linux 系统后门检测工具,Linux系统的各种后门和日志工具详细介绍[2]

chfn 提升本地普通用户权限的程序 运行chfn 在它提示输入新的用户名时 如果用户输入rookit密码 他的权限就被提升为root chsh 提升本地用户权限的程序 运行chsh 在它提示输入新的shell时 如果用户输入rootkit密码 他的权限就被提升为root passwd 和上面两个程

chfn 提升本地普通用户权限的程序运行chfn在它提示输入新的用户名时如果用户输入rookit密码他的权限就被提升为root

chsh 提升本地用户权限的程序运行chsh在它提示输入新的shell时如果用户输入rootkit密码他的权限就被提升为root

passwd 和上面两个程序的作用相同在提示你输入新密码时如果输入rookit密码权限就可以变成root

login 允许使用任何帐户通过rootkit密码登录如果使用root帐户登录被拒绝可以尝试一下rewt当使用后门时这个程序还能够禁止记录命令的历史记录

inetd 特洛伊inetd程序为攻击者提供远程访问服务

rshd 为攻击者提供远程shell服务攻击者使用rsh l rootkitpassword host command命令就可以启动一个远程root shell

sshd 为攻击者提供ssh服务的后门程序

再就是工具程序所有不属于以上类型的程序都可以归如这个类型它们实现一些诸如日志清理报文嗅探以及远程shell的端口绑定等功能包括

fix 文件属性伪造程序

linsniffer 报文嗅探器程序

sniffchk 一个简单的bash shell脚本检查系统中是否正有一个嗅探器在运行

login 允许使用任何帐户通过rootkit密码登录如果使用root帐户登录被拒绝可以尝试一下rewt当使用后门时这个程序还能够禁止记录命令的历史记录

z utmp/wtmp/lastlog日志清理工具可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目不过如果用于Linux系统需要手工修改其源代码设置日志文件的位置

bindshell 在某个端口上绑定shell服务默认端口是为远程攻击者提供shell服务

()netcat

这是一个简单而有用的工具能够通过使用TCP或UDP协议的网络连接去读写数据它被设计成一个稳定的后门工具能够直接由其它程序和脚本轻松驱动同时它也是一个功能强大的网络调试和探测工具能够建立你需要的几乎所有类型的网络连接还有几个很有意思的内置功能

查找Linux下的蛛丝马迹日志工具

对于高明的攻击者来说进入系统后还应了解自己的蛛丝马迹并清除这些痕迹自然就要了解一些日志工具了

()logcheck

logchek 可以自动地检查日志文件定期检查日志文件以发现违反安全规则以及异常的活动它先把正常的日志信息剔除掉把一些有问题的日志保留下来然后把这些信息 email 给系统管理员logcheck 用 logtail 程序记住上次已经读过的日志文件的位置然后从这个位置开始处理新的日志信息logcheck 主要由下面几个主要的文件

logchecksh 可执行的脚本文件记录logcheck检查那些日志文件等我们可以把它加入crontab中定时运行

logcheckhacking 是logcheck 检查的模式文件和下面的文件一起按从上到下的顺序执行这个文件表明了入侵活动的模式

logcheckviolations 这个文件表示有问题违背常理的活动的模式优先级小于上面的那个模式文件

logcheckviolationsignore 这个文件和上面的logcheckviolations的优先是相对的是我们所不关心的问题的模式文件

logcheckignore 这是检查的最后一个模式文件如果没有和前三个模式文件匹配也没有匹配这个模式文件的话则输出到报告中

Logtail 记录日志文件信息

Logcheck首次运行时读入相关的日志文件的所有内容Logtail会在日志文件的目录下为每个关心的日志文件建立一个logfileoffset 的偏移量文件以便于下次检查时从这个偏移量开始检查Logcheck执行时将未被忽略的内容通过邮件的形式发送给 logchecksh 中 系统管理员指定的用户

()logrotate

一般Linux 发行版中都自带这个工具它可以自动使日志循环删除保存最久的日志它的配置文件是 /etc/logrotateconf我们可以在这个文件中设置日志的循环周期日志的备份数目以及如何备份日志等等在/etc/logrotated目录下包括一些工具的日志循环设置文件如syslog等在这些文件中指定了如何根据/etc/logrotateconf做日志循环也可以在这里面添加其他的文件以循环其他服务的日志

()swatch

swatch 是一个实时的日志监控工具我们可以设置感兴趣的事件Swatch 有两种运行方式一种可以在检查日志完毕退出另一种可以连续监视日志中的新信息Swatch提供了许多通知方式包括email振铃终端输出多种颜色等等安装前必须确保系统支持perlswatch 软件的重点是配置文件swatchmessage这个文本文件告诉 swatch 需要监视什么日志需要寻找什么触发器和当触发时所要执行的动作当swatch发现与swatchmessage中定义的触发器正则表达式相符时它将执行在 swatchrc中定义的通知程序

当然上面所介绍的软件只是Linux大海中的几只美丽的贝壳随着越来越多的用户加入到Linux大军中我们相信优秀的Hack也将越来越多这反过来也将促进Linux操作系统逐步走向成熟我们拭目以待

[]  []