linux下木马程序病原体的制作和运行
1.木马的制作:
首先我们可以在/usr/bin/目录下创建一个源程序muma,输入 你所需要指定的代码,这里为了做实验就随便写了个,你也可以换上一些挖矿程序,ddos攻击代码,为了知道木马是否运行,我们可以加入一条指令echo 'date' >> /tmp/date.txt,这样如果木马程序运行,我们就可以在tmp/date.txt下看到内容date。sleep 1 是指这段代码多长时间执行一次,这里就是1秒。
在之后为了让程序运行,要对这个程序赋予执行权限,chmod + X !$,输入muma 直接运行,可以通过ps -aux | grep muma 查看,kill -9 可以杀掉这个进程。当然我们要将木马后台运行,输入 muma & ,这里为了方便我将那一条语句 “echo 丽丽是个傻狍子”注释了。
2.如何让木马运行,常用的是两种计划任务和开机启动进程
- 普通计划任务
crontab -e 默认以root创建一个任务,可以输入以下内容 1 2 * * * /usr/bin/muma & 指定每天2点1分执行任务,不过管理员使用crontab -l 就发现了,
我们可以使用 crontab -u 用户 -e 指定一个用户来创建一个计划任务,这些用户有很多在/etc/passwd文件中可以炸看到,管理员不肯能用crontab -u bin -l 从头到尾来查询吧
在Linux下所有用户计划任务是在/var/spool/cron,从这里可以调取计划任务用户信息,从而查询到黑客所使用的计划用户
- 高级计划任务
我们可以输入vim/etc/cron,查看相关系统级别的定时任务命令,find /etc/cron*这是可以查看把木马追加到系统级别的脚本,可以自己添加一个脚本,也可以在原有的脚本中写,例如vim /et/cron.daily/tmwatch,在里面输入/usr/bin/muma &
Linux下有那么多cron文件管理员怎么排查呢?
find /etc/cron* -type f-exec md5sum {} \; > /tmp/date.txt find /etc/cron* -type f-exec md5sum {} \; > /tmp/date1.txt
md5sum可以校验文件的完整性,一些杀毒软件的快速杀毒用的也是这个原理,比较目录中文件md5值是否发生变化进行判断,找出不一样的文件
用命令diff /tmp/date.txt /tmp/date1.txt
我更改了/etc/cron.daily/tmwatch 里面的内容,所以md5值发生了变化
3.开机启动进程
- /etc/rc.local 是开机启动脚本,可以在里面输入/bin/muma & ,当然黑客可能会忽悠你,比如说在文件中添加许多空行,再添加木马程序,然后将光标移动到开头;
管理员也可以输入 grep -v ^$ /etc/rs.local 查看文件中除空格以以外所有的文字
- 我们也可将木马放到服务器脚本中,利用开机服务器脚本来加载木马程序
vim /etc/nfs ,在nfs服务中添加/usr/bin/muma &,就这样每次开机随着nfs服务的启动,木马程序也跟着启动
- 自己写一个开机启动脚本
这里的chkconfig :12345 是为了防止管理员登入单用户模式查找到木马,chmod +x /etc/init.d/muma赋予权限,启动/etc/init.d/muma restart,chkconfig --addmuma增加木马可以开机启动
linux下木马程序病原体的制作和运行相关推荐
- Linux下木马程序隐藏进程实战
实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) Rootkit概述 ...
- nc扫描端口-curl-手动查杀木马过程之生成木马程序病原体并自动运行
实验环境 RHEL6 本节所讲内容: 22.1 使用nc扫描端口 22.2 curl 查看web服务器类型 22.3 手动查杀木马过程之生成木马程序病原体 22.4 手动查杀木马过程之让木马程序自动运 ...
- qt调用linux 进程,Linux 下qt 程序打包发布(使用linuxdelpoyqt ,shell 脚本)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.csdn.net/u014746574/article/d ...
- Linux 下qt 程序打包发布(使用linuxdelpoyqt ,shell 脚本)
Linux 下qt 程序打包发布(使用linuxdelpoyqt ,shell 脚本) 转载于:https://www.cnblogs.com/zhehan54/p/9549017.html
- linux c++ 程序运行时间,总结UNIX/LINUX下C++程序计时的方法
前言 良好的计时器可帮助程序开发人员确定程序的性能瓶颈,或对不同算法进行性能比较.但要精确测量程序的运行时间并不容易,因为进程切换.中断.共享的多用户.网络流量.高速缓存访问及转移预测等因素都会对程序 ...
- linux 跟踪程序执行过程,用pvtrace和Graphviz实现对linux下C程序的函数调用跟踪
用pvtrace和Graphviz实现对linux下C程序的函数调用跟踪 用pvtrace和Graphviz实现对linux下C程序的函数调用跟踪 1:功能介绍,使用本方法可以实现linux下C应用程 ...
- 解决Windows下Arm下Linux下Qt4程序的中文乱码问题
解决Windows下Arm下Linux下Qt4程序的中文乱码问题 ################################################################### ...
- linux连接到程序,Linux下C程序的链接过程
今天看到一个很有意思的小程序,它让我对Linux下C程序的编译链接有了一个全新的认识! 这个程序的就是写一个简单的输出"hello World!": 要求:1.不使用C运行库,写一 ...
- Linux下C程序的可扩展性.
What I write, what I lose. 以下为个人关于Linux下C程序的可扩张性的一点想法. 可扩展性的应用场景: 1. 有两个项目都需要使用的一个相同功能的程序, 但是有些要求不一样 ...
- linux cat 进程,Linux下CAT程序的C实现
Linux下CAT程序的C实现代码片段: #include #include #include #define BUFSIZ 1024 void error(char *fmt, ...){ va_l ...
最新文章
- C/C++刷题知识点总结
- server 2008 中活动目录的迁移
- ios wkwebview弹框_iOS WKWebView的javascript alert 不弹的解决方案
- python基础代码库-Python基础数据处理库-NumPy
- excel实现套用模板批量打印_#数据清洗#Excel数据批量填入Word模板
- linux怎么安装vim?
- 视觉平衡与物理平衡_设计中的视觉平衡
- OpenCV线特征Line Features
- 2095 : 我只看看不写题(贪心)
- C语言试题六十六之请编写函数实现三个数从小到大排序
- git仓库创建后,由主支变成开发分支
- 转:防止跨站攻击,安全过滤
- 中小学教育培训类织梦模板
- java xml文件无法打开,java – 无法打开beans.xml(配置文件)因为不存在
- predict函数 R_R包randomForest的随机森林回归模型以及对重要变量的选择
- 用VS调试 javascript
- e8 c 虚拟服务器,电信光猫e8-c怎么设置拨号方式上网
- 深响|对话THE9演唱会主创:技术打开想象力,未来的娱乐还能这么玩
- 深圳教育培训机构启用消费评价二维码
- Android 平台语音通话及回音消除、噪音消除研究
热门文章
- 使用selenium自动登录126/163邮箱并自动发送邮件
- #cs231n#Assignment2:Dropout.ipynb
- Ueditor编辑器如何改变上传图片大小限制
- 利用pyboardCN V2播放Bad apple
- 软件工程导论——课堂学习笔记
- php微信上传图文素材,php使用curl 上传微信公共平台素材文件
- 连续时间 Markov 链从某一状态 i 转移到其他状态之前在 i 逗留的时间服从指数分布
- php rrd update,通过shell脚本批量更新Cacti的RRD数据库文件
- 【校招 --阶段一 操作系统基础】进程地址空间
- 苏州数字孪生工厂3D模型,三维可视化建模,三维虚拟仿真交互模型