论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-12-02 22:10 |只看该作者 |倒序浏览

Linux下，被入侵后，入侵者植入的木马后门如何启动？\r\n写入:/etc/rc.d/rc.local是方法之一，但很容易暴露。\r\n添加到/etc/rc.d/init.d中？\r\n还有没有其他的方法？\r\n-----------------------\r\n知己知彼，百战不殆！\r\n没有其他意思。

langue

版主

论坛徽章:: 0

2楼 [报告]

发表于 2006-12-02 22:25 |只看该作者

可以捆绑，甚至文件大小、日期都可以不改动

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

山东大葱

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2006-12-03 02:32 |只看该作者

原帖由 langue 于 2006-12-2 22:25 发表\r\n可以捆绑，甚至文件大小、日期都可以不改动

\r\n捆绑？\r\n如何捆绑？\r\n捆绑到哪些文件上？\r\n如何才能发现哪些文件被动过？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

langue

版主

论坛徽章:: 0

4楼 [报告]

发表于 2006-12-03 09:28 |只看该作者

原帖由 山东大葱 于 2006-12-3 02:32 发表\r\n\r\n捆绑？\r\n如何捆绑？\r\n捆绑到哪些文件上？\r\n如何才能发现哪些文件被动过？

\r\n\r\n具体的没怎么研究，我觉得可以把原来的文件压缩，用自己的程序作为 stub 然后加壳，最后为了做得像一点，可以填充一些字节。touch 就改日期了。\r\n\r\n至于怎么样发现文件的改动，如果你相信密码学，可以比较所有文件的 checksum，用的算法越多可靠性越好。把所有文件用自己的密钥签名，也可以。（慢）\r\n\r\n如果 /bin/ls 或者 /bin/sh，等等，给加了后门，你会很麻烦……\n\n[ 本帖最后由 langue 于 2006-12-3 09:32 编辑 ]