Chinaunix

标题: Linux下的木马后门脚本的启动位置。 [打印本页]

作者: 山东大葱 时间: 2006-12-02 22:10
标题: Linux下的木马后门脚本的启动位置。
Linux下，被入侵后，入侵者植入的木马后门如何启动？
写入:/etc/rc.d/rc.local是方法之一，但很容易暴露。
添加到/etc/rc.d/init.d中？
还有没有其他的方法？
-----------------------
知己知彼，百战不殆！
没有其他意思。

作者: langue 时间: 2006-12-02 22:25
可以捆绑，甚至文件大小、日期都可以不改动

作者: 山东大葱 时间: 2006-12-03 02:32

原帖由 langue 于 2006-12-2 22:25 发表
可以捆绑，甚至文件大小、日期都可以不改动

捆绑？
如何捆绑？
捆绑到哪些文件上？
如何才能发现哪些文件被动过？

作者: langue 时间: 2006-12-03 09:28

原帖由 山东大葱 于 2006-12-3 02:32 发表

捆绑？
如何捆绑？
捆绑到哪些文件上？
如何才能发现哪些文件被动过？

具体的没怎么研究，我觉得可以把原来的文件压缩，用自己的程序作为 stub 然后加壳，最后为了做得像一点，可以填充一些字节。touch 就改日期了。

至于怎么样发现文件的改动，如果你相信密码学，可以比较所有文件的 checksum，用的算法越多可靠性越好。把所有文件用自己的密钥签名，也可以。（慢）

如果 /bin/ls 或者 /bin/sh，等等，给加了后门，你会很麻烦……

[ 本帖最后由 langue 于 2006-12-3 09:32 编辑 ]

作者: mjxian 时间: 2006-12-03 13:37
init.d的脚本里面追加启动命令，然后touch改日期。

作者: ayazero 时间: 2006-12-03 14:16
太多的地方了，甚至是grub，你可以翻翻我以前的文章

作者: 山东大葱 时间: 2006-12-03 19:04
谢谢各位!非常感谢!

原帖由 ayazero 于 2006-12-3 14:16 发表
太多的地方了，甚至是grub，你可以翻翻我以前的文章

应该是精华帖里的文章吧?
收藏了<Unix/Linux上的后门技术和防范>和<UNIX应急响应攻略>.
谢谢!

作者: yyy790601 时间: 2006-12-04 09:57
/root/.bash_profile

作者: yyy790601 时间: 2006-12-04 10:06
至于不暴露，提供一种方法。
后门程序随着开机自启动，从上述脚本文件中删除启动项，系统关机时（后门程序接受到SIGTERM信号），向脚本文件中再次写入启动项。这样，在开机前和关机后，启动项才存在与脚本中，不容易被发觉。

作者: badile 时间: 2006-12-04 21:13
有太多的方法了。

作者: hiwoody 时间: 2006-12-04 21:32
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)