一、概述 简介 中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查...rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。...rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。 ...在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。...执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台. 6. 扫描任何混杂模式下的接口和后门程序常用的端口. 7.
权限维持-Linux-定时任务-Cron后门 利用系统的定时任务功能进行反弹Shell 1、编辑后门反弹 vim /etc/.backshell.sh #!...-监控功能-Strace后门 strace是一个动态跟踪工具,它可以跟踪系统调用的执行。.../etc/upload fi 权限维持-Linux-内核加载LKM-Rootkit后门 传统后门通过TCP连接,容易被发现 现在常用的linux维持权限的方法大多用crontab和开机自启动,...所以我们想有一个非tcp连接、流量不容易被怀疑的后门,并且在大量的shell的场景下,可以管shell,Reptile刚好是种LKM rootkit,因此具有很好的隐藏性和强大的功能。...的检测: linux平台下:chkrootkit、rkhunter、OSSEC、zeppoo等 Windows平台下:BlackLight、RootkitRevealer、Rootkit Hook Analyzer
1、Lacework Labs在Avast公司的同事最近初步的鉴定基础之上,标识出与 HCRootkit / Sutersu Linux Rootkit活动相关的新样本和基础设施。...摘要 Lacework Labs 最近检测了一个新的公开共享的 rootkit,确定了它的核心功能和它对 Linux 主机的威胁级别。...鉴于底层后门 coreutils 实用工具是 kill,合规使用该实用工具的“sudo kill”命令去终止特权进程的情况并不少见。...s_hook_local_ip" $s28 = "nf_hook_pre_routing" condition: uint32(0)==0x464c457f and 10 of them } rule linux_mal_suterusu_rootkit...condition: uint32(0)==0x464c457f and all of them } 参考来源: https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis
环境变量的方式进行配置 果然,$VIMRUNTIME 是从 Linux 操作系统的环境变量来的 因此永久修改 VIMRUNTIME 不一定会修改 runtimepath ,只有通过Linux...:make 来启动编译 成功执行我们自定义的编译命令 这里需要注意,我们只是在讨论后门场景下新建编译器,如果想自定义一个有效的编译器,可能还需要其他配置 13) 如何查看vim命令历史 底线模式下输入...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit...以超级权限 (root) 编辑文件 经过测试,我发现sudoedit 编辑文件的逻辑在一些场景下可能有一些问题,会造成权限提升、代码执行等 1) 运维人员通过 sudoedit 编辑文件 可以看到...大家日常可能使用 sudo 比较多,但实际上去完整读一读它的 man 手册的估计不多,其实 sudo 在 1.8 版本之后开始支持插件了,还支持了 Python 版本的 API 说到这里就不得不谈一下
/etc/profile 、 /etc/bashrc 、~/.bashrc、~/.bash_profile 、~/.profile 、~/.bash_logout /etc/profile 【系统级】Linux...把strace的输出单独写到指定的文件 /tmp/sshpwd-xxx.log ,这个没啥好说的 -e read,write,connect Linux内核目前有300多个系统调用,详细的列表可以通过...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...你看,我还像模像样的写了两行注释,伪装一下 ,记得把之前的 ~/.bash_aliases 删除掉 ? 此时,我们推出 ssh 连接,之后再次连接,我们测试一下: ?...后门 ?
Rootkit Sutersu 其内核模块基于开源的 Rootkit Sutersu修改而来。该 Rootkit 支持内核版本广泛,支持架构多样(x86、x86_64 和 ARM)。...602c435834d796943b1e547316c18a9a64c68f032985e7a5a763339d82598915” author = “Lacework Labs” ref = “https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis...10c7e04d12647107e7abf29ae612c1d0e76a79447e03393fa8a44f8a164b723d” author = “Lacework Labs” ref = “https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis...s_hook_local_ip” $s28 = “nf_hook_pre_routing” condition: uint32(0)==0x464c457f and 10 of them } rule linux_mal_suterusu_rootkit...condition: uint32(0)==0x464c457f and all of them } 参考来源: https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
Linux 计划任务是一项服务,由 cron 工具来完成,主要目的就是在无需人工干预的情况下运行作业 PS: 功能较为简单的at命令在Ubuntu 16.04中已经不自带了 0x01 cron服务简介...一会儿再说吧(Linux上万物皆文件,肯定是文件啦!).../muma.exe 0x05 后门利用 首先介绍一下日志的问题,Ubuntu 16.04 默认情况下是不会将日志记录到 /var/log/cron 这个文件的,也没有这个文件,可以通过配置来设置成这个文件...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab...这种利用方法巧妙在使用了windows中的 \r( Linux 中显示为M),导致显示截断,从而隐藏我们真实的计划任务,我们使用crontab -e 可以看到真实的计划任务如下: ?
