Linux常见后门（非常详细）零基础入门到精通，收藏这一篇就够了

一、SSH后门

SSH普通用户的命令权限是是no login，No login就是不让你登录，不可登录并且拒绝用户登录。那大家排查的时候就可以忽略这些就是no login的和bin filled。这里还有一个叫bash，这也是刚才我添加的账户，这与之前的root用户一样，这也是一个 shell的解释器，那看一下篡改。SSH登录有两种方式，第一种是账户和密码，第二种就是密钥。方便他们远程管理，并且有一些自动执行的任务计划，大部分都是通过Mile来实现免密的，就是说这就免密码，通过key的方式，公钥和私钥。

那你看我这文件里有一个公钥，比如现在攻击者又插入了一个公钥，插入了他自己的，我这里只是为了方便复制一个，那插入之后是不是他就也免密登录这台服务器了。所以大家在排查的时候要重点关注这个文件，它在每一个用户底下都有一个隐藏文件，叫/root/.ssh/。这个隐藏文件里就会有你的一些信息看，这是登录的信息，所有登录过你机器的信息，就说在你密钥交换的时候，这个它的公钥里边会有host，再看一下全部。

我这里没有建立这个文件，因为我没有通过它来登录我用的账户和密码，那看一下这台服务器，这里就有这个文件，只要把这个文件放到点.SSH文件目录下。如果 ssh不特殊配置，默认的配置它就支持密钥管理的。所以说你只要early在这里创建了这个文件，把你的公钥写进去，那你就可以通过自己的私钥去登录它，登录这台服务器，这样的话你也看不到它更改你的密码，你也看不到新用户的创建，只是在这文件里多了一条数据而已。

第三种重装覆盖，那重装覆盖是怎么咱们把SSH重装一遍，装入咱们带后门的session，那这个时候是不是用户无感，并且咱们可以在SSH的源码里做一些文章，比如植入一个账户，就不会放到系统里，直接放到这个软件里，因为咱们控制Linux远程的就是通过SSh opens这个软件，看一下时间，那这里可以看到一个2021年和一个2015年的其实这个2015年是我修改的，那说明这个方法不可靠，我可以修改它的时间。

那第二种，第二种是看版本，如果攻击者精心构造一下自己软件的版本，把它写成这个样子，其实你也是分辨不出来的。但就看攻击者的水平了。因为一旦你没有在系统上建立关键文件或者做安全防护，比如安装一些主机安全软件，那就有可能造成就是说我 SSH被篡改了，清理的只要干净，你是分辨不出来的。

二、SUID后门

SUID是什么

SUID 是 Set User ID，Unix内核根据运行这个程序的用户的有效ID来确定进程对资源的访问权限，包括user id 和group id，用户可以输入id这个命令来查看。

SUID的作用就是这样：让本来没有相应权限的用户运行这个程序时，可以访问他没有权限访问的资源。

内核在决定进程是否有文件存取权限时，是采用了进程的有效用户ID来进行判断的。
当一个程序设置了为SUID位时，内核就知道了运行这个程序的时候，应该认为是文件的所有者在运行这个程序。即该程序运行的时候，有效用户ID是该程序的所有者。

简单的来说，就是当你在一个只能root权限操作的文件上设置了suid位后，其他用户也能进行操作了。

SUID后门

首先在受害者机器上使用root权限操作，复制bash，并给这个复制品woot设置一个suid位（标志位是4），. 的目的是为了隐藏文件

cp /bin/bash /.woot``chmod 4755 /.woot``ls -al /.woot

然后普通用户来启用这个后门

/.woot -p

三、Crontab计划任务

crontab是用来定期执行程序的命令，crond 命令每分钟会定期检查是否有要执行的工作，如果有要执行的工作便会自动执行该工作。

注意: 新创建的 cron 任务，不会马上执行，至少要过 2 分钟后才可以，当然你可以重启 cron 来马上执行

比如我们通过redis写crontab后，管理员上线 执行crontab -l 就会查看到我们留下的可疑命令。那么我们可以躲避管理员的查看。

四、PAM后门

PAM（Pluggable Authentication Modules，可插入的身份验证模块）是Linux自带的一套与身份验证机制相关的库，可以将多种身份验证的方案几种于同一的程序接口，简单来说，在Linux中的其他应用程序可以通过调用PAM接口来完成身份验证工作，无需开发者重新构造认证模块

PAM允许各类的配置，主要有两种：

1、直接写入/etc.pam.conf，但是在新版本中这个文件默认是不存在的

2、将PAM配置文件放到/etc/pam.d根目录下PAM配置文件默认如下，这里使用SSH的PAM文件做演示

[root@Practice_Server /etc/pam.d]# cat sshd``#%PAM-1.0``auth       required     pam_sepermit.so``auth       substack     password-auth``auth       include      postlogin``# Used with polkit to reauthorize users in remote sessions``-auth      optional     pam_reauthorize.so prepare``account    required     pam_nologin.so``account    include      password-auth``password   include      password-auth``# pam_selinux.so close should be the first session rule``session    required     pam_selinux.so close``session    required     pam_loginuid.so``# pam_selinux.so open should only be followed by sessions to be executed in the user context``session    required     pam_selinux.so open env_params``session    required     pam_namespace.so``session    optional     pam_keyinit.so force revoke``session    include      password-auth``session    include      postlogin``# Used with polkit to reauthorize users in remote sessions``-session   optional     pam_reauthorize.so prepare

