的話則輸出到報告中
Logtail 記錄日志文件信息
Logcheck首次運行時讀入相關的日志文件的所有內容Logtail會在日志文件的目錄下為每個關心的日志文件建立一個logfileoffset 的偏移量文件以便于下次檢查時從這個偏移量開始檢查Logcheck執行時將未被忽略的內容通過郵件的形式發送給 logchecksh 中 系統管理員指定的用戶
()logrotate
一般Linux 發行版中都自帶這個工具它可以自動使日志循環刪除保存最久的日志它的配置文件是 /etc/logrotateconf我們可以在這個文件中設置日志的循環周期日志的備份數目以及如何備份日志等等在/etc/logrotated目錄下包括一些工具的日志循環設置文件如syslog等在這些文件中指定了如何根據/etc/logrotateconf做日志循環也可以在這里面添加其他的文件以循環其他服務的日志
()swatch
swatch 是一個實時的日志監控工具我們可以設置感興趣的事件Swatch 有兩種運行方式一種可以在檢查日志完畢退出另一種可以連續監視日志中的新信息Swatch提供了許多通知方式包括email振鈴終端輸出多種顏色等等安裝前必須確保系統支持perlswatch 軟件的重點是配置文件swatchmessage這個文本文件告訴 swatch 需要監視什么日志需要尋找什么觸發器和當觸發時所要執行的動作當swatch發現與swatchmessage中定義的觸發器正則表達式相符時它將執行在 swatchrc中定義的通知程序
當然上面所介紹的軟件只是Linux大海中的幾只美麗的貝殼隨著越來越多的用戶加入到Linux大軍中我們相信優秀的Hack也將越來越多這反過來也將促進Linux操作系統逐步走向成熟我們拭目以待
[] ?[]
總結
以上是生活随笔為你收集整理的linux 系统后门检测工具,Linux系统的各种后门和日志工具详细介绍[2]的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 龙芯linux内核移植开发板,基于国产龙
- 下一篇: linux notepad 安装教程,U