返回
linux入侵踪迹隐藏

linux入侵踪迹隐藏

ID:1248923

大小:45.00 KB

页数:9页

时间:2017-11-09

linux入侵踪迹隐藏_第1页
linux入侵踪迹隐藏_第2页
linux入侵踪迹隐藏_第3页
linux入侵踪迹隐藏_第4页
linux入侵踪迹隐藏_第5页
资源描述:

《linux入侵踪迹隐藏》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Linux入侵踪迹隐藏zzh,2010/02/0512:22,系统安全,评论(0),阅读(770),Via本站原创大

2、中

3、小引用地址:注意:该地址仅在今日23:59:59之前有效作者xi4oyu是百度的安全人员  Linux功力很深厚的噢##########################正文############################文章作者:xi4oyuLinux入侵踪迹隐藏攻略v0.1免责声明:本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,转载请保留。0.前言:被警察叔叔请去喝茶时间很痛苦的事情,各位道长如果功力不够又喜欢出风头的

4、想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深,是我们必须掌握的基本功。当然,如果管理员真的想搞你而他的功力又足够足的话,相信没什么人能够真正的“踏雪无痕”。Forensic与Anti-Forensic,说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个的文章,大部分就是下载个日志擦除的软件,然后运行下就可以了,对小站可以,但对方如果是经验丰富的管理员呢?我们该如何应对?我在这里只介绍unix-likesystem下的,至于windows或者其他什么系统下的,欢迎各位道友补充。1.最小化你的日志P.S访问目标前用跳板我就不废话了,你是VPN也

5、好3389也罢,ssh中转,代理都行。总之记住一点—直接连接攻击目标是愚蠢的1.1  shell使用问题目前linux下大多数的shell都是采用bash或者其他的什么shell通过输入输出重定向来实现与服务器的交互的,当我们使用ssh或者telnet之类的登录的时候,我们的命令都会被记录在shell的history文件下面。举例来说bash会在当前目录下面.bash_history文件里记录下你此次登陆操作的命令,如果你拿这台机器当跳板的话,或者扫描其他机器,你的命令都会被记录下来哦。呵呵,所以我们登录的第一件事就是执行如下命令:unsetHISTORYHIS

6、TFILEHISTSAVEHISTZONEHISTORYHISTLOG;exportHISTFILE=/dev/null;exportHISTSIZE=0;exportHISTFILESIZE=0当然不同的shell写法可能不同,像有的set设置环境变量什么的。大家根据自己的shell自行修改。记住:从webshell弹回的shell也会记录你的操作,值得庆幸的是现在很多弹shell的脚本都预先unset环境变量。我们还需要记住的是在登录的时候出现在登录窗口的一些信息,比如该用户在什么时候从哪个IP登录进来的等等,这在我们后面的用于日志清除与修改的时候要用到。如

7、图:作为跳板的时候,我们有可能需要用本机的ssh去访问别的机器,但是别的机器的公钥呢?总不能放在当前用户的目录下吧?当然你可以事后删除,但多一事不如少一事,你说对么?ssh-oUserKnownHostsFile=/dev/null-Tuser@host/bin/bash–i就可以了,但在这样运行某些命令的时候可能会有提示,说你的stdin不是个terminal,这里可以这样解决:python-c'importpty;pty.spawn("/bin/sh")'或者自己再建立个ttyshell。1.2  webshell的选择问题可能各位道友的日常生活中最主要目标

8、瞄向了webserver。现在的web也是大多数入侵的一个突破口。Linux下用的最多的就是apache服务器了,当我们发觉一个服务器的漏洞时候很可能要上传一个webshell来进行对服务器文件进一步的操作和信息的搜集,部分webshell也提供了反弹shell的功能。如何能够在apache服务器的日志文件中留下最小的记录也是需要深究的。这种情况通常发生在没能够获得足够的权限来清除apache日志。如果能够root了,则可以将重点放在第二节日志清除上。通常,日志只记录GET的信息,比如你的注入,你采用了那种方式提交数据等等。如果我们的webshell采用的多是G

9、ET方式交互的话,就很容易在httpd的access_log中留下很多日志。这些以后都会被作为证据所采纳的。Phpspy是个很好的选择,作者也注意掉了这点,取消了GET方式的交互,再给webshell起一个比较迷惑的名字,这样我们与webshell的交流就更加隐秘。2.日志的清除与改写日志清除与改写,俗称擦PP,这是个很重要的过程,日志记录了你对目标机器的操作记录,大部分的入侵者查找都是通过日志来确定的,因此,我们需要对日志文件进行操作。对日志操作有这么个说法,能修改的就不清除,这样才能最小的减少管理员的怀疑。Linux下的大多数文件是以文本方式,或者以简单的结

10、构体方式存入文件的,这就

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。