Linux下的后门和日志工具

  syslogd  过滤失日志中的某些连接信息。
  其次是后门步伐。木马步伐可以为本地用户提供后门；木马网络监控步伐则可以为长途用户提供inetd、rsh、ssh等后门服务，具体因版本而异。随着版本的晋级，Linux Rootkit IV的功效也越来越壮大，特性也越来越丰富。一般包括如下网络服务步伐：
  chfn 提升本地平凡用户权限的步伐。运转chfn，在它提示输出新的用户名时，要是用户输出rookit密码，他的权限就被提升为root。
  chsh 提升本地用户权限的步伐。运转chsh，在它提示输出新的shell时，要是用户输出rootkit密码，他的权限就被提升为root。
  passwd 和下面两个步伐的作用雷同。在提示你输出新密码时，要是输出rookit密码，权限就可以酿成root。
  login  允许利用任何帐户经过rootkit密码登录。要是利用root帐户登录被回绝，可以尝试一下rewt。当利用后门时，这个步伐还可以或许禁止记载命令的历史记载。
  inetd 特洛伊inetd步伐，为攻击者提供长途访问服务。
  rshd 为攻击者提供长途shell服务。攻击者利用rsh -l rootkitpassword host command命令就可以启动一个长途root shell。
  sshd 为攻击者提供ssh服务的后门步伐。
  再就是工具步伐。全部不属于以上类型的步伐都可以归如这个类型，它们完成一些诸如：日志清算、报文嗅探以及长途shell的端口绑定等功效，包括：
  fix 文件属性伪造步伐。
  linsniffer 报文嗅探器步伐。
  sniffchk 一个简单的bash shell剧本，检查系统中能否正有一个嗅探器在运转。
  login  允许利用任何帐户经过rootkit密码登录。要是利用root帐户登录被回绝，可以尝试一下rewt。当利用后门时，这个步伐还可以或许禁止记载命令的历史记载。
  z2  utmp/wtmp/lastlog日志清算工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的全部条款。不过，要是用于Linux系统必要手工修改其源代码，设置日志文件的位置。
  bindshell 在某个端口上绑定shell服务，默认端口是12497。为长途攻击者提供shell服务。
  （4）netcat
  这是一个简单而有用的工具，可以或许经过利用TCP或UDP协议的网络连接去读写数据。它被计划成一个稳定的后门工具，可以或许间接由别的步伐和剧本轻松驱动。同时，它也是一个功效壮大的网络调试和探测工具，可以或许建立你必要的几乎全部类型的网络连接，还有几个很故意思的内置功效。
  2、查找Linux下的蛛丝马迹：日志工具
  对付高超的攻击者来说，进入系统后，还应了解自己的“蛛丝马迹”并扫除这些痕迹，自然就要了解一些日志工具了。
  （1）logcheck
  logchek 可以自动地检查日志文件，定期检查日志文件以发明违反安全规矩以及十分的运动。它先把正常的日志信息剔除失，把一些有题目的日志保存下来，然后把这些信息 email 给系统办理员。logcheck 用 logtail 步伐记住上次曾经读过的日志文件的位置，然后从这个位置开始处理新的日志信息。logcheck 重要由下面几个重要的文件：
  logcheck.sh 可实行的剧本文件，记载logcheck检查那些日志文件等，我们可以把它加入crontab中定时运转。
  logcheck.hacking 是logcheck 检查的模式文件。和下面的文件一起，按从上到下的顺序实行。这个文件评释了入侵运动的模式。
  logcheck.violations 这个文件表示有题目，违背常理的运动的模式。优先级小于下面的谁人模式文件。
  logcheck.violations
  .ignore 这个文件和下面的logcheck.violations的优先是相对的，是我们所不体贴的题目的模式文件。
  logcheck.ignore 这是检查的最后一个模式文件。要是没有和前三个模式文件立室，也没有立室这个模式文件的话，则输出到陈诉中。
  Logtail 记载日志文件信息。
  Logcheck首次运转时读入相干的日志文件的全部内容，Logtail会在日志文件的目次下为每个体贴的日志文件建立一个logfile.offset 的偏移量文件，以便于下次检查时从这个偏移量开始检查。Logcheck实行时，将未被纰漏的内容经过邮件的形式发送给 logcheck.sh 中 系统办理员指定的用户。
  （2）logrotate
  一般Linux 刊行版中都自带这个工具。它可以自动使日志循环，删除生存最久的日志，它的设置装备摆设文件是 /etc/logrotate.conf，我们可以在这个文件中设置日志的循环周期、日志的备份数目以及如何备份日志等等。在/etc/logrotate.d目次下，包括一些工具的日志循环设置文件，如syslog等，在这些文件中指定了如何凭据/etc/logrotate.conf做日志循环，也可以在这里面添加其他的文件以循环其他服务的日志。
  （3）swatch
  swatch 是一个及时的日志监控工具，我们可以设置感兴趣的事件。Swatch 有两种运转方式：一种可以在检查日志终了退出，另一种可以连续监督日志中的新信息。Swatch提供了很多关照方式，包括email、振铃、终端输出、多种颜色等等。安装前，必须确保系统支持perl。swatch 软件的重点是设置装备摆设文件swatchmessage，这个文本文件报告 swatch 必要监督什么日志，必要探求什么触发器，和当触发时所要实行的行动。当swatch发明与swatchmessage中定义的触发器正则表达式相符时，它将实行在 swatchrc中定义的关照步伐。
  当然，下面所先容的软件只是Linux大海中的几只俏丽的贝壳，随着越来越多的用户加入到Linux大军中，我们相信，优秀的Hack也将越来越多，这反过来也将促进Linux操纵系统逐步走向成熟，我们拭目以待。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：