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以可以查看 stat 的源代码,看一下 stat 应用是如何获取和管理 ctime 的,针对其调用的方法进行系统性地修改应该也是可以实现修改文件 ctime 的 0x03 系统时钟与硬件时钟 Linux...date -s "20180809 10:11:12" 这样就将系统时间修改了,但是由于 Ubuntu Server操作系统默认存在时间同步服务,刚修改完下一秒就会变回正常时间(即使是断网的情况下)...默认情况下,/etc/update-manager/目录下有一个 release-upgrades 文件,我们设置一个后门,名字为 release-update,之后再将文件时间修改为和 release-upgrades
这样直接就可以看到我们修改的环境变量了,相信大家已经想到了,可以使用上一节 alias 后门的想法进行隐藏 在这之前,我们还是要先把查看环境变量的方式大概总结出来,这样呢,可以一次性隐匿一下: echo...查看原命令设置后门后显示什么样 alias 劫持一下显示,让设置后的显示与设置前一致 千万记得先去看一下是否系统默认或者管理员设置过这个命令的别名,参照之前的 ls 劫持 alias ,让 alias...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...设置后门后是这样的 ? set 命令返回的结果巨长,所以我是直接 grep 了一下 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
internet Storm Center安全专家近日发表一篇报告,报告中称在linux系统中发现基于ssh服务的rootkit,使用RPM安装的系统会受到影响。...报告中指出目前rootkit支持三个命令:Xver、XCAT、Xbnd,第一个命令打印rootkit版本,xCAT打印数据在会话中,并传回给攻击者,Xbnd命令设置一个监听器。...该rootkit会替换服务器中的libkeyutils库,主要功能包括收集用户凭据,除账号密码之外,还可以收集RSA和DSA的私有密钥。 通过以下命令可以查看服务器是否中招。
前言 疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于...& f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit...: 可以隐藏文件、目录、自身、网络连接、反弹shell木马等,Linux RootKit木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块...目前eBPF的RootKit对环境要求比较高,暂时还不太流行,不过也已经发现了一些eBPF RootKit的恶意软件家族Symbiote,还有像此前NSA方程式组织开发的顶级后门Bvp47也使用了BPF...笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种平台(Windows/Linux/Mac
hitokoto.innerText = data.hitokoto; } } xhr.send(); 前言 相信大家在做渗透测试的时候,会遇到后渗透阶段的权限维持问题,常见的linux...后门有crontab后门(在计划任务里添加反弹shell任务),超级用户后门(也就是uid=0的用户),ssh免密登录后门等等等~~~[aru_5],当然你有能力的话,可以试试破解root密码~~这里我就详细的教大家如何利用...ssh后门和计划任务后门(下次讲,这次懒得写了~)进行权限维持。...(以下内容适合小白观看,大佬勿喷[aru_3]) 情景模拟 让我们假设一下,你已经通过目标主机的漏洞成功拿到了shell[aru_36],但是可能这个漏洞不知道什么时候就会被管理员修复,你也不知道root...还是会有被发现的风险的~ 1.在kali(自己的服务器)上生成密钥 ssh-keygen -b 4096 -t rsa #直接三个回车搞定 2.查看一下生成的密钥 3.将密钥里的内容全部复制
Rootkit在登堂入室并得手后,还要记得把门锁上。...和杀毒软件打架一样,Rootkit和反Rootkit也是互搏的对象。无论如何互搏,其战场均在内核态。 很显然,我们要做的就是: 第一时间封堵内核模块的加载。...我们知道,Linux内核的text段是在编译时静态确定的,加载时偶尔有重定向,但依然保持着紧凑的布局,所有的内核函数均在一个范围固定的紧凑内存空间内。...cr0); write_cr0(cr0); %} probe begin { kcore_poke(); exit(); } 来吧,我们试一下crash...很容易,还记得在文章 “Linux动态为内核添加新的系统调用” 中的方法吗?我们封堵了前门的同时,以新增系统调用的方式留下后门,岂不是很正常的想法? 是的。经理也是这样想的。
最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...下使用多种方法实现动态motd消息显示 https://untitled.pw/software/linux/2337.html 一开始我以为MOTD 是一项服务 从 MOTD 的表现形式来看,我以为...,但是考虑很多兄弟没看过之前的文章,所以这次重提一下 这个点说透以后,能用来做后门的可就不止 motd 这一个组件了,你可以想象一下,得有多少地方会使用 source或 ....来加载配置文件呀,这完全可以作为一个单独的后门方式去讲,但这里已经讲了就不单独开章节了 我们在 Ubuntu 18.04 中简单搜索一下 粗略的计算有 196 个 这就是说这些文件中我们都可以塞进去一些恶意程序
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。...请往下看 二、安装Python-Rootkit 因为要使用py2exe,所以我就在windows上安装了,如果linux上安装了wine后不知道能不能使用py2exe,可自行测试。.../metasploit-4.8.2-linux-x64-installer.run 一路下一步和y确认就可以 ?...本地可以先测试一下,去掉-windowstyle hidden参数,可以看到ps代码执行情况。...三、利用Python-Rootkit生成后门 在生成后门前,还需要找个.ico图标文件,放在viRu5文件夹中,这样viRu5文件夹里需要有下面几个文件 ?
CentOS7操作系统安全加固系列】第(4)篇 【CentOS7操作系统安全加固系列】第(5)篇 【CentOS7操作系统安全加固系列】第(6)篇 也介绍过lynis安全基线检查工具 CentOS7下使用开源安全审计工具...(图片可放大查看) 2、rkhunter 1)rkhunter简介 rkhunter也叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,...rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。...rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。...在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。
我们将介绍三种不同的 Linux rootkit 技术:动态链接库劫持(LD_PRELOAD)、Linux kernel module(LKM) rootkit 和 eBPF rootkit。...Linux 动态链接器 在我们深入研究技术本身之前,让我们先了解一下 Linux 动态链接器是什么。...负责此操作的 Linux 组件是动态链接器,也称为ld.so或ld-linux.so.*。让我们自己实验一下:让我们看一下二进制文件ls。1. ldd该命令允许我们检查 ELF 的依赖项和共享库。...以下是一些示例: Winnti for Linux – 这种来自中国的后门工具由用户模式 rootkit 和主后门组成。用户模式 rootkit 在很大一部分基于开源 Azazel rootkit。...Azazel 用于隐藏进程、网络连接、文件和目录,还包含后门功能。Winnti for Linux 利用 Azazel 来隐藏主后门的恶意活动。
领取专属 10元无门槛券
手把手带您无忧上云