linux后门分析,浅谈Linux的后门技术及实践入侵

最新推荐文章于 2024-05-07 08:31:17 发布
最新推荐文章于 2024-05-07 08:31:17 发布
阅读量259 收藏
点赞数
文章标签: linux后门分析

2、编译程序encode,依次执行得到关键字符串与magic串异或后的结果,例如原始login的文件名/sbin/xlogin,经过异或后为:

\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb

3、在后门源代码中这样定义:

Char

login[]="\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb";

然后插入异或函数char *de()结合同一magic串,就能判断出正确的后门密码。

用strings命令看不到密码、路径等字符串了。

最后的修饰

使后门程序ulogin的strings输出类似于正常login的strings输出,做法为:在ulogin.c代码中增加一个字符串数组char strings[] ="";,在引号中填入正常login程序的strings输出结果。以假乱真,增加迷惑性。

调整后门程序的文件日期、大小等属性:

1、日期

# ls -l /sbin/xlogin

-r-sr-xr-x root root 19300 Feb 11 1998

/sbin/xlogin

# touch -t 199802110000 ulogin

# _

2、调整大小

# ls -l ulogin /sbin/xlogin

-r-sr-xr-x root root 7542 Feb 11 1998 ulogin

-r-sr-xr-x root root 19300 Feb 11 1998 /sbin/xlogin

# bc

19300-7542

11758

# dd if=/sbin/xlogin of=/tmp/t bs=11758 count=1

1+0 records in

1+0 records out

11758 bytes transferred in 0.000379 secs (31016746

bytes/sec)

# cat /tmp/t >> ulogin

Login后门的检测

使用命令md5sum对现有/bin/login文件作校验,与以前的值作比较。使用Red Hat Linux的RPM校验:

# rpm -V util-linux

在入侵者已经利用后门登录的情况下,who是看不到用户的,查看系统进程,查找login -h xxx.xxx.xxx.xxx的字样。

yuwennaxiansheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux后门技术实践
10-21
Linux后门技术实践,当然你要会C/C++编程能力
Linux后门技术实践.pdf
09-29
Linux后门技术实践.pdf 系统安全防范
应急响应二 - 后门分析&勒索病毒&攻击
acepanhuan的博客
04-01 996
应急响应二 - 后门分析&勒索病毒&攻击
Webshell后门分析
Williamanddog的博客
02-06 703
通过文件上传漏洞上传webshell 访问webshell地址: 可以通过post传参来执行命令,a=system("whoami"); 为什么可以通过post传参来执行系统命令呢? 分析一句话webshell的代码: php?>是php语言的格式,eval将括号内的字符串解析为php代码。 $_POST[test]为获取post参数test的值 @是抑制符号,屏蔽函数执行过程中遇到问题而产生的一些错误、警告信息,这样用户就看不到程序的 出错信息。
Linux常见后门(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
05-07 2282
Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。黑客通过多种方式在目标计算机上安装 Rootkit:最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
使用Linux系统命令对后门端口进行查杀
旺仔Sec&blog
06-16 1644
使用Linux系统命令对后门端口进行查杀
Linux权限维持—后门
good good study
04-18 3719
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的
【安全研究】Linux后渗透常见后门驻留方式分析
weixin_49128886的博客
11-09 1367
Linux后渗透常见后门驻留方式分析
重返自己的战场——浅谈LINUX下的后门技术.pdf
09-07
《重返自己的战场——浅谈LINUX下的后门技术》 在信息安全领域,后门技术是一种高级的技巧,它涉及到攻防两端的智慧较量。本文主要探讨的是在Linux操作系统中的后门技术,这对于系统开发和安全维护人员具有重要的...
应急响应-win&linux分析后门&勒索病毒&攻击
mingyqf的博客
12-01 2449
操作系统(windows,linux)应急响应: 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题 常见日志类别及存储: Windows,Linux 补充资料: https://xz.aliyun.com/t/485 应急响应大合集 https://www.secpulse.com/archives/114019.html 最全Windows安全工具锦
常见系统后门技术总结与分析利用
m0_61869253的博客
08-09 720
在本文的很多例子中,其实都会或多或少与一个东西有关,那就是注册表。关于注册表,我觉得值得花时间去仔细研究一番,一定会有很大的收获。关于系统后门技术其实还有许许多多,本文只是将常见的一些技术拿出来进行了分享,希望可以对大家的学习有帮助。如有不对,欢迎指正。[外链图片转存中…(img-qhddTgV9-1691466893281)][外链图片转存中…(img-t4tuwy48-1691466893282)]
linux后门用法教程
11-27
linux系统攻防教程,文件解压密码:shaoyu,我只是个群里的搬运工,原创是群里的少宇大佬,看了这个后我觉得很有收获,虽然这个技术可能过时了,但是只要掌握了原理,也许你也能创出新的后门方法。
恶意软件分析实战03-一个后门的逆向分析
輚至消亡
07-20 727
1. Lab03-03 先查壳发现无壳, VC++6.0编写: VT上走一波, 57个杀毒引擎认定是恶意的。 有资源表而且那么大,可能夹了私活: ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。 来查询一下导入表: 该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能: 1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode ...
木马后门简单分析
一个普普通通的博客
04-17 1189
木马后门分析 加密过的马一种是为了过waf,另一种就是隐藏有后门 案例:记一次免杀木马后门分析 略 实操一: 马已加密 1、解密 在变量前添加echo 进入马子的页面 可以看到是base64的加密,复制从eval开始的加密代码,一直到结尾 解密网站unphp.net 2、分析 解密后复制源码,在notepad里分析 重要关注点:base64,因为整个代码是base64加密的 可疑点 又base加密了一串东西,和其他的不太一样 再次解密可疑点 注意加上echo 得到结果 <?php h
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
Linux服务器各种后门查杀
有勇气的牛排博客
03-22 7288
hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了。
【转载】全志的 Linux 内核后门分析
seiyaaa的专栏
03-22 384
据外媒 arstechnica 报道,一家中国的芯片级系统厂商全志(allwinner) 在其开发的产品中携带的内核里遗留了一个 root 后门。该公司使用的内核 linux-3.4-sunxi,原先用于支持全志的 ARM 芯片平板上的 Android,它也有一个社区版本。本人将全志的这个后门移植到了raspberry pi 3的4.6内核,试了一下,确实好用。通过写入rootmydevice到/proc/sunxi-debug/sunxi-debug,一个普通用户就能拥有root的权限。
第9章 Linux后门检测
lieslyang的博客
10-08 295
该数据集包括ADFA-LD和ADFA-WD,分别代表Linux系统的数据集和Windows系统的数据集。用户空间发生请求,内核空间负责执行,这些接口便是用户空间和内核空间共同识别的 桥梁,这里提到两个字“受限”,是由于为了保证内核稳定性,而不让用户空间程序随意更改系统,必须是内核对外开放的且满足权限的程序才能调用相应接口。本章主要以ADFA-LD数据集为例介绍Linux系统的后门检测,使用特征提取方法为2-Gram和TF-IDF,介绍的分类算法包括朴素贝叶斯、XGBoost和深度学习之多层感知机。
实战Linux vim后门
04-03
本文主要探讨的是实战中的Linux环境下Vim后门的相关知识,特别是关注于Vim配置的加载过程和安全问题。Vim是Vi Improved的增强版,作为一款强大的文本编辑器,它在程序员和文本编辑爱好者中广受欢迎,其特性包括代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值