Linux下后门查找初步

| 首页 | 下载中心 | 学院 | 视频 | 书籍 | 模板 | 素材 | 空间评测 | 代理 | 站长服务 | 论坛 | 图库 | 数码 |

您现在的位置：网站高手 >> 学院 >> 网管知识 >> 入侵检测 >> 正文

用户登录

新用户注册

Linux下后门查找初步作者：佚名文章来源：不详点击数：更新时间：2005-11-3

8. sniffer后门

sniffer用来监听主机或网络，以获取敏感数据，比如帐号/口令。对于网络监听，可以查
看网络接口是否处于混杂(promisc)模式后确定。

对Linux系统，在命令行执行ifconfig命令，如果发现PROMISC这个字符串，说明网络接
口处于混杂(promisc)模式，排除合法用户运行网络协议分析程序后，意味着有sniffer在
运行。如果这样，立即执行命令"lsof -n | grep sock"，对第五列TYPE字段为sock的那
些输出行仔细检查，确定出哪一个程序在sniffer，删除之。

对于Solaris系统，用下面的方法来查出是否有某个进程在进行网络监听，它是正常运用
还是后门程序

# ifconfig -a # 列出活动的网络接口
lo0: flags=849 mtu 8232
inet 127.0.0.1 netmask ff000000
hme0: flags=863 mtu 1500
inet 192.168.10.2 netmask ffff0000 broadcast 192.168.255.255
ether 8:0:20:b0:64:6d
# ls -l /dev/hme* # 查出网络接口设备
lrwxrwxrwx 1 root other 29 Oct 9 1998 /dev/hme->../devices/pseudo/clone@0:hme
# ls -l /devices/pseudo/clone@0:hme # 细看一下
crw------- 1 root sys 11, 7 Oct 9 1998 /devices/pseudo/clone@0:hme
# lsof | grep "hme" # 用 lsof 查看是否处于混杂模式
snoop 7988 root 3u VCHR 7,2 0t0 423220 /devices/pseudo/clone@0:hme->bufmod->hme
# lsof | grep "clone@0:hme" # 同上
snoop 7988 root 3u VCHR 7,2 0t0 423220 /devices/pseudo/clone@0:hme->bufmod->hme
#

"lsof | grep ***" 有输出，说明有监听程序在运行，"***"是程序名，进一步仔细查证，
确定是否是后门程序。

上一页 [1] [2] [3] [4] [5] [6] [7]

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）　　去网站高手技术论坛讨论...

文章录入：admin 责任编辑：admin 【发表评论】【告诉好友】【打印此文】【关闭窗口】
	上一篇文章：入侵系统恢复指南下一篇文章：远程控制软件VNC对内网机器控制实现