大概有四种服务类型：auth、account、session、password，

使用PAM创建SSH后门密码

如当前系统为centos，利用PAM之前需要关闭系统的selinux功能，此时可以使用以下命令临时关闭

setenforce 0

五、添加管理员账号

在Linux中添加管理员账号后门通常意味着创建一个具有管理员权限的用户账户，这样攻击者可以使用这个账户进入系统。这样的操作是不推荐的，因为它会增加系统被攻击者访问的风险。

如果你需要临时创建一个具有管理员权限的后门账号，请确保你有合适的权限来执行这个操作，并且在完成后及时删除或禁用该账号。

六、Rootkit

Rootkit 是一种恶意软件，旨在让黑客访问和控制目标设备。虽然大多数 Rootkit 会影响软件和操作系统，但有些还会感染计算机的硬件和固件。Rootkit 善于隐藏自己，但当它们保持隐藏时，其实处于活跃状态。

一旦未经授权获得对计算机的访问权限，Rootkit 就使网络犯罪分子可以窃取个人数据和财务信息，安装恶意软件或将计算机用作僵尸网络的一部分，以散布垃圾邮件和参与DDoS（ 分布式拒绝服务）攻击。

名称"Rootkit"源自 Unix 和 Linux 操作系统，其中权限最高的帐户管理员被称为"root"。允许未经授权的 root 或管理员级别访问设备的应用程序被称为"工具包"。

什么是 Rootkit？

Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件，但通常由一系列工具组成，这些工具允许黑客对目标设备进行管理员级控制。

黑客通过多种方式在目标计算机上安装 Rootkit：

1. 最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件，并让黑客控制操作系统的几乎所有方面。

2. 另一种方法是利用漏洞（即软件或未更新的操作系统中的弱点）并将 Rootkit 强制安装到计算机上。

3. 恶意软件还可以与其它文件捆绑在一起，例如受感染的 PDF、盗版媒体或从可疑的第三方商店获得的应用。

Rootkit 在操作系统的内核附近或内核内运行，这使它们能够向计算机发起命令。任何使用操作系统的东西都是 Rootkit 的潜在目标 —— 随着物联网的扩展，它可能包括冰箱或恒温器等物品。

Rootkit 可以隐藏键盘记录器，在未经您同意的情况下捕获您的击键。这使得网络犯罪分子很容易窃取您的个人信息，例如信用卡或网上银行详细信息。Rootkit 可让黑客使用您的计算机发起 DDoS 攻击或发送垃圾邮件。它们甚至可以禁用或删除安全软件。

一些 Rootkit 用于合法目的 —— 例如，提供远程 IT 支持或协助执法。大多数情况下，它们用于恶意目的。Rootkit 如此危险的原因是它们可以提供各种形式的恶意软件，它们可以操纵计算机的操作系统并为远程用户提供管理员访问权限。

Rootkit 的类型

1. 硬件或固件 Rootkit

硬件或固件 Rootkit 可以影响您的硬盘驱动器、路由器或系统的 BIOS，这是安装在计算机主板上的小内存芯片上的软件。它们不是针对您的操作系统，而是针对您的设备的固件安装难以检测的恶意软件。因为它们会影响硬件，所以可让黑客记录您的击键以及监控在线活动。虽然与其它类型相比不太常见，但硬件或固件 Rootkit 是对在线安全的严重威胁。

2. Bootloader rootkit

Bootloader 机制负责在计算机上加载操作系统。Bootloader Rootkit 可攻击此系统，用被破解的 Bootloader 替换您计算机的合法 Bootloader。这甚至可以在计算机的操作系统完全加载之前激活 Rootkit。

3. 内存 Rootkit

内存 Rootkit 隐藏在计算机的随机存取内存 (RAM) 中，使用计算机的资源在后台执行恶意活动。内存 Rootkit 会影响计算机的 RAM 性能。因为它们只存在于计算机的 RAM 中，不会注入永久代码，所以一旦重新启动系统，内存 Rootkit 就会消失 —— 尽管有时需要进一步的工作才能摆脱它们。它们的寿命短意味着它们往往不会被视为重大威胁。

4. 应用程序 Rootkit

应用程序 Rootkit 将计算机中的标准文件替换为 Rootkit 文件，甚至可能改变标准应用程序的工作方式。这些 Rootkit 会感染 Microsoft Office、Notepad 或 Paint 等程序。每次运行这些程序时，攻击者都可以访问您的计算机。由于受感染的程序仍然正常运行，Rootkit 检测对于用户来说很困难 —— 但防病毒程序可以检测到它们，因为它们都在应用程序层上运行。

5. 内核模式 Rootkit

内核模式 Rootkit 是这种威胁最严重的类型之一，因为它们针对操作系统的核心（即内核级别）。黑客使用它们不仅可以访问计算机上的文件，还可以通过添加自己的代码来更改操作系统的功能。

6. 虚拟 Rootkit

虚拟 Rootkit 会在计算机的操作系统下自行加载。然后，它将目标操作系统托管为虚拟机，从而允许它拦截原始操作系统进行的硬件调用。这种类型的 Rootkit 不必修改内核来修复操作系统，可能非常难检测。

​ 为了帮助大家更好的学习网络安全，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂这些资料！

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

[2024最新CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享]

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

[2024最新CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享]

[2024最新CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享]