Linux下的木马后门脚本的启动位置。

山东大葱

Linux下，被入侵后，入侵者植入的木马后门如何启动？
写入:/etc/rc.d/rc.local是方法之一，但很容易暴露。
添加到/etc/rc.d/init.d中？
还有没有其他的方法？
-----------------------
知己知彼，百战不殆！
没有其他意思。

langue

可以捆绑，甚至文件大小、日期都可以不改动

山东大葱

原帖由 langue 于 2006-12-2 22:25 发表
可以捆绑，甚至文件大小、日期都可以不改动

捆绑？
如何捆绑？
捆绑到哪些文件上？
如何才能发现哪些文件被动过？

langue

原帖由 山东大葱 于 2006-12-3 02:32 发表

捆绑？
如何捆绑？
捆绑到哪些文件上？
如何才能发现哪些文件被动过？

具体的没怎么研究，我觉得可以把原来的文件压缩，用自己的程序作为 stub 然后加壳，最后为了做得像一点，可以填充一些字节。touch 就改日期了。

至于怎么样发现文件的改动，如果你相信密码学，可以比较所有文件的 checksum，用的算法越多可靠性越好。把所有文件用自己的密钥签名，也可以。（慢）

如果 /bin/ls 或者 /bin/sh，等等，给加了后门，你会很麻烦……

[ 本帖最后由 langue 于 2006-12-3 09:32 编辑 ]

mjxian

init.d的脚本里面追加启动命令，然后touch改日期。

ayazero

太多的地方了，甚至是grub，你可以翻翻我以前的文章

山东大葱

谢谢各位!非常感谢!

原帖由 ayazero 于 2006-12-3 14:16 发表
太多的地方了，甚至是grub，你可以翻翻我以前的文章

应该是精华帖里的文章吧?
收藏了<Unix/Linux上的后门技术和防范>和<UNIX应急响应攻略>.
谢谢!

yyy790601

/root/.bash_profile

yyy790601

至于不暴露，提供一种方法。
后门程序随着开机自启动，从上述脚本文件中删除启动项，系统关机时（后门程序接受到SIGTERM信号），向脚本文件中再次写入启动项。这样，在开机前和关机后，启动项才存在与脚本中，不容易被发觉。

badile

有太多的方法了。