模拟木马程序病原体并让木马程序自动运行
1 模拟木马程序病原体并让木马程序自动运行
实战:黑客让脚本自动执行的3种方法:
(1)、计划任务: crontab
(2)、开机启动
(3)、系统命令被人替换,定一个触发事件
22.1.1 生成木马程序病原体
[root@zmedu63 ~]# vim /usr/bin/fregonnzkq
#!/bin/bash
touch /tmp/aaa.txt
while true
do
echo `date` >> /tmp/date.txt
#通过动态查看/tmp/date.txt中显示的时间,可以知道木马在实时运行
sleep 1
done
[root@zmedu63 ~]# chmod +x /usr/bin/fregonnzkq
测试:
[root@zmedu63 ~]# fregonnzkq & #可以执行。
[root@zmedu63 ~]# ps -axu | grep freg
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root 4900 0.1 0.1 106152 1252 pts/1 S 16:29 0:00 /bin/bash /usr/bin/fregonnzkq
[root@zmedu63 bin]# kill -9 4900
2 使用计划任务crontab让木马自动运行
[root@zmedu63 ~]# crontab -e #写入以下内容。
1 2 * * * /usr/bin/fregonnzkq &
注:分 时 天 月 周 ,表示每天2点1分,执行命令/usr/bin/fregonnzkq &。* 表每X, 比如: 每天,每月,每周
排查方法:
[root@zmedu63 ~]# crontab -l #查看root用户的计划任务
1 2 * * * /usr/bin/fregonnzkq &
例:黑客以非root用户添加计划任务。 最好使用已经存在系统用户添加。这里使用bin用户来添加
[root@zmedu63 ~]# crontab -u bin -e #写入以下内容
1 * * * * echo "aaaaaaa" >> /tmp/bin.txt
排查:
[root@zmedu63 ~]# crontab -u bin -l
1 * * * * echo "aaaaaaa" >> /tmp/bin.txt
排查:如何所有用户的计划任务? 做黑客要有一个很扎实的基础,还要有一个很好的思维。我们不用遍历/etc/passwd中所有的文件,这太复杂了。因为每个用户的计划任务都有独立的文件。
[root@zmedu63 ~]# ll /var/spool/cron/ #这个目录下存放着所有用户级别的计划任务
total 8
-rw------- 1 root root 42 Nov 12 10:11 bin
-rw------- 1 root root 19 Nov 12 10:06 root
注:所有用户的计划任务,都会在/var/spool/cron/下产生对应的文件。只要看一下这个目录下的文件,就知道哪些用户生成了计划任务。
22.1.2 黑客使在系统级别的计划任务中追加木马
1、查看系统级别的计划任务相关文件
[root&#