Linux下的后门和日志工具

  攻入Linux系统后，很多入侵者每每就开始得意洋洋了。这此中还有一个原因，就是技术性也要求更高了。下面，我们来看看一些常用的经典工具。
  1、从这里延伸：后门和连接工具
  （1）Httptunnel
  Tunnel的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，现实上，它是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点，就是说在防火墙双方都设立一个转换步伐，将原来必要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，以是它不必要别的署理服务器而间接穿透防火墙。
  HTTPTunnel包括两个步伐：htc和hts，此中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。好比开了FTP的机器的IP是192.168.10.231，本地机器IP是192.168.10.226，由于防火墙的原因，本地机器无法连接到FTP上。怎样办？现在就可以思量利用HTTPTunnel了。历程如下：
  第一步：在本地机器上启动HTTPTunnel客户端。用Netstat看一下本机现在开放的端口，会发明8888端口已在侦听。
  第二步：在对方机器上启动HTTPTunnel的服务器端，并实行命令“hts -f localhost:21 80”，这个命令的意思是说，把本机的21端口收回去的数据全部经过80端口直达一下，而且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发明80端口现在也在侦听状态。
  第三步：在本地机器上用FTP连接本机的8888端口，会发明曾经连上对方的机器了。那么，为什么人家看到的是127.0.0.1，而不是192.168.10.231呢？由于我们现在是连接本机的8888端口，防火墙一定不会有反响，要是没往外发包，局域网的防火墙一定就不晓得了。现在连接上本机的8888端口以后，FTP的数据包不论是控制信息照旧数据信息，都被htc伪装成HTTP数据包然后发已往，在防火墙看来，这都是正常数据，相称于欺骗了防火墙。
  必要说明的是，这一招的利用必要其他机器的共同，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，如许才可以成功绕过防火墙！一定有人会问，要是对方的机器上自己就有WWW服务，也就是说他的80端口在侦听，这么做会不会冲突？HTTPTunnel的好处就在于，纵然他的机器曩昔80端口开着，现在也不会呈现什么题目，重定向的隧道服务将流通无阻！
  （2）Tcp_wrapper
  Tcp_wrapper是Wietse Venema开发的一个免费软件。Tcp_wrapper的诞生有个小小的故事，大约1990年，作者地点大学的服务器屡屡受到一个外来黑客侵入，由于受益主机的硬盘数据频频被rm -rf/命令整个抹失，以是找寻线索极为困难，直到有一天晚上作者在事情的历程中无意中发明这个黑客在不停的finger 受益主机、偷窥受益者的事情。于是，一个想法诞生了：计划一个软件，使它可以截获发起finger请求的IP，用户名等材料。Venema很快投入了事情，而Tcp_wrapper也由此诞生！今后，Tcp_wrapper随着广泛的使用逐渐成为一种尺度的安全工具。经过它，办理员完成了对inetd提供的各种服务举行监控和过滤。
  Tcp_wrapper编译安装成功后，会天生一个tcpd步伐，它可以在inetd.conf这个控制文件中代替in.telnetd的位置，如许，每当有telnet的连接请求时，tcpd即会截获请求，先读取办理员所设置的访问控制文件，合乎要求，则会把这次连接原封不动的转给真正的in.telnetd步伐，由in.telnetd完成后续事情。要是这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，回绝提供telnet服务。Tcp_wrapper访问控制的完成是依靠两个文件:hosts.allow，hosts.deny来完成的。要是我们编辑/etc/syslog.conf文件时，加入了日志纪录功效，即：
  #tcp wrapper log
  local3.info /var/log/tcplog
  编辑竣事后，生存文件，在/var/log下会天生tcplog文件，注意这个文件的读写属性， 应该只对root有读写权限。然后ps -ef | grep syslogd，找出syslogd的历程号，kill -HUP 重启syslogd历程使窜改见效。 在这里，我们可以事后看一看以后天生的tcplog文件内容，如下：
  Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1
  Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5
  Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3
  Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5
  Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1
  从下面我们可以看到，在安装了Tcp_wrapper的主机上，系统的每一次连接，Tcp_wrapper都做了纪录，它的内容包括工夫、服务、状态、ip等，对攻击这有很大的参考价值，不过，一定要记得扫除日志了。
  （3）rootkit工具：LRK
  Rootkit呈现于二十世纪90年代初，它是攻击者用来隐蔽自己的踪迹和保存root访问权限的工具。通常，攻击者经过长途攻击大概密码猜测得到系统的访问权限。接着，攻击者会在侵入的主机中安装rootkit，然后他会经过rootkit的后门检查系统，看能否有其他的用户登录，要是只要自己，攻击者就开始着手清算日志中的有关信息。经过rootkit的嗅探器得到别的系统的用户和密码之后，攻击者就会利用这些信息侵入别的的系统。
  要是攻击者可以或许精确地安装rootkit并合理地清算了日志文件，系统办理员就会很难察觉系统曾经被侵入，直到某一天别的系统的办理员和他联系大概嗅探器的日志把磁盘全部填满，他才会察觉曾经大祸临头了。不过，在系统恢复和清算历程中，大少数常用的命令比方ps、df和ls曾经不行信了。很多rootkit中有一个叫做FIX的步伐，在安装rootkit之前，攻击者可以起首利用这个步伐做一个系统二进制代码的快照，然后再安装替代步伐。FIX可以或许凭据原来的步伐伪造替代步伐的三个工夫戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。要是攻击者可以或许准确地利用这些优秀的使用步伐，而且在安装rootkit时举动谨慎，就会让系统办理员很难发明。
  下面我们先容一个十分典范的针对Linux系统的LRK版本6。Linux Rootkit 6是一个开放源码的rootkit，经过多年的生长，Linux Rootkit的功效越来越完善，具有的特性也越来越多。下面我们简单地先容一下Linux Rootkit包含的各种工具。
  起首是隐蔽入侵者行踪的步伐。为了隐蔽入侵者的行踪，Linux Rootkit IV的作者可谓煞费心机，编写了很多系统命令的替代步伐，利用这些步伐代替起因的系统命令，来隐蔽入侵者的行踪。这些步伐包括：
  ls、find、du 这些步伐会制止表现入侵者的文件以及盘算入侵者文件占用的空间。在编译之前，入侵者可以经过ROOTKIT_FILES_FILE设置自己的文件所处的位置，默认是/dev/ptyr。注意要是在编译时利用了SHOWFLAG选项，就可以利用ls -/命令列出全部的文件。这几个步伐还可以或许自动隐蔽全部名字为：ptyr、hack.dir和W4r3z的文件。
  ps、top、pidof 这几个步伐用来隐蔽全部和入侵者相干的历程。
  netstat 隐蔽出/入指定IP地点大概端口的网络数据流量程。
  killall 不会杀去世被入侵者隐蔽的历程。
  ifconfig 要是入侵者启动了嗅探器，这个步伐就制止PROMISC标记的表现，使系统办理员难以发明网络接口曾经处于稠浊模式下。
  crontab 隐蔽有关攻击者的crontab条款。
  tcpd 制止向日志中记载某些连接。 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：