 |
|
|
||
| | 首页 | 下载中心 | 学 院 | 视 频 | 书 籍 | 模 板 | 素 材 | 空间评测 | 代 理 | 站长服务 | 论 坛 | 图 库 | 数 码 | | |||
|
|||
|
||||||
| Linux下后门查找初步 作者:佚名 文章来源:不详 点击数: 更新时间:2005-11-3 | ||||||
  |
||||||
3) du后门 du后门同样是用来隐藏文件和目录的。如果命令行中执行这个命令可以加"-/"选项(原有 代码中没有这个选项),那么说明已经被植入木马了。检查/dev目录,查找是否有诸如 "/dev/ptyr"之类的文件,用"ls -l"看结果是否为 -rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr 而不是 crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyr 或 brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/*** 如果有,说明已经有木马了。如果strings du | grep "/dev/pty"有输出,或者直接 strings du发现可疑路径和文件名,说明已经有木马。 4) ifconfig后门 ifconfig后门就是把下面一行代码注释掉 if ( ptr->flags & IFF_PROMISC ) printf( "PROMISC " ); 以去掉网卡混杂模式显示。如果"strings /sbin/ifconfig | grep PROMISC"没有输出, ifconfig肯定已被修改过了。 5) netstat后门 检查/dev目录,检查是否存在"/dev/ptyq"一类的文件,用"ls -l"看结果是否为 -rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq 而不是 crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyq 或 brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/*** 如果有,而执行netstat时用lsof发现它被打开,说明netstat被植入木马。如果命令行 中netstat接受"-/"选项(原有代码中没有这个选项),那么,netstat肯定被修改过了。 如果strings netstat | grep "/dev/pty"有输出,或者直接strings netstat发现可疑 路径或文件名,说明已经被修改过。 netstat木马程序的一个实现不支持"-p"选项,而系统自身的netstat实现支持"-p"选项。 因此如果发现netstat不支持"-p"选项,肯定netstat被修改过。另外,Linux系统的"-p" 选项表示打印出进程号(pid)和程序名(program name)信息,而Solaris系统上"-p"表示打 印出ARP Cache信息。如果发现与这一点不符,netstat就被修改过。 6) ps后门 检查/dev目录,查找是否有诸如"/dev/ptyp"之类的文件,用"ls -l"看结果是否为 -rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp 而不是 crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp 或 brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/*** 如果有,而执行ps时用lsof发现它被打开,说明ps被植入木马。如果命令行中ps接受"-/" 选项(原有代码中没有这个选项),那么ps肯定被修改过。如果 strings ps | grep "/dev/pty"有输出,或者直接strings ps发现可疑路径和文件名,说 明已经被植入木马。 7) top后门 检查/dev目录,查找是否有诸如"/dev/ptyp"之类的文件,用"ls -l"看结果是否为 -rw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp 而不是 crw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/ptyp 或 brw-rw-rw- 1 root tty 2, 164 May 6 1998 /dev/*** 如果有,而执行top时用lsof发现它被打开,说明ps被植入木马。如果命令行中top接 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 去网站高手技术论坛讨论...
|
| 文章录入:admin 责任编辑:admin 【发表评论】【告诉好友】【打印此文】【关闭窗口】 | |
|
| | 设为首页 | 加入收藏 | 联系我们 | 合作伙伴 | 友情链接 | 广告投放 | 关于我们 | | ||
 |
|
|
